没有合适的资源?快使用搜索试试~ 我知道了~
IPSEC介绍.docx
资源推荐
资源详情
资源评论
1.IPSEC 协议簇安全框架
a.IPSec 简介
IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec 不是具体指哪个
协议,而是一个开放的协议族。
IPSec 协议的设计目标:是在 IPV4 和 IPV6 环境中为网络层流量提供灵活的安全服务。
IPSec VPN:是基于 IPSec 协议族构建的在 IP 层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来
保障 OSI 上层协议数据的安全,主要用于保护 TCP、UDP、ICMP 和隧道的 IP 数据包。
b.IPSec 协议族
IPSec VPN 体系结构主要由 AH、ESP 和 IKE 协议套件组成。
IPSec 通过 ESP 来保障 IP 数据传输过程的机密性,使用 AH/ESP 提供数据完整性、数据源验证和抗报文重放功能。
ESP 和 AH 定义了协议和载荷头的格式及所提供的服务,但却没有定义实现以上能力所需具体转码方式,转码方式包括对数据
转换方式,如算法、密钥长度等。
为简化 IPSec 的使用和管理,IPSec 还可以通过 IKE 进行自动协商交换密钥、建立和维护安全联盟的服务。具体如下:
1.AH 协议:AH 是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而,AH 并不加密
所保护的数据报。
2.ESP 协议:ESP 是封装安全载荷协议。它除提供 AH 协议的所有功能外(但其数据完整性校验不包括 IP 头),还可提供对
IP 报文的加密功能。
3.IKE 协议:IKE 协议用于自动协商 AH 和 ESP 所使用的密码算法。
IKE 定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商内容。这方面的定义是由"解释域(doi)"文档来进
行。
IPSec 协议族:
1.IPSec 协议定义了两种通信保护机制:
封装安全载荷(ESP,Encapsulating Security Payload):ESP 机制为通信提供机密性和完整性;
鉴别头(AH,Authentication Header):AH 机制为通信提供完整性保护。
ESP 机制和 AH 机制都能为通信提供抗重放(Anti-replay)攻击。
2.IPSec 协议可以设置成在两种工作模式下运行:一种是隧道(tunnel)模式,另一种是传输(transport)模式。
3.IPSec 协议使用 IKE 协议实现安全协议的自动安全参数协商。IKE 协商的安全参数包括加密与鉴别算法、
加密与鉴别密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。IKE 将这些安全参数构成的集合称为安全关联
(SA,security Association),还负责这些安全参数的刷新。
4.两个数据库:安全策略数据库 SPD,安全关联数据库 SAD。
5.DOI 将所有的 IPSec 小组的文献捆绑在一起。它可以被认为是所有 IPSec 安全参数的主数据库。
2.IPSEC 工作模式
a.传输模式(Transport mode)
在传输模式下,IPSec 协议处理模块会在 IP 报头和高层协议报头之间插入一个 IPSec 报头。
IP 报头与原始 IP 分组中的 IP 报头是一致的,只是 IP 报文中的协议字段会被改成 IPSec 协议的协议号(50 或者 51) ,并重新
计算 IP 报头校验和。传输模式保护数据包的有效载荷、高层协议,IPSec 源端点不会修改 IP 报头中目的 IP 地址,原来的 IP 地
址也会保持明文。
传输模式只为高层协议提供安全服务。
主要应用场景:经常用于主机和主机之间端到端通信的数据保护。
封装方式:不改变原有的 IP 包头,在原数据包头后面插入 IPSec 包头,将原来的数据封装成被保护的数据。
b.隧道模式(Tunnel mode)
传输模式不同,在隧道模式下,原始 IP 分组被封装成一个新的 IP 报文,在内部报头以及外部报头之间插入一个 IPSec 报头,
原 IP 地址被当作有效载荷的一部分受到 IPSec 的保护。
通过对数据加密,还可以隐藏原数据包中的 IP 地址,这样更有利于保护端到端通信中数据的安全性。
封装方式:增加新的 IP(外网 IP)头,其后是 ipsec 包头,之后再将原来的整个数据包封装。
剩余14页未读,继续阅读
资源评论
xiaoyusdo
- 粉丝: 1
- 资源: 6
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功