IPSec

作者:星期三, 十二月 18, 20130
分享:

IPSec

IP安全协议,不是一个单独的协议,而是一组开放协议的总称,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括网络安全协议Authentication Header(AH)和Encapsulating Security Payload (ESP)协议、密钥交换协议Internet Key Exchange (IKE)协议和用于网络验证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源验证、数据加密等网络安全服务。

IPSec协议在特定的通信方之间提供数据的机密性、完整性保护,并能对数据源进行验证。IPSec使用IKE进行协议及算法的协商,并采用由IKE生成的密码来加密和验证。IPSec用来保证数据包在互联网上传输时的机密性、完整性和真实性。IPSec在IP层提供这些安全服务,对IP及所承载的数据提供保护。这些服务是通过两个安全协议AH和ESP,通过加密等过程实现的。这些机制的实现不会对用户、主机或其他互联网组件造成影响;用户可以选择不同的加密算法,而不会对实现的其他部分造成影响。

IPSec提供的网络安全服务具有以下特点:

  • 机密性—IPSec在传输数据包之前将其加密,以保证数据的机密性;
  • 完整性—IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被替换;
  • 真实性—IPSec端要验证所有受IPSec保护的数据包;
  • 抗重演—IPSec防止了数据包被捕捉并重新投入到网上,即目的地会拒绝老的或重复的数据包;它通过与AH或ESP一起工作的序列号机制来实现。

IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、机密性和真实性,这些协议还规定了如何加密数据包。使用IPSec,数据就可以在公网上传输,而不必担心数据被监视、修改或伪造了。IPSec提供了两个主机之间、两个安全网关之间或主机和安全网关主机之间的保护。

IPSec定义了两个新的数据包头增加到IP包,这些数据包头用于保证IP数据包的安全性。这两个数据包头由AH和ESP规定。AH将插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了安全的哈希算法来对数据包进行保护。AH没有对用户数据进行加密。ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和机密性。

IPSec有隧道模式和传输模式两种工作方式。在隧道模式中,用户的整个IP数据包被用来计算ESP头,且被加密,ESP头和加密用户数据被封装在一个新IP数据包中;在传输模式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时,必须采用隧道模式。

由于IPSec工作在Internet上,接受和传输设备需要共享公钥,这需要通过一个称为ISAKMP/Oakley(Internt Security Association and Key management Protocol/Oakley)的协议来完成,这个协议允许消息接受者获得发送者的公钥,来验证发送者的数字签名的合法性,以建立安全的通讯。

关键词:
分享:

相关文章

没有相关文章!

写一条评论

 

 

0条评论