IPSec协议
IPSec协议
IPSec协议概述:IPSec(Internet Protocol Security)是一种用于保护Internet协议(IP)通信的协议套件。
它提供了数据的机密性、完整性和身份验证,通过对IP数据包进行加密和认证来保护通信的安全性。
本协议旨在规范IPSec协议的标准格式和使用方法,确保在各种网络环境下的安全通信。
1. 引言本协议旨在定义IPSec协议的标准格式,包括协议的结构、数据包的格式、密钥管理和认证方法等。
通过遵循本协议,用户可以在网络通信中使用IPSec协议来保护数据的安全性。
2. 术语和定义2.1 IPSec:Internet Protocol Security的缩写,指用于保护IP通信的协议套件。
2.2 加密:将数据转换为密文,以保护数据的机密性。
2.3 认证:验证通信双方的身份,以确保通信的安全性。
2.4 密钥管理:管理加密和认证所需的密钥的生成、分发和更新。
2.5 安全关联:定义了一组IPSec参数,用于加密、认证和密钥管理。
3. 协议结构IPSec协议由两个主要的协议组成:认证头(AH)和封装安全负载(ESP)。
3.1 认证头(AH):提供数据的完整性和认证功能。
3.2 封装安全负载(ESP):提供数据的机密性、完整性和认证功能。
4. 数据包格式4.1 AH数据包格式:- Next Header:指示下一个扩展报头的类型。
- Payload Length:指示AH报头和负载的总长度。
- Security Parameters Index (SPI):标识安全关联。
- Sequence Number:用于防止重放攻击。
- Authentication Data:用于数据的认证和完整性验证。
4.2 ESP数据包格式:- Security Parameters Index (SPI):标识安全关联。
- Sequence Number:用于防止重放攻击。
- Payload Data:加密后的数据。
IPSec协议
IPSec协议一、背景和目的IPSec(Internet Protocol Security)是一种网络协议,用于保护IP网络中的数据传输安全。
它提供了对IP层进行加密和认证的机制,确保数据在传输过程中的机密性、完整性和身份验证。
本协议的目的是明确IPSec协议的标准格式,以便确保在各种网络环境中的一致性和互操作性。
二、定义和术语1. IPSec:Internet Protocol Security的缩写,指的是一种网络协议,用于保护IP 网络中的数据传输安全。
2. AH(Authentication Header):认证头,用于对IP数据报进行身份验证和完整性保护。
3. ESP(Encapsulating Security Payload):封装安全载荷,用于对IP数据报进行加密和身份验证。
4. SA(Security Association):安全关联,定义了通信双方之间的安全参数。
5. IKE(Internet Key Exchange):互联网密钥交换协议,用于在通信双方建立安全关联之前商议密钥材料。
三、协议规范1. IPSec协议支持两种模式:传输模式和隧道模式。
a) 传输模式:仅对IP数据报有效载荷进行加密和身份验证。
适合于主机到主机的通信。
b) 隧道模式:对整个IP数据报进行加密和身份验证。
适合于网关到网关的通信。
2. IPSec协议使用SA来定义通信双方之间的安全参数,包括:a) 安全协议:AH或者ESP。
b) 加密算法:用于对数据进行加密的算法。
c) 认证算法:用于对数据进行身份验证和完整性保护的算法。
d) 密钥长度:用于确定加密算法和认证算法中使用的密钥长度。
e) 密钥材料:用于加密和认证的密钥。
3. IPSec协议使用IKE来商议SA的参数和密钥材料。
IKE协议包括两个阶段:a) 第一阶段:建立安全关联所需的参数和密钥材料。
b) 第二阶段:商议SA的具体参数和密钥材料。
4. IPSec协议支持以下安全服务:a) 机密性:通过加密算法对数据进行保护,防止未经授权的访问。
IPSec协议
IPSec协议协议名称:IPSec协议一、引言IPSec协议是一种网络安全协议,用于保护网络通信的机密性、完整性和身份验证。
本协议旨在确保数据在互联网上的传输过程中得到保护,防止数据被未经授权的第三方访问、篡改或伪装。
二、协议目的IPSec协议的目的是为互联网通信提供安全性,通过加密和认证机制,保护通信数据的隐私和完整性,同时确保通信双方的身份验证。
三、协议范围本协议适用于所有使用IPSec协议进行网络通信的实体,包括但不限于网络设备、服务器和终端用户。
四、术语定义1. IPSec(Internet Protocol Security):互联网协议安全性的缩写,是一种网络安全协议,用于保护网络通信的机密性、完整性和身份验证。
2. 加密:将明文数据转换为密文数据的过程,以保证数据的机密性。
3. 解密:将密文数据转换为明文数据的过程,以恢复数据的原始内容。
4. 认证:验证通信双方的身份,确保通信的可信性和完整性。
5. 安全关联(Security Association,SA):在通信双方之间建立的安全通道,用于加密、解密和认证通信数据。
五、协议要求1. 加密要求:a. 使用AES(Advanced Encryption Standard)算法进行数据加密,密钥长度为128位。
b. 加密算法的实现应符合国际标准,并经过安全性评估和认证。
c. 加密过程应对数据进行分组处理,确保数据的完整性和安全性。
2. 认证要求:a. 使用HMAC-SHA256(Hash-based Message Authentication Code)算法进行数据认证。
b. 认证算法的实现应符合国际标准,并经过安全性评估和认证。
c. 认证过程应对数据进行分组处理,确保数据的完整性和可信性。
3. 安全关联(SA)要求:a. 在通信双方建立安全关联之前,应进行身份验证,确保通信双方的身份可信。
b. 安全关联的建立应使用Diffie-Hellman密钥交换算法,确保密钥的安全性。
IPSec协议
IPSec协议协议名称: IPSec协议1. 引言IPSec(Internet Protocol Security)是一种网络协议,用于保护网络通信的机密性、完整性和身份验证。
该协议提供了安全的IP通信,通过对IP数据包进行加密和认证来确保数据的安全传输。
本协议旨在详细描述IPSec协议的标准格式和相关要求。
2. 背景随着互联网的普及,网络安全问题变得日益重要。
传统的IP协议无法提供足够的安全性保障,因此IPSec协议应运而生。
IPSec协议通过在IP层对数据包进行加密、认证和完整性校验,有效地防止了数据的窃听、篡改和伪装攻击。
3. 目标IPSec协议的主要目标是提供以下安全服务:- 机密性:确保数据在传输过程中的保密性,防止数据被未经授权的人员获取。
- 完整性:保护数据不被篡改,确保数据在传输过程中的完整性。
- 身份验证:验证通信双方的身份,防止伪装攻击。
4. 协议要求IPSec协议的实现必须满足以下要求:4.1 安全策略- 安全策略应定义哪些IP数据包需要被保护,以及如何保护。
- 安全策略应包括加密算法、认证算法和密钥管理方式等相关参数。
4.2 加密和认证算法- IPSec协议支持多种加密和认证算法,实现必须支持至少一种加密算法和一种认证算法。
- 加密算法应提供足够的安全性,保护数据免受窃听攻击。
- 认证算法应能够验证数据的完整性,防止数据被篡改。
4.3 密钥管理- 密钥管理是IPSec协议的关键部分,用于生成、分发和更新加密和认证所需的密钥。
- 密钥管理应确保密钥的安全性,防止密钥被未经授权的人员获取。
- 密钥管理应支持密钥的自动更新,以应对密钥被破解或泄露的风险。
4.4 安全关联- 安全关联是指在通信双方之间建立的安全连接。
- 安全关联应包括通信双方的身份信息、加密和认证算法、密钥等相关参数。
- 安全关联应能够动态建立和终止,以适应网络通信的变化。
4.5 安全关联数据库- 安全关联数据库用于存储和管理安全关联的信息。
IPSec协议
IPSec协议协议名称:IPSec协议一、引言IPSec(Internet Protocol Security)是一种网络层协议,用于保护IP数据包的安全性和完整性。
本协议旨在确保在互联网上进行的数据传输是安全的,并提供对数据的加密、认证和完整性保护。
本协议的目标是为网络通信提供保密性、数据完整性和用户身份验证。
二、定义和术语1. IPSec:Internet Protocol Security,互联网协议安全。
2. 安全关联(SA):在IPSec中,安全关联定义了一组安全参数,用于保护通信。
3. 安全策略数据库(SPD):用于存储和管理IPSec安全策略的数据库。
4. 安全策略(SP):定义了对特定流量应用的安全要求和处理方式的规则集合。
5. 安全关联数据库(SAD):用于存储和管理IPSec安全关联的数据库。
三、协议规范1. 安全关联建立a. 发起方向目标方发送安全关联建立请求。
b. 目标方收到请求后,验证请求的合法性,并生成一组安全参数。
c. 目标方向发起方发送安全关联建立响应,包含生成的安全参数。
d. 发起方收到响应后,验证响应的合法性,并保存安全参数。
2. 安全关联维护a. 定期检查安全关联的有效性,如有需要,进行更新或重新建立。
b. 监听网络流量,检测安全关联的攻击或异常行为。
c. 根据安全策略,对安全关联进行调整或终止。
3. 安全策略管理a. 管理者根据需求,制定安全策略,包括加密算法、认证算法、密钥长度等。
b. 将安全策略存储到安全策略数据库中,并定期更新。
c. 根据网络流量和需求,调整安全策略。
4. 数据传输a. 发送方将要传输的数据包进行加密和认证处理,并附加安全参数。
b. 接收方根据安全参数对数据包进行解密和认证。
c. 检查数据包的完整性,确保数据没有被篡改。
5. 安全关联终止a. 发起方或目标方可以发起安全关联的终止请求。
b. 终止请求被接收后,安全关联将被终止,并清除相关的安全参数。
IPSec协议
IPSec协议协议名称:IPSec (Internet Protocol Security) 协议一、引言IPSec是一种网络安全协议,用于保护Internet Protocol (IP) 网络上的数据传输。
本协议旨在为网络通信提供机密性、完整性和身份验证等安全服务。
本协议规定了IPSec的基本原理、协议流程、安全策略和相关实施细节。
二、背景随着互联网的快速发展,网络安全问题日益突出。
传统的IP协议在数据传输过程中无法提供足够的安全保障,容易受到黑客攻击和数据篡改等威胁。
IPSec协议应运而生,旨在通过加密和认证等手段,确保数据在传输过程中的安全性。
三、协议目标IPSec协议的主要目标如下:1. 提供数据传输的机密性,防止数据被未经授权的人员窃听。
2. 提供数据传输的完整性,防止数据在传输过程中被篡改。
3. 提供数据传输的身份验证,确保通信双方的身份合法可信。
4. 提供对抗重放攻击的能力,防止黑客通过重复发送已捕获的数据包进行攻击。
5. 提供灵活的安全策略配置,以满足不同网络环境和应用场景的需求。
四、协议流程IPSec协议的流程包括以下步骤:1. 安全关联建立:通信双方通过交换安全参数,建立安全关联,包括加密算法、认证算法、密钥长度等。
2. 安全参数协商:通信双方协商确定具体的安全参数,如密钥协商方式、密钥更新策略等。
3. 数据加密:发送方使用协商好的密钥和算法对数据进行加密。
4. 数据认证:发送方使用协商好的认证算法对数据进行签名,接收方通过验证签名来确保数据的完整性。
5. 数据传输:加密后的数据通过IP协议进行传输。
6. 数据解密:接收方使用协商好的密钥和算法对数据进行解密。
7. 数据验证:接收方通过验证签名来验证数据的完整性。
8. 安全关联终止:通信结束后,双方终止安全关联,释放相关资源。
五、安全策略IPSec协议的安全策略包括以下方面:1. 访问控制:通过访问控制列表 (ACL) 或安全策略数据库 (SPD) 控制哪些数据包需要进行安全处理。
IPsec网络安全协议
IPsec网络安全协议IPsec(Internet Protocol Security)是一种网络安全协议,用于保护网络通信的机密性、完整性和身份认证。
它提供了一套框架和协议,使得在公共网络上进行安全通信成为可能。
本文将介绍IPsec协议的基本原理、安全性能以及常见的应用场景。
一、IPsec协议的基本原理IPsec协议基于网络层,提供了对IP数据包进行安全处理的能力。
其核心原理是通过加密、身份认证和完整性校验来保护通信数据的机密性和完整性。
1. 加密:IPsec协议使用对称加密和非对称加密相结合的方式来保护数据的机密性。
对称加密使用相同的密钥对数据进行加密和解密,加密速度快但密钥传输存在安全隐患;非对称加密使用一对相关的密钥,公钥用于加密数据,私钥用于解密数据。
IPsec协议通常使用对称加密加密对称密钥,然后使用非对称加密进行密钥交换。
2. 身份认证:IPsec协议通过数字证书、预共享密钥或者其他安全手段来验证通信双方的身份。
这样可以防止中间人攻击和身份欺骗。
3. 完整性校验:IPsec协议使用散列函数对数据进行完整性校验,确保数据在传输过程中未被篡改。
散列函数将输入数据转换成固定长度的摘要,并通过摘要的比对来判断数据是否完整。
二、IPsec协议的安全性能IPsec协议在提供网络安全性方面具有以下优势:1. 机密性:IPsec使用强大的加密算法对数据进行加密,保护数据的隐私和机密性。
即使在公共网络上进行通信,也很难通过窃听获取到有效信息。
2. 完整性:IPsec使用完整性校验机制,保证数据在传输过程中未被篡改。
即使数据被篡改,接收方可以通过完整性校验来检测到并拒绝接受数据。
3. 身份认证:IPsec提供了身份认证的能力,防止中间人攻击和身份冒充。
通信双方可以相互验证对方的身份,确保通信的可信性。
4. 抗重放攻击:IPsec协议使用序列号和时间戳等机制来防止重放攻击。
每个数据包都带有唯一的序列号,接收方可以通过检查序列号来防止重复的数据包被接受。
IPSec协议
IPSec协议协议名称:IPSec协议一、引言IPSec(Internet Protocol Security)是一种网络安全协议,用于保护IP数据包在公共网络中的传输安全。
该协议提供了数据机密性、数据完整性和身份验证等安全服务,确保数据在网络中的传输过程中不被窃听、篡改或伪造。
二、目的本协议的目的是规范IPSec协议的使用和实施,确保网络通信的安全性和可靠性。
通过制定标准的协议规则和流程,实现对网络数据传输的保护,防止恶意攻击和信息泄露。
三、范围本协议适用于所有使用IPSec协议的网络通信系统,包括但不限于企业内部网络、云服务提供商、电信运营商等。
四、术语定义4.1 IPSec:Internet Protocol Security的缩写,即互联网协议安全。
4.2 SA(Security Association):安全关联,指两个通信节点之间建立的安全通信通道。
4.3 AH(Authentication Header):身份验证头,用于提供数据完整性和身份验证。
4.4 ESP(Encapsulating Security Payload):封装安全载荷,用于提供数据机密性和完整性。
4.5 IKE(Internet Key Exchange):互联网密钥交换,用于建立安全关联的密钥协商协议。
五、协议规定5.1 安全关联的建立5.1.1 通信节点在建立安全关联之前,应进行身份验证,确保通信双方的合法性和可信性。
5.1.2 通信节点应使用IKE协议进行密钥交换,生成用于加密和解密数据的密钥。
5.1.3 通信节点应协商并建立安全关联,确定加密算法、认证算法和密钥长度等参数。
5.2 数据传输的保护5.2.1 数据发送方应将数据包封装为ESP格式,保证数据的机密性和完整性。
5.2.2 数据接收方应对接收到的数据包进行解封装,并验证数据的完整性和真实性。
5.2.3 数据传输过程中,通信节点应定期更换密钥,提高安全性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPSec协议IPSec协议1 IP Sec协议概述2 IPSec VPN工作原理4.2.1 隧道建立方式2.2 数据保护方式2.3 IPSEC 协议体系结构3 IP Sec的优点1 IP Sec协议概述IPSec是一系列基于IP网络(包括Intranet、Extranet和Internet)的,由IETF 正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。
IPSec可以保证局域网、专用或公用的广域网及Internet上信息传输的安全。
①保证Internet上各分支办公点的安全连接:公司可以借助Internet或公用的广域网搭建安全的虚拟专用网络。
这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托Internet即可以获得同样的效果。
②保证Internet上远程访问的安全:在计算机上装有IPSec的终端用户可以通过拨入所在地的ISP的方式获得对公司网络的安全访问权。
这一做法降低了流动办公雇员及远距离工作者的长途电话费用。
③通过外部网或内部网建立与合作伙伴的联系:IPSec通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。
④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,IPSec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web 访问在内多种应用程序的安全。
IPSec在传输层之下,对于应用程序来说是透明的。
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。
如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
IPSec正向Internet靠拢。
已经有一些机构部分或全部执行了IPSec。
IAB的前任总裁Christian Huitema认为,关于如何保证Internet安全的讨论是他所见过的最激烈的讨论之一。
讨论的话题之一就是安全是否在恰当的协议层上被使用。
想要提供IP级的安全,IPSec必须成为配置在所有相关平台(包括Windows NT,Unix和Macintosh系统)的网络代码中的一部分。
实际上,现在发行的许多Internet应用软件中已包含了安全特征。
例如,Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议(SSL),还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。
然而,VPN需要的是网络级的功能,这也正是IPSec所提供的。
2 IPSec VPN工作原理当IPSec用于路由器时,就可以建立虚拟专用网。
在路由器的连内部网的一端,是一个受保护的网络,另一端则是不安全的公共网络。
两个这样的路由器建立起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一个VPN。
4.2.1 隧道建立方式IPsec VPN隧道的建立过程可以分为二个阶段:第一阶段有二种模式: 主模式或主动模式和第二阶段:快速模式。
第一阶段有三个任务必须完成:①协商一系列算法和参数(这些算法和参数用于保护隧道建立过程中的数据)。
②必须计算出二边使用的加密KEY值,例如,二边使用3DES算法密,3DES 算法则需要一个密码,这个密码两端端必须一样,但又不能在链路上传递。
③对等体的验证,如何才能知道对端就是我要与之通信的对端.这里验证有三种方法:预共享,数字签名,加密临时值。
这一系列过程都是IKE这个协议来实现。
第一阶段三个任务,分别用6个消息来完成,每二个为一组。
第一个消息由隧道的发起者发起,携带了如这样一些参数,如加密机制-DES,散列机制-MD5-HMAC,Diffie-Hellman组-2,认证机制-预共享。
第二个消息由响应者回应,内容基本一样,主要与发起者比较,是否与发起者匹配,不匹配就进行下一组的比较.如果最终都找不到匹配,隧道就停止建立。
第三个消息由发起者发出,但是在发出这个消息之前,有个过程必须先完成,就是Diffie-Hellman算法过程。
该过程的目的是什么呢?刚刚第一二条消息中所协商的算法它们必须需要一个KEY,这个KEY在二个对等体上必须一样,但同时这个KEY不能在链路中传递,因为传递KEY是一个不安全的手段.所以,该过程的目的是分别在二个对等间独立地生成一个DH公共值,该公共值有什么用呢?因为二个对等体上都生成该DH 公共值后,它们会在接下来的第三第四消息中传送给对方,打个比方,就是A收到了B 的DH 公共值,B 收到了A 的DH 公共值.当A,B 都收到了对方的该公共值后,问题就好解决了.因为有一个公式在数学中被论证成立,那么现在借助该公式,就可以在二个对等上生成一个只有他们二个对等体知道的相同的KEY ,该公式为发起者密秘=(Xb)amod p=(Xa)bmod p=响应者密秘注意,这个密秘不是最终算法中使用的KEY ,但二个对等体通过该KEY 材料来生成另个三个密钥,分别是: SKEYID_d--此密钥被用于计算后续IPsec 密钥资源。
SKEYID_a--此密钥被用于提供后续IKE 消息的数据完整性以及认证。
SKEYID_e--此密钥被用于对后续IKE 消息进行加密。
所以由发起者发起的第三条消息主要是向对等体发送自己的DH 公共值 。
第四条消息由响应者向发起者发送,主要是向发送者发送自己的DH 公共值.由于第一二条消息的算法,第三四条消息生成的KEY ,所以在后续的第五六条消息就能被加密传送. 第五条消息由发起者向响应者发送,主要是为了验证对端自己就是自己想要与之通信的对端.这可以通过预共享,数字签名,加密临时值来实现.。
第六条消息由响应者向发起者发送,主要目的和第五条一样。
第二阶段只有一任务必须完成:在二个对等体间协商产生IPsec 联盟的属性,安全联盟可以加密二个对等体间的数据,这才是真正的需要加密的用户数据,至此,隧道才真正建立起来。
在第一阶段的六条消息过后,就进入了第二阶段:快速模式,快速模式使用二条消息来实现:发起者会在第一条消息中发送IPsec SA 的转换属性,如:封装--ESP,完整性检验--SHA-HMAC,DH 组--2,模式--隧道,响应者向发起者发送第二条消息,同意第一条消息中的属性,同时也能起到确认收到对端消息的作用。
这一步一旦完成,隧道就建立起来了,用户的数据就能被放入隧道中传送。
IPSec 隧道建立过程类似于TCP 三次握手,如下图所示:连接请求确认 SYN,ACK,SEQ=Y ,ACK=X+1被动打开 SYN,SEQ=X确认 SYN,SEQ=X+1,ACK=Y+1服务器客户端图1 “三次”握手隧道的建立过程1)客户端向服务器端发送一个SYN置位的TCP报文;2)服务器端接收到客户端发送过来的SYN报文后,向客户端发送一个SYN 和ACK都置位的TCP报文,其中包括确认号为x+1和服务器的初始序列号y;3)客户端收到服务器返回的SYN+ACK报文后,向服务器返回一个确认号为y+1序列号为x+1的ACK报文。
2.2 数据保护方式IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据:①认证:可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
②数据完整:保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
③机密性:使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。
在IPSec由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载封装(ESP)和互联网密钥管理协议(IKMP)。
认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。
对于VPN来说,认证和加密都是必需的,因为只有双重安全措施才能确保未经授权的用户不能进入VPN,同时,Internet上的窃听者无法读取VPN上传输的信息。
大部分的应用实例中都采用了ESP而不是AH。
密钥交换功能允许手工或自动交换密钥。
当前的IPSec支持数据加密标准(DES),但也可以使用其它多种加密算法。
因为人们对DES的安全性有所怀疑,所以用户会选择使用Triple-DES(即三次DES加密)。
至于认证技术,将会推出一个叫作HMAC(MAC 即信息认证代码Message Authentication Code)的新概念。
2.3 IPSEC 协议体系结构IPSec将几种安全技术结合形成一个完整的安全体系,它包括安全协议部分和密匙协商部分。
这些协议之间的相互关系如图2所示:图2 IPSec 协议体系①安全关联和安全策略:安全关联(Security Association,SA)是构成IPSec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(AH协或者ESP协议) 、转码方式、密匙及密匙的有效存在时间等等。
②IPSec协议的运行模式:IPSec协议的运行模式有两种,IPSec隧道模式及IPSec传输模式。
隧道模式的特点是数据包最终的目的地不是安全的终点。
通常情况下,只有IPSec双方有一方是安全网关或路由器,就必须使用隧道模式。
传输模式下,IPSec主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
③认证协议头(AH)是在所有数据包头加入一个密码。
正如整个名称所示,AH通过一个只有密钥持有人才知道的"数字签名"来对用户进行认证。
这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。
不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
两个最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位的密匙,而SHA-1通过最高到160位密匙提供更强的保护。
④安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。
ESP也能提供认证和维持数据的完整性。
最主要的ESP标准是数据加密标准(DES),DES最高支持56位的密匙,而Triple-DES使用三套密匙加密,那就相当于使用最高到168位的密匙。