IPSEC
IPsec与LTPVPN协议的对比
IPsec与LTPVPN协议的对比IPsec与L2TP/IPsec协议的对比IPsec(Internet Protocol Security)是一种网络安全协议,广泛应用于保护网络通信的机密性、完整性和认证性。
而L2TP(Layer 2 Tunneling Protocol)是一种虚拟私人网络(VPN)协议,常与IPsec结合使用,提供更强大的安全性和可靠性。
本文将就IPsec和L2TP/IPsec协议进行对比,分析其优点和适用场景。
一、IPsec协议IPsec协议通过在网络层对IP数据包进行加密和认证来实现安全通信。
它提供了两种主要的安全机制:认证头部(Authentication Header,AH)和封装安全负载(Encapsulating Security Payload,ESP)。
1. 认证头部(AH)机制AH机制通过对每个IP数据包进行认证,确保数据包的完整性和真实性。
它使用加密算法和完整性检查,保证数据在传输过程中不被篡改。
2. 封装安全负载(ESP)机制ESP机制在对IP数据包进行加密的同时,还提供了完整性检查和防止重放攻击的功能。
它使用对称密钥加密算法来保护数据的机密性。
IPsec协议的优点在于其灵活性和广泛支持。
它可以应用于不同的网络环境,支持点对点、站点对站点和多站点的安全连接。
同时,IPsec协议也能与其他安全协议结合使用,提供更高层次的安全性。
二、L2TP/IPsec协议L2TP/IPsec协议是L2TP与IPsec的结合体,结合了两者的优点,提供了更强大的安全性和可靠性。
L2TP作为数据链路层的VPN协议,可以创建安全的隧道连接,在公共网络中传输私密数据。
1. L2TP协议L2TP协议利用隧道技术,在公共网络中建立虚拟点对点连接,通过认证和加密确保通信的安全性。
它可以在现有的IP网络中运行,因此非常方便部署。
2. IPsec协议L2TP与IPsec的结合使得L2TP/IPsec协议具备更高的安全性。
ipsec ,国标
ipsec ,国标摘要:1.IPSec概述2.IPSec国内外标准发展现状3.IPSec在我国的应用及挑战4.我国IPSec发展策略与建议正文:IPSec(Internet Protocol Security)是一种网络层安全协议,旨在为互联网协议(IP)提供安全通信保障。
随着信息技术的飞速发展,网络安全问题日益凸显,IPSec成为了国内外网络安全领域的研究热点。
本篇文章将介绍IPSec的概述、国内外标准发展现状,以及在中国的应用挑战和发展策略。
1.IPSec概述IPSec是一种端到端的安全通信机制,可实现网络层数据包的加密、认证和完整性保护。
其主要特点是透明度高、兼容性强、部署灵活。
IPSec工作在网络层,可应用于各种网络环境,如互联网、企业内部网等。
通过加密、认证等手段,IPSec能够有效防止数据在传输过程中的泄露、篡改和攻击。
2.IPSec国内外标准发展现状在国际上,IPSec技术得到了广泛应用和研究。
相关的国际标准主要有IETF制定的IPSec协议族,包括AH(Authentication Header)、ESP (Encapsulating Security Payload)等。
此外,还有ANSI制定的SSL/TLS 协议,也为IPSec提供了安全传输保障。
在我国,IPSec技术也得到了广泛关注。
国内相关标准主要由全国信息安全标准化技术委员会制定,包括GB/T 29291-2012《信息安全网络安全加密技术基于IPSec的VPN技术要求》等。
此外,我国还积极参与国际标准化活动,推动IPSec技术在全球范围内的应用与发展。
3.IPSec在我国的应用及挑战IPSec在我国的应用越来越广泛,尤其在政府、金融、电力等关键领域。
然而,我国在IPSec技术应用过程中,还面临一些挑战。
首先,网络安全意识不足,部分企业和用户对IPSec的重要性认识不够,导致其在网络安全防护中的投入不足。
其次,我国IPSec技术研究和产业发展相对滞后,与国际先进水平存在一定差距。
认识IPSec
认识IPSecIPSec(互联网协议安全)是一个安全网络协议套件,用于保护互联网或公共网络传输的数据。
IETF在1990 年代中期开发了IPSec 协议,它通过IP网络数据包的身份验证和加密来提供IP 层的安全性。
IPSec简介IPSec 可为通信两端设备提供安全通道,比如用于两个路由器之间以创建点到点VPN,以及在防火墙和Windows 主机之间用于远程访问VPN等。
IPSec 可以实现以下4项功能:•数据机密性:IPSec发送方将包加密后再通过网络发送,可以保证在传输过程中,即使数据包遭截取,信息也无法被读取。
•数据完整性:IPSec可以验证IPSec发送方发送过来的数据包,以确保数据传输时没有被改变。
若数据包遭篡改导致检查不相符,将会被丢弃。
•数据认证:IPSec接受方能够鉴别IPSec包的发送起源,此服务依赖数据的完整性。
•防重放:确保每个IP包的唯一性,保证信息万一被截取复制后不能再被重新利用,不能重新传输回目的地址。
该特性可以防止攻击者截取破译信息后,再用相同的信息包获取非法访问权。
IPSec 不是一个协议,而是一套协议,以下构成了IPSec 套件:AH协议AH(Authentication Header)指一段报文认证代码,确保数据包来自受信任的发送方,且数据没有被篡改,就像日常生活中的外卖封条一样。
在发送前,发送方会用一个加密密钥算出AH,接收方用同一或另一密钥对之进行验证。
然而,AH并不加密所保护的数据报,无法向攻击者隐藏数据。
ESP协议ESP(Encapsulating Security Payload)向需要保密的数据包添加自己的标头和尾部,在加密完成后再封装到一个新的IP包中。
ESP还向数据报头添加一个序列号,以便接收主机可以确定它没有收到重复的数据包。
SA协议安全关联(SA)是指用于协商加密密钥和算法的一些协议,提供AH、ESP操作所需的参数。
最常见的SA 协议之一是互联网密钥交换(IKE),协商将在会话过程中使用的加密密钥和算法。
IPSec常见问题解答:解决IPSec使用过程中的疑难杂症
IPSec常见问题解答:解决IPSec使用过程中的疑难杂症导语:IPSec(Internet Protocol Security)是一种网络安全协议,可确保数据在互联网上的安全传输。
然而,在使用IPSec的过程中,往往会遇到各种疑难问题。
本文将围绕IPSec的常见问题展开讨论,并提供相应的解决方案,帮助用户克服使用IPSec时可能遇到的困难。
一、IPSec连接失败的常见原因及解决方法1. 网络拓扑错误:IPSec的正常连接需要通过正确的网络拓扑结构来支持。
检查网络设备配置,确保IPSec设备的路由设置正确。
2. 重叠的IP地址:IPSec连接的双方不能在同一子网下使用相同的IP地址。
检查并修改IP地址,确保双方使用不同的IP地址。
3. 防火墙阻塞:防火墙可能会阻止IPSec的通信。
检查防火墙设置,确保允许IPSec相关的通信流量通过。
4. 预共享密钥不匹配:IPSec连接需要预共享密钥来进行身份验证。
确保双方使用相同的密钥,或重新生成新的密钥并在两端进行配置。
5. VPN设备不稳定:某些VPN设备可能存在稳定性问题,导致IPSec连接失败。
检查设备固件的更新情况,更新到最新版本,或考虑更换设备。
二、IPSec连接速度慢的常见原因及解决方法1. 带宽限制:如果IPSec连接的网络带宽不足,会导致连接速度慢。
增加带宽,或优化网络设备以提高性能。
2. 加密算法过于复杂:加密算法的选择会直接影响IPSec连接的速度。
降低加密算法的复杂性,选择适当的算法以提高连接速度。
3. 设备性能不足:如果使用的IPSec设备性能较低,也会导致连接速度慢。
考虑升级设备,或优化设备配置以提高性能。
4. 传输延迟:IPSec连接在跨越长距离时,传输延迟可能较高,导致连接速度慢。
优化网络路径,减少传输延迟。
三、IPSec连接时出现丢包的常见原因及解决方法1. MTU设置错误:如果IPSec连接使用的最大传输单元(MTU)设置不正确,会导致丢包现象。
ipsec 协议原理
ipsec 协议原理IPsec(Internet Protocol Security)是一种用于保护IP通信的协议套件。
它提供了机密性、完整性和身份认证等安全服务,使得数据能够在网络中安全地传输。
IPsec协议的原理主要包括两个方面:身份认证和数据加密。
身份认证是IPsec协议的基础。
在IPsec通信中,通过使用加密技术和数字签名等方法,确保通信双方的身份是可信的。
这样可以防止恶意攻击者冒充合法用户或设备,从而保护通信的安全性。
数据加密是IPsec协议的核心。
在IPsec通信中,所有的数据都需要经过加密处理,以防止在传输过程中被窃听、篡改或伪造。
IPsec 协议使用对称加密和非对称加密相结合的方式,确保数据的机密性和完整性。
对称加密使用相同的密钥进行加密和解密,速度较快;而非对称加密使用公钥和私钥进行加密和解密,更加安全。
IPsec 协议通过密钥交换机制,确保通信双方能够安全地共享密钥。
IPsec协议的工作模式包括传输模式和隧道模式。
在传输模式下,只有数据部分被加密,而IP头部信息不加密,适用于主机到主机的通信。
在隧道模式下,整个IP包都被加密,适用于网络到网络的通信。
无论是传输模式还是隧道模式,IPsec协议都能够提供相同的安全性。
IPsec协议还支持不同的认证和加密算法。
常见的认证算法有HMAC-SHA1和HMAC-MD5,用于验证数据的完整性。
常见的加密算法有DES、3DES和AES,用于实现数据的机密性。
这些算法的选择取决于安全需求和性能要求。
除了身份认证和数据加密,IPsec协议还提供了防重放攻击和安全关联管理等功能。
防重放攻击通过使用序列号和时间戳等机制,防止已经被捕获的数据被重放。
安全关联管理用于管理和维护通信双方的安全关联,包括密钥的生成、更新和删除等操作。
总结起来,IPsec协议通过身份认证和数据加密等手段,提供了安全的IP通信服务。
它能够保护数据在网络中的安全传输,防止被窃听、篡改或伪造。
ipsec和ssl vpn原理
IPSec(Internet Protocol Security)和SSL(Secure Socket Layer)VPN是两种常见的远程访问和网络安全协议,它们都用于保护数据在公共网络上的传输,并提供安全的远程访问解决方案。
本文将重点介绍IPSec和SSL VPN的原理,包括其工作原理、优缺点以及适用场景。
一、IPSec VPN原理1. IPSec VPN的工作原理IPSec VPN是一种在IP层实现的安全协议,它建立在IP层之上,可以保护整个网络层的通信。
IPSec VPN使用加密和认证机制来保护数据的机密性和完整性,确保数据在传输过程中不被篡改或窃取。
其工作原理主要包括以下几个步骤:1)通过IKE(Internet Key Exchange)协议建立安全关联(Security Association,SA),协商加密算法、认证算法、密钥长度等参数;2)建立隧道模式或传输模式的安全通道,将要传输的数据封装起来,并使用加密算法对数据进行加密;3)在通信双方的边界设备(如路由器、防火墙)上进行数据的解密和解封装,然后将数据传递给内部网络。
2. IPSec VPN的优缺点IPSec VPN具有以下优点:1)强大的安全性:IPSec VPN采用先进的加密和认证算法,可以有效保护数据的安全性;2)适用于网关到网关和终端到网关的部署:IPSec VPN可以实现网关到网关和终端到网关的安全连接,适用于企业内部网络到外部网络的连接需求。
然而,IPSec VPN也存在一些缺点:1)配置复杂:IPSec VPN的配置相对复杂,需要对网络设备进行详细的配置和管理;2)支持性差:由于IPSec VPN使用的协议和端口较多,导致有些网络环境可能无法通过IPSec VPN进行安全通信。
3. IPSec VPN的适用场景IPSec VPN适用于以下场景:1)企业远程办公:员工可以通过IPSec VPN安全地连接到公司内部网络,进行远程办公和资源访问;2)跨地域网络连接:不同地域的网络可以通过IPSec VPN建立安全连接,实现跨地域的网络互联;3)数据中心互联:多个数据中心之间可以通过IPSec VPN建立安全通道,实现数据的安全传输和共享。
IPsec协议工作原理
IPsec协议工作原理IPsec(Internet Protocol Security)是一种在因特网上提供安全通信的协议。
它提供的安全机制包括机密性(Confidentiality)、完整性(Integrity)和认证(Authentication),确保数据在网络传输过程中得到保护。
本文将介绍IPsec协议的工作原理,包括其加密算法、密钥协商和安全协议等方面。
一、加密算法IPsec协议使用不同的加密算法来实现机密性和完整性。
常见的加密算法包括DES(Data Encryption Standard)、3DES(Triple DES)和AES(Advanced Encryption Standard)。
这些算法可以对数据进行加密,保证数据在传输过程中不会被窃取或篡改。
二、密钥协商在IPsec中,需要使用密钥来进行加密和解密操作。
密钥协商是指在通信双方建立安全连接之前,协商并共享密钥的过程。
常见的密钥协商方式包括手动密钥协商和自动密钥协商。
手动密钥协商是指双方通过安全信道或其他安全手段交换密钥信息。
这种方式的缺点是复杂且容易引入错误,因此在大多数情况下,自动密钥协商更为常用。
自动密钥协商使用密钥管理协议(Key Management Protocol)来自动分发、更新和撤销密钥。
常见的密钥管理协议包括Internet KeyExchange(IKEv1和IKEv2),它们通过协商双方的身份、生成和分发密钥,确保安全连接的建立和维护。
三、安全协议IPsec协议使用安全封装协议(Security Encapsulating Protocol)来保护数据包。
常见的安全封装协议包括AH(Authentication Header)和ESP(Encapsulating Security Payload)。
AH协议提供的机制主要包括完整性检查和认证。
它通过添加一个附加头部,对IP数据包的源地址、目的地址、有效载荷和其他字段进行认证,防止数据被篡改。
IPSec使用方法:配置和启用IPSec的步骤详解(九)
IPSec使用方法:配置和启用IPSec的步骤详解IPSec(Internet Protocol Security)是一种网络层协议,用于确保通信数据的安全性和完整性。
通过加密和身份验证机制,IPSec可以保护网络通信免受恶意攻击和数据泄露的影响。
在本文中,我们将详细介绍如何配置和启用IPSec。
第一步:了解IPSec的概念在我们开始配置和启用IPSec之前,有必要了解一些IPSec的基本概念。
IPSec使用两个核心协议:AH(Authentication Header)和ESP(Encapsulating Security Payload)。
AH负责对数据进行身份验证和完整性检查,而ESP则负责将数据进行加密和解密。
此外,IPSec还需要配置密钥管理机制,以确保安全的密钥分发和更新。
第二步:选择IPSec的实现方式IPSec可以在操作系统级别或网络设备级别进行配置和启用。
如果您正在使用Windows操作系统,您可以通过在操作系统设置中启用IPSec功能来配置IPSec。
另外,许多网络设备也提供了IPSec功能的支持,您可以通过设置设备的安全策略和规则来启用IPSec。
第三步:配置IPSec策略配置IPSec策略是启用IPSec的关键步骤之一。
在Windows操作系统中,您可以通过打开“本地安全策略”管理器来配置IPSec策略。
在“本地安全策略”管理器中,您可以定义多个安全规则,并指定何时和如何应用这些规则。
例如,您可以定义一个规则,要求所有从Internet到内部网络的数据包都必须经过IPSec保护。
在网络设备中,配置IPSec策略的方式可能会有所不同。
您可以通过登录设备的管理界面,并导航到相应的安全设置中来配置IPSec策略。
在这些设置中,您可以定义源地址、目标地址、安全协议和密钥等信息,以确保通信数据的安全性。
第四步:配置和管理密钥为了实现安全的通信,IPSec需要使用密钥对数据进行加密和解密。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2、IPSec协议框架(2)
●密钥管理协议:IKE - RFC2409 、 ISAKMP-RFC2408、OAKLEY协议- RFC2412。 ●密码算法:HMAC-RFC2104/2404、CAST -RFC2144、ESP加密算法-RFC2405/2451 等。 ●其他:解释域DOI-RFC2407、IPComp- RFC2393、Roadmap-RFC2411。
虚拟专用网2
VPN核心技术
一、VPN中的关键技术
隧道 访问控制 密码算法 密钥管理 用户鉴别 网络管理
隧道技术
VPN系统被设计成通过Internet提供安全的点 到点(或端到端) 的“隧道”。隧道是在公共通 信网络上构建的一条数据路径,可以提供与专 用通信线路等同的连接特性。 VPN隧道对要传输的数据用隧道协议进行封装, 这样可以使数据穿越公共网络(通常是指 ( Internet)。 整个数据包的封装和传输过程称为挖隧道。数 据包所通过的逻辑连接称为一条隧道。 在VPN中, 数据包流由一个LAN上的路由器发 出, 通过共享IP网络上的隧道进行传输,再达到 另一个LAN上的路由器。
图 IPSec隧道模式下的AH、ESP的数据封装格式
7、安全策略数据库(SPD)(1)
SP是一个描述规则,定义了对什么样的 数据流实施什么样的安全处理,至于安 全处理需要的参数在SP指向的一个结构 SA中存储。 SA SP描述:对本地子网和远程网关后的子 网间的通信流,实施ESP通道保护,采用 3DES加密算法和HMAC-SHA1验证算法。
• 加密及验证密钥。 • 密码算法在系统中的标识。 • 序列号,32位的字段,在处理外出的数据包时,一个SA被 应用一次,它的序列号号字段就递增一,并被填充到数据包 的IPSec头中,接收方可以利用此字段进行抗重播攻击。 •抗重播窗口。接收方使用滑动窗口算法来进行对恶意主机 重复发出的数据包进行检测。 •生存周期。规定了该SA的有效使用周期,可以按照建立至 今的时间或者处理的流量来计算。 •实施模式。即通道模式还是传输模式。 •IPSec隧道目的地址。 •安全参数索引(SPI)。参与唯一标识某SA。
新IP头 IPSec头 加密/认证IP数据包
6、几种隧道技术的比较
应用范围:
PPTP、L2TP:主要用在远程客户机访问局域网方案 中; IPSec主要用在网关到网关或主机方案中,不支持远 程拨号访问。
安全性:
PPTP提供认证和加密功能,但安全强度低 L2TP提供认证和对控制报文的加密,但不能对传输 中的数据加密。 IPSec提供了完整的安全解决方案。
1、IPSec体系结构
体 封装安全载荷(ESP) 加密 算法 解 释 域 密钥交换与管理IKE 安全关联SA 系 认证头(AH) 认证 算法
图 IPSec安全体系结构
2、IPSec协议框架(1)
综合了密码技术和协议安全机制,IPSec协议 的设计目标是在IPV4和IPV6环境中为网络层流 量提供灵活的安全服务。IPSec协议提供的安 全服务包括:访问控制、无连接完整性、数据 源鉴别、攻击保护、机密性、有限的流量保密 等。IPSec协议主要内容包括: ●协议框架-RFC2401; ●安全协议:AH协议-RFC2402、ESP协议- RFC2406;
通用路由封装(GRE)定义了在任意一种网络层协议上封装另一个协议的规范。
PPTP客户机或PPTP服务器在接收到PPTP数据包后,将 做如下处理: • 处理并去除数据链路层报头和报尾; • 处理并去除IP报头; • 处理并去除GRE和PPP报头; • 如果需要的话,对PPP有效载荷即传输数据进行解 密或解压缩; • 对传输数据进行接收或转发处理。
二、VPN的隧道技术
1、隧道的相关知识 2、隧道协议类型 3、第二层隧道:PPTP 4、第二层隧道:L2TP 5、第三层隧道技术:IPSec 6、几种隧道技术的比较
1、隧道的相关知识
隧道的定义:实质上是一种封装,将一种协议(协议X) 封装在另一种协议(协议Y)中传输,从而实现协议X 对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议 乘客协议(Passenger Protocol) 封装协议(Encapsulating Protocol) 运载协议(Carrier Protocol) 隧道协议例子
QoS(quality of service)保证:都未提供 对多协议的支持:IPSec不支持
三、基于IPSec的VPN的体系结构
1、IPSec体系结构 2、IPSec协议框架 3、AH协议 4、ESP协议 5、IPSec传输模式 6、IPSec隧道模式 7、安全策略数据库(SPD) 8、安全联盟数据库(SADB) 9、数据包输出处理 10、数据包输入处理 11、包处理组件实现模型
新IP头信息 (源地址Y、目的地址X)
原IP头信息 (源地址B、目的地址A) 原IP头 TCP头 数据 数据 原IP包 IPv4 AH隧道模式
新IP头 AH 原IP头 TCP头 认证的(新IP头的可变字段除外) 认证的 加密的 TCP头 数据 ESP尾部
新IP头
ESP头部
原IP头
ESP认证数据
IPv4 ESP隧道模式
2、IPSec协议框架(3)
IPSec架构 ESP协议 AH协议
加密算法
鉴别算法
ike定义了安全参数如何协 商,以及共享密钥如何建立, 但它没有定义的是协商内 容.这方面的定义是由"解 释域(doi)"文档来进行的
解释域(图
3、AH协议
认证的(IP头中可变字段除外) 原IP头 AH头 TCP头 数据 下一负载头标(8) 净载荷长度(8) 保留(16) 安全参数索引(SPI) 序列号 认证数据(32比特的整数倍) IPv4 传输模式
隧道协议-数据封装
隧道使用隧道协议来封装数据。一种协 议X的数据报被封装在协议Y中,可以实 现协议X在公共网络的透明传输。这里协 议X称作被封装协议,协议Y称为封装协 X Y 议。隧道的一般封装格式为(协议Y(隧道 头(协议X)))。
隧道协议
第二层(链路层):PPTP、L2F、L2TP 第三层(网络层):IPSec
网络管理
作为网络技术一个分支, VPN系统无论 采用哪种实现形式(软件/硬件/软硬结 合),均涉及网络化管理问题。而且VPN 对网管安全提出了更高要求,目前经常 采用标准的网管协议SNMP V2一方面安 全机制不健全,另一方面缺乏对VPN系统 的内在支持。从某种意义上讲,网管技 术的发展直接制约着VPN技术的大规模应 用。
10、数据包输入处理
系统收到IP包后,判断如果是IPSec包,则 从头部取到<SPI>,搜索SADB。 若找不到SA,触发IKE或丢弃包; 若找到,根据其进行解封装,得到去通道 化后的原始IP包,再从原始IP包中提取选择符, 搜索到SPD中某一条目,检查收到包的安全处理 是否符合描述规则,不符合则丢弃包,符合则转 入系统IP协议栈进行后继处理。
ESP认证数据
IPv4 ESP传输模式
图 IPSec传输模式下的AH、ESP数据封装格式
6、IPSec隧道模式
VPN网关 X 数据 B A 主机A B A 数据 IP分组 (SPD)
经认证(加密)的数据 VPN隧道
VPN网关 X
数据 B A Y X Y X B A 数据 (SPD)
数据 B A B A 数据 主机B
7、安全策略数据库(SPD)(2)
系统中的安全策略组成了SPD,每个记录 就是一条SP, 一般分为应用IPSec处理、 绕过、丢弃。 从通信数据包中,可以提取关键信息填 充到一个称为“选择符”的结构中去, 包括目标IP、源IP、传输层协议、源和 目标端口等等。然后利用选择符去搜索 SPD,找到描述了该通信流的SP。
4、第二层隧道:L2TP
数据封装格式:
IP头 UDP头 L2TP头 PPP数据
特点:
它综合了第二层转发协议(L2F)和PPTP两 种协议各自的优点 协议的额外开销较少
5、第三层隧道技术:IPSec
IPSec:即IP层安全协议,是由Internet 组织IETF的IPSec工作组制定的IP网络层 安全标准。它通过对IP报文的封装以实 现TCP/IP网络上数据的安全传送。 数据封装格式:
图 AH的格式
4、ESP协议
原IP头 ESP头部 认证的 加密的 TCP头 数据 ESP尾部 ESP净载荷 安全参数索引SPI(32比特) 序列号(32比特) ESP净载荷(变长) ~ ~ 填充(0-255字节) 填充长度(8比特) 认证数据(长度可变) 图 ESP格式 下一负载头标(8比特) ESP认证数据
访问控制
一般而言,对资源的访问应在访问策略 的控制下进行。 访问控制决定了主体是否被授权对客体 执行某种操作。 它依赖鉴别对主体的身份认证,将特权 与主体对应起来。 只有经鉴别的主体,才允许访问特定的 网络资源。
密码算法
VPN中的安全机制本质上依托于密码系统, 如各种加密算法、鉴别算法。密码系统 中各种算法的特性、密钥长度、应用模 式不同,直接影响在VPN提供的安全服务 VPN 的强度。安全强度更高的新算法、各种 算法的硬件实现自然代表VPN技术发展的 趋势。
9、数据包输出处理
数据包被从网络设备发送出去之前,截取到 IP包,然后从中提取选择符信息,依据之搜索 SPD,产生如下可能结果: SP决定丢弃此包,于是直接丢弃,或者还可 以向源主机发送ICMP信息; SP决定通过此包,直接将数据包投放到网络设 备的发送队列; SP决定应用IPSec,此时SP指向一个SA,可以根 据它进行安全处理(需要的SA不存在,则触发 IKE模块协商建立SA,协商周期内数据包进入 等待队列等待协商完成,若协商超时,也会丢 弃该包。)
IPv4 传输模式
5、IPSec传输模式
经认证(加密)的数据 原IP头信息 (源地址A目的地址B) 数据 B A B 数据 A