人狠话不多,这份IPSec的体系结构详解请拿走~
|
副标题[/!--empirenews.page--]
IP安全 (IP Security)体系结构,简称 IPSec,是 IETF IPSec 工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。IPSec工作在 IP 层,为 IP 层及其上层协议提供保护。 IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。IPSec独立于算法,并允许用户( 或系统管理员 ) 控制所提供的安全服务粒度。比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。 IPSec在传输层之下,对应用程序和终端用户来说是透明的。当在路由器或防火墙上安装 IPSec时,无需更改用户或服务器系统中的软件设置即使在终端系统中执行 IPSec,应用程序之类的上层软件也不会受到影响。 1. IPSec的组成 IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、 Internet安全关联和密钥管理协议 ISAKMP的 Internet IP 安全解释域 (DOI)、ISAKMP、Internet密钥交换( IKE)、 IP 安全文档指南、 OAKLE密Y 钥确定协议等,它们分别发布在RFC2401~RFC2412 的相关文档中。图2.3 显示了 IPSec的体系结构、组件及各组件间的相互关系。
2. IPSec 的工作原理 设计IPSec是为了给 IPv4 和IPv6 数据提供高质量的、可互操作的、基于密码学的安全性。IPSec通过使用两种通信安全协议来达到这些目标:认证头(AH) 和封装安全载荷(ESP),以及像 Internet密钥交换(IKE)协议这样的密钥管理 过程和协议来达到这些目标。 IP AH协议提供数据源认证,无连接的完整性, 以及一个可选的抗重放服务。ESP协议提供数据保密性,有限的数据流保密性,数据源认证,无连接的完整性 以及抗重放服务。对于AH和ESP都有两种操作模式:传输模式和隧道模式。IKE 协议用于协商 AH和ESP所使用的密码算法,并将算法所需要的密钥放在合适的位置。 IPSec所使用的协议被设计成与算法无关的。算法的选择在安全策略数据库(SPD)中指定。IPSec允许系统或网络的用户和管理员控制安全服务提供的粒度。通过使用安全关联(SA), IPSec能够区分对不同数据流提供的安全服务。 IPSec本身是一个开放的体系,随着网络技术的进步和新的加密、验证算法 的出现,通过不断加入新的安全服务和特性,IPSec就可以满足未来对于信息安 全的需要。随着互联网络技术的不断进步,IPSec作为网络层安全协议,也是在 不断地改进和增加新的功能。其实在 IPSec的框架设计时就考虑过系统扩展问题。例如在 ESP和 AH的文档中定义有协议、报头的格式以及它们提供的服务,还定义有数据报的处理规则,但是没有指定用来实现这些能力的具体数据处理算法。AH默认的、强制实施的加密MAC是HMA-CMD5和HMA-CSHA,在实施方案中其它的加密算法 DES- CBC、CAST- CBC以及 3DES-CBC等都可以作为加密器使用。 3. IPSec的模式 IPSec协议(包括 AH和ESP)既可以用来保护一个完整的IP 载荷, 也可以用来 保护某个 IP 载荷的上层协议。这两个方面的保护分别由IPSec两种不同的“模式” 来提供:传输模式和隧道模式。
在千兆网络加密工程实现上,我们需要的是根据IPSec协议,实现一个安全 网关设备, 为了保证数据的机密性,考虑采用隧道模式的ESP封装。 由于 IKE协议 是通过软件实现的, 而本文着重讨论 IPSec的硬件实现部分, 故本文不再介绍 IKE 协议。 4. IPSec的实现方式 (编辑:鞍山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
