返回
基于ipsec安全协议的internet通信安全new

基于ipsec安全协议的internet通信安全new

ID:34066788

大小:202.83 KB

页数:7页

时间:2019-03-03

基于ipsec安全协议的internet通信安全new_第1页
基于ipsec安全协议的internet通信安全new_第2页
基于ipsec安全协议的internet通信安全new_第3页
基于ipsec安全协议的internet通信安全new_第4页
基于ipsec安全协议的internet通信安全new_第5页
资源描述:

《基于ipsec安全协议的internet通信安全new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、基于IPSEC安全协议的INTERNET通信安全王艳芳(云南师范大学物理与电子信息学院,云南昆明650092)摘要:目前的INTERNET通信协议TCP/IP存在诸多安全缺陷,无法满足越来越高的INTERNET通信安全要求,本文针对IPV4协议的通信安全问题,论述在网络层实施IPSEC安全协议以解决目前INTERNET通信的部分安全问题,主要包括:对网络单元的访问控制、数据源认证、数据完整性和保密、重播数据包的监测和拒绝(抗重播),并对IPSEC的实施方案进行探讨和设计。关键词:IPSEC;AH;ESP

2、;MAC1引言随着INTERNET在全世界范围内的迅速扩展,人们越来越依赖它进行方便、快捷的信息交流,INTERNET使用TCP/IP协议将各种信息封装成IP包在网络上传递,然而,目前流行的TCP/IP(IPV4)协议在设计之初侧重于效率而忽略信息的保密、认证等安全性问题,网上传送的信息可能被偷看(无法保密),可能被篡改(无法保证完整性),人们对接收到的信息无法验证它是否真的来自于可信任的发送者(无身份验证),人们也无法限制非法或未授权用户侵入自己的主机等等。TCP/IP的安全缺陷让网络黑客有可乘之机发

3、动各种攻击(比[1]如地址欺骗攻击、拒绝服务攻击等),同时也无法满足人们对网络传送信息越来越高的安全要求(比如个人电子邮件、信用卡号的保密,电子商务活动中商家、客户及银行的各种敏感信息的安全,分散办公的企业内部信息的保密和安全访问控制等)。为了弥补TCP/IP的安全缺陷,人们制定了各种安全措施,有的在应用层实施(如EMAIL客户端使用PGP来保障电子邮件安全),有的在传输层实施(如WWW目前使用TLS协议在TCP顶端提供身份验证、完整性校验和保密性安全服务。IPSEC则是在网络层针对IP包提供数据保密性

4、、数据完整性、数据源认证和抗重播的安全服务,由于INTERNET上所有信息都通过IP包传送,因此IPSEC是目前唯一一种能为任何形式的INTERNET通信提供安全保障的协议,任何上层应用协议和传输层协议可以不用修改“无缝”地从网络层获得安全保障,共享IPSEC提供的安全服务,实施IPSEC可以实现端到端安全、虚拟专用网VPN,满足人们对INTERNET传送信息的安全要求。2IPSEC的保密服务2.1保密算法及密钥现在的保密算法主要有对称密钥密码算法系统和公钥密码算法系统两大体系。对称密钥密码算法的加密函

5、数与解密函数使用同一个密钥,公钥密码算法则要使用两个不同的密钥,一个用于加密函数,一个用于解密函数。对称密钥密码算法主要使用异或、逐位与、位循环等初级操作,无论以软件方式还是硬件方式执行都非常有效,加/解密吞吐量比公钥密码算法(主要使用大指数模运算)大的多,对于IP包来说,效率是很重要的,因此IPSEC安全协议使用对称密钥密码算法对IP包进行加/解密以提供保密服务。IPSEC常用的保密算法为:CBC—DES(使用56比特的密钥对64比特的明/密文块加/解密,输出64[2]比特的密/明文块;AES(使用1

6、28、192或256比特的密钥对128、192或256比特的明/密文块加/解密,[3]输出128、192或256比特的密/明文块);CAST—128(使用40到128比特的变长密钥对64比特的明/[4]密文块加/解密,输出64比特的密/明文块);CAST—256(使用128到256比特的变长密钥对128比特的明/密文块加/解密,输出128比特的密/明文块);IDEA(使用128比特的密钥对64比特的明/密文块加/解密,输出64比特的密/明文块,等等。各种保密算法的安全性各不相同,CBC—DES是个弱保密

7、算法,其密钥只有56位,容易被穷举攻破,1AES的安全性非常好,将成为新的IPSEC保密标准。保密算法的选择根据实施IPSEC的具体要求不同而不同(例如,当IPSEC在VPN上实施时通常不使用CBC—DES这种弱保密算法),但是,为了保证所有IPSEC实施方案的互操作性,每种实施方案都必须包括两种保密算法:CBC—DES保密算法和表示不用加密的NULL保密算法,即使该方案并不使用它们。2.2保密工作原理和过程保密原理和工作过程如图1所示:·共享保密算法和密钥的生成:首先,实施IPSEC的通信双方(发送端

8、与接收端)协商好双方通信所使用的共享保密算法(设为E)和密钥(设为EK),通信双方各自保存共享E和EK的一个备份。·发送端IPSEC加密信息:将需要保密的明文对象从左到右划分为长度为B(B为E所要求的输入块长度)的明文块序列,最后一个明文块如果不足B比特长则末尾以0填充,对每个长度为B的明文块使用E的加密函数和密钥EK进行加密运算,输出相应的长度为B的密文块。所有密文块组成的序列就是加密结果,即明文对象对应的密文对象。·接收端IPSEC解密

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。