返回
安全协议IPSEC的 安全架构.docx

安全协议IPSEC的 安全架构.docx

ID:52698991

大小:39.37 KB

页数:6页

时间:2020-03-29

安全协议IPSEC的 安全架构.docx_第1页
安全协议IPSEC的 安全架构.docx_第2页
安全协议IPSEC的 安全架构.docx_第3页
安全协议IPSEC的 安全架构.docx_第4页
安全协议IPSEC的 安全架构.docx_第5页
资源描述:

《安全协议IPSEC的 安全架构.docx》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、安全协议IPSEC的安全架构、应用及展望二(图)七、IPSec在VPN上的应用    在了解IPSec协议的工作原理后,我们来看它不同的用场合,值得注意的是在网络层提供安全机制,对应用层而言是完全透通的(trarsparent)。IPSec可以装设在gateway或主机上,或是两者同时,若IPSec装在gateway上,则可在不安全的Internet上提供一个安全的信道,若是装在主机,则能提供主机端对端的安全性。分别是gateway对gateway,主机对gateway,主机对主机三种可能的应用状况。    IPSec的优点    

2、IPSec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。    IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。    如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。    IPSec正向Internet靠拢。已经有一些机构部分或全部执行了IPSec。IAB的前任总裁ChristianHuitema认为,关于如何保证Internet安全

3、的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供IP级的安全,IPSec必须成为配置在所有相关平台(包括WindowsNT,Unix和Macintosh系统)的网络代码中的一部分。    实际上,现在发行的许多Internet应用软件中已包含了安全特征。例如,NetscapeNavigator和MicrosoftInternetExplorer支持保护互联网通信的安全套层协议(SSL),还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。然而,VPN需要的是网

4、络级的功能,这也正是IPSec所提供的。    VPN工作原理    IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据:    ·认证:可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。    ·数据完整:保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。    ·机密性:使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。    在IPSec由三个基本要素来提供以上三种保护形式:认证协议头(AH)、安全加载

5、封装(ESP)和互联网密钥管理协议(IKMP)。认证协议头和安全加载封装可以通过分开或组合使用来达到所希望的保护等级。    对于VPN来说,认证和加密都是必需的,因为只有双重安全措施才能确保未经授权的用户不能进入VPN,同时,Internet上的窃听者无法读取VPN上传输的信息。大部分的应用实例中都采用了ESP而不是AH。密钥交换功能允许手工或自动交换密钥。    当前的IPSec支持数据加密标准(DES),但也可以使用其它多种加密算法。因为人们对DES的安全性有所怀疑,所以用户会选择使用Triple-DES(即三次DES加密)。

6、至于认证技术,将会推出一个叫作HMAC(MAC即信息认证代码MessageAuthenticationCode)的新概念。    认证协议头(AH)是在所有数据包头加入一个密码。正如整个名称所示,AH通过一个只有密钥持有人才知道的"数字签名"来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。两个最普遍的AH标准是MD5和SHA-1,MD5使用最高到128位

7、的密匙,而SHA-1通过最高到160位密匙提供更强的保护。    安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。最主要的ESP标准是数据加密标准(DES),DES最高支持56位的密匙,而Triple-DES使用三套密匙加密,那就相当于使用最高到168位的密匙。由于ESP实际上加密所有的数据,因而它比AH需要更多的处理时间,从而导致性能下降。    密钥管理包括密钥

8、确定和密钥分发两个方面,最多需要四个密钥:AH和ESP各两个发送和接收密钥。密钥本身是一个二进制字符串,通常用十六进制表示,例如,一个56位的密钥可以表示为5F39DA752E0C25B4。注意全部长度总共是64位,包括了8位的奇偶校

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。