IPsec:安全IP协议

最新推荐文章于 2022-08-19 01:05:21 发布
最新推荐文章于 2022-08-19 01:05:21 发布
阅读量1.6k 收藏
点赞数
文章标签: security 加密 互联网 authentication parameters 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzgyou/article/details/6476389
版权

安全问题始终是与互联网相关的一个重要话题。由于IPv4的目的只是作为简单的网络互联协议,因此协议设计之初并没有考虑安全性。如果IPv4协议仅仅用于研究或某些严格管理的专用网络,那么缺乏安全性并不是一个很严重的问题。但是,随着互联网的商业化,缺乏安全性导致的危险越来越严重。互联网上已经发生了很多起诸如商业公司或政府机构网络遭到攻击、机密数据被窃取等事情。一般来说,安全性有如下三个公认的目标:

  身份认证:能够可靠地确定接收到的数据与发送的数据一致,并且确保发送该数据的实体与其所宣称的身份一致。

  完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改。

  保密性:确保数据只能为预期的接收者使用或读出,而不能为其他任何实体使用或读出。

  完整性和身份认证经常密切相关,而机密性有时使用公共密钥加密来实现,这样也有助于对源端进行身份认证。

  为了加强互联网的安全性,从1995年开始,IETF着手研究制定了一套用于保护IP通信的安全(IP Security,IPSec)协议。IPSec提供既可用于IPv4也可用于IPv6的安全性机制,它是IPv6的一个组成部分,也是IPv4的一个可选扩展协议。IPSec提供如下安全性服务:

  访问控制:如果没有正确的密码就不能访问一个服务或系统。可以调用安全性协议来控制密钥的安全交换,用户身份认证可以用于访问控制。

  无连接的完整性:使用IPsec,有可能在不参照其他数据包的情况下,对任一单独的IP包进行完整性校验。此时每个数据包都是独立的,可以通过自身来确认。此功能可以通过使用安全散列技术来完成,它与使用检查数字类似,但可靠性更高,并且更不容易被未授权实体所篡改。

  数据源身份认证:通过数字签名的方法对IP包内的数据来源进行标识。

  防御包重发攻击:作为无连接协议,IP很容易受到重发攻击的威胁。重发攻击是指攻击者发送一个目的主机已接收过的包,通过占用接收系统的资源,使系统的可用性受到损害。为此,IPsec提供了包计数器机制。

  保密:保密机制是通过使用加密算法来提供的。

  有限的业务流保密性:有时候只使用加密数据不足以保护系统,通过使用IP隧道方法,尤其是与安全性网关共同使用,IPsec提供了有限的业务流保密性。

  IPSec安全性服务完全通过AH和ESP头相结合的机制来提供,当然还要有正确的相关密钥管理协议。IPSec的认证包头(Authentication Header,AH,RFC1826中描述)协议定义了认证的应用方法,封装安全负载(Encapsulating Security Payload,ESP,RFC1827中描述)协议定义了加密和可选认证的应用方法。在实际进行IP通信时,可以根据安全需求同时使用这两种协议或选择使用其中的一种。如果一起使,AH应置于ESP头之前,这样,首先进行身份验证,然后再对ESP头负载解密。使用IPSec隧道时,这些扩展头也可以嵌套。即源节点对IP包进行加密和数字签名,然后发送给本地安全性网关,该网关则再次进行加密和数字签名,然后发送给另一个安全性网关。

  在一个特定的IP通信中使用AH或ESP时,协议将与一组安全信息和服务发生关联,称为安全性关联(Security Association,SA)。安全性关联SA是IPSec的基本概念,它是一个单向的逻辑连接,也就是说,两个主机之间的认证通信将使用两个SA,分别用于通信的发送方和接收方。每个SA由目的地址和安全性参数索引(Security Parameters Index,SPI)来定义。SPI是对RFC1825修改后的互联网草案中所要求的标识符,它说明使用SA的IP头类型。SPI为32位,它可以包含认证算法、加密算法、用于认证和加密的密钥以及密钥的生存期。

  IPSec使用一种密钥分配和交换协议如互联网安全关联和密钥管理协议(Internet Security Association and Key Manageme nt Protocol,ISAKMP)来创建和维护SA。ISAKMP实际上是一个应用协议,协议中定义了用于系统之间协商密钥交换的不同类型报文,它在传输层使用UDP。

  IPSec定义了两种类型的SA:透明模式SA和隧道模式SA。透明模式SA是在IP包头(以及任何可选的扩展包头)之后和任何高层协议(如TCP或UDP)包头之前插入AH或ESP包头。为了在互联网上安全地通讯,两个系统建立了SA。其中一个系统产生业务流,经过加密或者签名,然后发送给目的系统。而在接收方,首先对收到的数据报进行解密或者身份认证,把负荷向上传送给接收系统的网络栈,由使用数据的应用进行最后的处理。两个主机之间的通信如同没有安全性头一样简单,而且数据包实际的IP头必须要暴露出来以便在互联网上进行路由,因此这种方法称为使用SA的透明模式。

  隧道模式SA 是将整个原始的IP数据报放入一个新的IP数据报中。在采用隧道模式SA时,每一个IP数据报都有两个IP包头:外部IP包头和内部 IP包头。外部IP包头指定将对IP数据报进行IPSec处理的目的地址,内部IP包头指定原始IP数据报最终的目的地址。

  透明模式SA只能用于两个主机之间的IP通信,而隧道模式SA既可以用于两个主机之间的IP通信,还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。
 

姜你军
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全协议IPSec协议
buctwx的博客
03-06 1717
IPSec协议
安卓手机的IPSec /PPTP/L2TP连接
热门推荐
Lin_ylcsxh_045的博客
02-17 2万+
安卓手机选择IKEv2/IPsec MSCHAPv2;IKEv2/IPsec PSK; IKEv2/IPsec RSA;PPTP;L2TP/IPsec PSK; L2TP/IPsec RSA; IPsec Xauth PSK; IPsec Xauth RSA; IPsec Hybrid RSA途径
一文带你了解IPsec协议
小宝儿的学习之路
08-05 5966
IPSec协议相关介绍
IP网络安全的基石——IPSec协议
weixin_33733810的博客
09-01 1829
认识IPSec IPSec(IP Security)产生于IPv6的制定之中,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时,都要经过IP层的处理,所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由I...
IP安全IPsec
chuanglan的专栏
06-09 922
IPsec 是一个集合了许多标准的体系结构。 这些标准工作在网络层, 为 IPv4、IPv6、移动 IPv6 提供数据源认证、完整性、机密性以及访问控制。 IPsec 的操作分为两个阶段: 建立:负责交换密钥材料,并建立安全关联 (Security Association,SA)。 数据交换:使用不同类型的封装架构,称为认证头 (Authentication Header, AH) 与封装...
网络安全协议IPSec协议介绍
05-19
1.3 Internet的安全 3 1.4 加密工具 4 1.4.1 加密基础 4 1.4.2 机密性 5 1.4.3 对称加密算法 6 1.4.4 不对称加密算法 7 1.4.5 身份验证和完整性 8 1.4.6 身份验证 8 1.4.7 消息的完整...
IPSEC:新一代因特网安全标准
04-15
第3章 IP安全综述 28 3.1 结构 29 3.2 封装安全载荷 32 3.3 验证头(AH) 33 3.4 Internet密钥交换 34 第二部分 详细分析 第4章 IPSec体系 39 4.1 导引 39 4.2 IPSec发展规划 39 4.3 IPSec的实施 40 4.3.1 在主机...
基于DES算法的IPSec协议安全性改进
01-12
IPSec协议安全性直接关系到IP网络上数据通信的完整性,机密性和安全性,因此提高IPSec协议安全性具有重要的现实意义。基于此,针对当前一般IPSec协议安全性不足的问题,利用DES算法进行改进。研究分为三部分:首先...
使用IPSec 加密不可路由或非IP 协议
03-04
自1987 年成立以来,安奈特专注于为用户提供高安全性、高可靠性、易于管理、易于维护、易于升级的网络系统解决方案。公司在世界各地设立了十余个强大的研发机构,时刻跟踪最新的科技进步成果,了解客户的需求,及时...
TCP IP协议网络安全实验手册
12-27
TCP IP协议网络安全实验手册 详细阐述TCP/IP的层次结构,以及每层包含的协议,讲解了传输层两个协议TCP和UDP协议的应用场景,应用层协议和传输层协议的关系,应用层协议和服务之间的关系。并且演示了在Windows Server 2003上安装配置FTP服务、Web服务、POP3服务、SMTP服务和DNS服务,启用服务器的远程桌面,并且配置客户端连接这些服务器。
网络安全协议IPSec
kxbdys的博客
03-02 3435
一、IPSec协议概述 1、IPsec并不是一个单个的协议,而是能够在IP层提供互联网通信安全协议族。 2、IPsec是个框架,它允许通信双方选择合适的算法和参数(例如。密。钥长度)。为保证互操作性,IPsec 还包含了所有IPsec的实现都必须有的一套加密算法。 3、IP 几乎不具备任何安全性,不能保证: ■ 数据机密性 ■数据完整性 ■数据来源认证 由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的IP数据报。而IPsec 提供了标准、健壮且包
ipsec ip替换_两端内网IP地址段相同通过静态地址转换实现IPSEC互联互通
weixin_39959615的博客
12-20 1623
1.分支1路由器配置步骤:#网络互通配置省略,loopback0~n模拟内网主机interfaceLoopBack1ipaddress192.168.1.1255.255.255.255#interfaceLoopBack2ipaddress192.168.1.2255.255.255.255#interfaceLoopBack3ipaddress192.168.1.32...
【隧道篇 / IPsec】(5.6) ❀ 08. DDNS更改IP地址后仍然保持IPsec正常连接 ❀ FortiGate 防火墙
防火墙技术专栏
04-13 3603
如何在动态DDNS更改IP地址后仍然保持IPsec正常连接?
IPSec简介
tangyangyu123的博客
06-25 1万+
1 IPSec协议简介针对Internet安全需求,IETF(因特网工程任务组)于1998年11月颁发了IP安全协议IPSec。它不是一个单独的协议,而是一组协议IPsecip安全协议标准,是在IP层为ip业务提供保护的安全协议标准,其基本目的就是把安全机制引入IP协议IPSecIPv6中必需支持,在IPv4中则是可选的。2 体系结构2.1 SA(安全关联)1)SA简介SA是IPSec提...
使用IPsec保证IP数据报文在网络安全传输
微瑟秋风的博客
07-18 844
IPSec主要由AH、ESP和IKE协议套件来实现IP数据报文的安全传输,AH提供认证和校验功能,ESP除了提供AH协议的所有功能外还提供对IP报文的加密功能。IPsec有传输模式和隧道模式,其中隧道模式可以隐藏数据包的源ip地址。......
IPsec
weixin_41324527的博客
04-05 5364
1. IPsec 概述 IPSecIP security)是一种开放标准的框架结构,特定的通信方之间在IP层通过加密和数据摘要(hash)等手段,来保证数据包在Internet网上传输时的私密性(confidentiality)、完整性(data integrity)和真实性(origin authentication)。 IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议。 通过加密保证数据的私密性 对数据进行hash运算来保证完整性 通过身份认证保证数据的真实性 预共享密钥 数字签名
TCP/IP协议安全
qdksc的博客
08-19 4266
TCP/IP协议安全
ipsec协议
Luqing的专栏
05-12 4860
IPSec 协议简介   IPSec (IP Security协议族是IETF 制定的一系列协议,它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。  说明: 私有性(Confidentiality )指对用户数据进行加密保护,用密文的形式传送。
网络安全协议ipsec
最新发布
05-26
IPsec协议可以被用于保护所有的IP通信,包括IPv4和IPv6。IPsec协议是在传输层协议(如TCP和UDP)之上工作的,并且可以被用于提供点到点或网间的安全性。 IPsec协议提供了两种主要的安全性服务:认证头...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值