本文详细介绍了网络层安全协议IPsec,包括其组成部分、IP安全数据报格式(AH和ESP)、IKE密钥交换协议,以及运输层安全协议TLS的概述。同时,文章探讨了系统安全层面的防火墙和入侵检测系统的作用及其工作原理。
目录
(2)互联网密钥交换 IKE (Internet Key Exchange) 协议
1、网络层的安全协议:IPsec 协议族
什么是 IPsec 协议?
IPsec 就是 “IP安全(security)” 的缩写。IPsec 并不是单一的协议,而是能够在 IP 层提供互联网通信安全的协议族。实际上,IPsec 包含了一个通用框架和若干加密算法,具相当的灵活性和可扩展性。IPsec 允许通信双方从中选择合适的算法和参数,以及是否使用鉴别。
IPsec 协议族中的协议可划分为以下三个部分://用来提供网络层的安全通信
- IP 安全数据报格式的两个协议:鉴别首部 AH (Authentication Header) 协议和封装安全有效载荷 ESP (Encapsulation Security Payload) 协议。//数据报
- 加密算法。//算法
- 互联网密钥交换 IKE (Internet Key Exchange) 协议。//密钥交换
(1)IP 安全数据报格式
上边提到 IP 安全数据报格式有两个协议,即 AH 和 ESP。
AH 协议提供源点鉴别和数据完整性,但不能保密。
ESP 协议比 AH 协议复杂得多,它提供源点鉴别、数据完整性和保密。IPsec 支持 IPv4 和 IPv6。AH 协议的功能都已包含在 ESP 协议中,因此使用 ESP 协议就可以不使用 AH 协议。
使用 ESP或 AH 协议的 IP 数据报称为 IP 安全数据报 (或 IPsec 数据报),它可以在两台主机之间、两个路由器之间或一台主机和一个路由器之间发送。
IP安全数据报有以下两种不同的工作方式:
第一种工作方式是 运输方式(transport mode)。运输方式是在整个运输层报文段的前后分别添加若干控制信息,再加上 IP 首部,构成 IP 安全数据报,如下图所示:
第二种工作方式是 隧道方式(tunnel mode)。隧道方式是在原始的 IP 数据报的前后分别添加若干控制信息,再加上新的 IP 首部,构成一个IP安全数据报,如下图所示:
无论使用哪种方式,最后得出的数据报的 IP 首部都是不加密的。只有使用不加密的 IP首部,互联网中的各个路由器才能识别 IP 首部中的有关信息,把 IP安全数据报在不安全的互联网中进行转发,从源点安全地转发到终点。目前使用最多的就是隧道方式。
(2)互联网密钥交换 IKE (Internet Key Exchange) 协议
IKE 的用途主要是为 IP 安全数据报创建安全关联 SA。
那什么是安全关联 SA 呢?<
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
