本文深入探讨了网络安全协议,重点讲解了IPSec的相关概念,包括SA(安全关联)、SPI(安全参数索引)、SPD(安全策略数据库)以及AH(认证头标)和ESP(加密头标)的运作机制。此外,还提到了IPSec的传输模式与隧道模式在保护数据安全中的应用,并简单介绍了SSL协议及其在确保网络通信安全中的作用。
网络安全协议
安全协议概述:在信息网络中,可以在ISO七层协议中的任何一层采取安全措施。大部分安全措施都采用特定的协议实现。
🌼IPv6 extension headers
中继点选项(Hop-by-hop options)
寻路头标(Routing)
报片头标(Fragment)
信宿选项(Destination options)
认证头标(Authentication)
安全净荷加密头标(Encryption Security Payload)
🌼IPSec
- IPSec中的安全组合(SA)
- 需求
认证、加密算法及其参数、密钥 - SA:
为使通信双方的认证/加密算法及其参数、密钥的一致,相互间建立的联系被称为安全组合或安全关联(Security Association)。
通过密钥管理协议在通信双方之间进行协商,协商完毕后,双方都在它们的安全关联数据库(SAD)中存储该SA参数。
SA由一个三元组唯一地标识,该三元组为安全索引参数SPI、一个用于输出处理的目的IP地址(或用于输入处理的源IP地址)和协议(如AH或ESP)。
SA是单向的,在双向通信时要建立两个SA。对于某一主机来说,某个会话的输出数据和输入数据流需要两个独立的SA。
安全参数索引(SPI)
SPI是为了唯一标识SA而生成的一个32位整数。包含在AH头标和ESP头标中,其值1~255被IANA留作将来使用,0被保留,目前有效的值为256~232-1
有了SPI,相同源、目的节点的数据流可以建立多个SA
安全策略数据库(SPD)
SPD中包含一个策略条目的有序表,通过使用一个或多个选择符来确定每一个条目。
选择符可以是五元组(目的/源地址,协议,目的/源端口号),或其中几个。
条目中包含:
策略(是否需要IPSec处理):丢弃,绕过,加载IPSEC
SA规范
IPSec协议(AH or ESP)
操作模式
算法
对外出处理,应在SPD中查找指向SAD中SA的指针
安全关联数据库(SAD)
SAD包含现行的SA条目,每个SA由三元组索引,一个SAD条目包含下面域:
序列号计数器:32位整数,用于生成AH或ESP头中的序列号
序列号溢出:是一个标志,标识是否对序列号计数器的溢出进行审核。
抗重放窗口:使用一个32位计数器和位图确定一个输入的AH或
最低0.47元/天 解锁文章
扫一扫
933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
