网站密码如何找回密码,南通建设工程信息网官网,网站改版文案包装,做招商如何选择网站起源 随着Internet的发展#xff0c;越来越多的企业直接通过Internet进行互联#xff0c;但由于IP协议未考虑安全性#xff0c;而且Internet上有大量的不可靠用户和网络设备#xff0c;所以用户业务数据要穿越这些未知网络#xff0c;根本无法保证数据的安全性#xff0…起源 随着Internet的发展越来越多的企业直接通过Internet进行互联但由于IP协议未考虑安全性而且Internet上有大量的不可靠用户和网络设备所以用户业务数据要穿越这些未知网络根本无法保证数据的安全性数据易被伪造、篡改或窃取。因此迫切需要一种兼容IP协议的通用的网络安全方案。 为了解决上述问题IPSecInternet Protocol Security应运而生。IPSec是对IP的安全性补充其工作在IP层为IP网络通信提供透明的安全服务。 定义 IPSec是IETFInternet Engineering Task Force制定的一组开放的网络安全协议。它并不是一个单独的协议而是一系列为IP网络提供安全性的协议和服务的集合包括认证头AHAuthentication Header和封装安全载荷ESPEncapsulating Security Payload两个安全协议、密钥交换和用于验证及加密的一些算法等。 通过这些协议在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发实现保护数据的安全性。 受益 IPSec通过加密与验证等方式从以下几个方面保障了用户业务数据在Internet中的安全传输 数据来源验证接收方验证发送方身份是否合法。数据加密发送方对数据进行加密以密文的形式在Internet上传送接收方对接收的加密数据进行解密后处理或直接转发。数据完整性接收方对接收的数据进行验证以判定报文是否被篡改。抗重放接收方拒绝旧的或重复的数据包防止恶意用户通过重复发送捕获到的数据包所进行的攻击。 安全联盟 安全联盟SASecurity Association是通信对等体间对某些要素的协定它描述了对等体间如何利用安全服务例如加密进行安全的通信。这些要素包括对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法以及用于数据安全转换、传输的密钥和SA的生存周期等。 IPSec安全传输数据的前提是在IPSec对等体即运行IPSec协议的两个端点之间成功建立安全联盟。IPSec安全联盟简称IPSec SA由一个三元组来唯一标识这个三元组包括安全参数索引SPISecurity Parameter Index、目的IP地址和使用的安全协议号AH或ESP。其中SPI是为唯一标识SA而生成的一个32位比特的数值它被封装在AH和ESP头中。 IPSec SA是单向的逻辑连接通常成对建立Inbound和Outbound。因此两个IPSec对等体之间的双向通信最少需要建立一对IPSec SA形成一个安全互通的IPSec隧道分别对两个方向的数据流进行安全保护如图1所示。 图1 IPSec安全联盟 另外IPSec SA的个数还与安全协议相关。如果只使用AH或ESP来保护两个对等体之间的流量则对等体之间就有两个SA每个方向上一个。如果对等体同时使用了AH和ESP那么对等体之间就需要四个SA每个方向上两个分别对应AH和ESP。 安全协议 IPSec使用认证头AHAuthentication Header和封装安全载荷ESPEncapsulating Security Payload两种IP传输层协议来提供认证或加密等安全服务。 Efficient VPN仅支持ESP协议。 AH协议 AH仅支持认证功能不支持加密功能。AH在每一个数据包的标准IP报头后面添加一个AH报文头如封装模式所示。AH对数据包和认证密钥进行Hash计算接收方收到带有计算结果的数据包后执行同样的Hash计算并与原计算结果比较传输过程中对数据的任何更改将使计算结果无效这样就提供了数据来源认证和数据完整性校验。AH协议的完整性验证范围为整个IP报文。 ESP协议 ESP支持认证和加密功能。ESP在每一个数据包的标准IP报头后面添加一个ESP报文头并在数据包后面追加一个ESP尾ESP Trailer和ESP Auth data如封装模式所示。与AH不同的是ESP将数据中的有效载荷进行加密后再封装到数据包中以保证数据的机密性但ESP没有对IP头的内容进行保护除非IP头被封装在ESP内部采用隧道模式。 密钥交换 使用对称密钥进行加密、验证时如何安全地共享密钥是一个很重要的问题。有两种方法解决这个问题 带外共享密钥 在发送、接收设备上手工配置静态的加密、验证密钥。双方通过带外共享的方式例如通过电话或邮件方式保证密钥一致性。这种方式的缺点是安全性低可扩展性差在点到多点组网中配置密钥的工作量成倍增加。另外为提升网络安全性需要周期性修改密钥这种方式下也很难实施。 使用一个安全的密钥分发协议 通过IKE协议自动协商密钥。IKE采用DHDiffie-Hellman算法在不安全的网络上安全地分发密钥。这种方式配置简单可扩展性好特别是在大型动态的网络环境下此优点更加突出。同时通信双方通过交换密钥交换材料来计算共享的密钥即使第三方截获了双方用于计算密钥的所有交换数据也无法计算出真正的密钥这样极大地提高了安全性。 IKE协议 因特网密钥交换IKEInternet Key Exchange协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上是基于UDPUser Datagram Protocol的应用层协议。它为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务能够简化IPSec的配置和维护工作。