IP安全加密IPSec安全技术全面接触

2016-01-29 17:31 15 1 收藏

IP安全加密IPSec安全技术全面接触,IP安全加密 IPSec安全技术全面接触

【 tulaoshi.com - Linux 】

  IP安全加密——IPSec使用了网络通信加密技术。虽然不能加密数据包的头部和尾部信息(如源/目的IP地址、端口号、CRC校验值等),但可对数据包数据进行加密。由于加密过程发生在IP 层,因此可在不改变POP/WWW等协议的情况下进行网络协议的安全加密。同时它也可以用于实现局域网间(通过互联网)的安全连接。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/linux/)

  IP协议的安全体系结构

  IPv4 的包本身没有提供任何安全保护,黑客可以通过信息包探测、IP电子欺骗、连接截获、replay攻击(是一种不断发相同序列号的包使系统崩溃的攻击方法) 等方法来攻击。因此,我们收到的数据包存在着以下危险:并非来自合法的发送者; 数据在传输过程中被人修改; 数据内容已被人窃取(例如军事机密等重要信息的对话)。IPsec的目的就是为了实现数据传输的完整性(源地址验证和保证数据没有被修改)和机密性(没有被人看过)以及提供一定程度的对replay攻击的保护。IPsec可用它为IP及其上层协议(TCP和UDP等)提供安全保护。

  IPsec的基本结构,它是利用认证头标(AH)和封装化安全净荷(ESP)来实现数据的认证和加密。前者用来实现数据的完整性,后者用来实现数据的机密性。同时对数据的传输规定了两种模式:传送模式和通道模式。在传送模式中,IP头与上层协议头之间嵌入一个新的IPsec头(AH或ESP); 在通道模式中,要保护的整个IP包都封装到另一个IP数据包里,同时在外部与内部IP头之间嵌入一个新的IPsec头。两种IPsec头都可以同时以传送模式和通道模式工作。

  原始的数据包

  传送模式受保护的数据包

  通道模式受保护的数据包

  IPsec数据包的保护机制

  IPsec是由四大组件组成,它们是因特网密钥交换进程、IPsec进程本身、安全联盟数据库和安全策略数据库。

  IPsec 中有两个重要的数据库,分别是安全联盟数据库SAD和安全策略数据库SPD.SAD中的每一个元组是一个安全联盟SA,它是构成IPsec的基础,是两个通信实体经协商建立起来的一种协定,它决定了用来保护数据包安全的IPsec协议、转码方式、密钥以及密钥的有效存在时间等。SPD中的每一个元组是一条策略,策略是指应用于数据包的安全服务以及如何对数据包进行处理,是人机之间的安全接口,包括策略定义、表示、管理以及策略与IPsec系统各组件间的交互。两个数据库联合使用。对于发送方,每个SPD的元组都有指针指向相关的SAD的元组。如果一个SPD的元组没有指向适合发送包的SA,那么将会创建新的SA或SA束,并将SPD的元组和新的SA元组链接起来。对于接收方,通过包头信息包含的IP目的地址、IP安全协议类型(AH或ESP)和SPI(安全参数索引)在SAD中查找对应的SA.SA中其他字段为序列号、序列号溢出标志、Anti-replay 窗口、AH认证算法和密钥、ESP加密算法和密钥及初始化矩阵、ESP认证算法及密钥等等。

  因特网密钥交换(IKE)是IPsec最为重要的部分,在用IPsec保护一个IP包之前,必须先建立一个SA,IKE用于动态建立SA.IKE代表IPsec对SA进行协商,并对SAD数据库进行填充。 IKE是一个混合型的协议,它建立在由Internet安全联盟和密钥管理协议(ISAKMP)定义的一个框架上。IKE使用了两个阶段的ISAKMP.第一阶段建立IKE安全联盟,第二阶段利用这个既定的安全联盟,为IPsec协商具体的安全联盟。

(本文来源于图老师网站,更多请访问http://www.tulaoshi.com/linux/)

  IPsec进程本身就是用来实现整个IPsec 的守护进程,用户可以通过和这个进程打交道来管理自己的安全策略,实现适合自己需要的网络安全。当然,每个开发组织的源代码不一样,但是它们都必须遵守 RFC的规范,最终的目的都应该是差不多的。通常,IPsec的源代码是嵌入到内核IP层源代码中的,也有人提出在其层次在IP之上,TCP之下,两种方式都可以。

  基于IPsec的虚拟专用网

  当IPsec用于路由器时,就可以建立虚拟专用网。路由器连入内部网的一端,是一个受保护的网络,另一端则是不安全的公共网络。两个这样的路由器建立 起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一个VPN.

  在这个VPN中,每一个具有IPsec的路由器都是一个网络聚合点,试图对VPN进行通信分析将会失败。目的地是VPN的所有通信都经过路由器上的SA来定义加密或认证的算法和密钥等参数,即从VPN的一个路由器出来的数据包只要符合安全策略,就会用相应的SA来加密或认证(加上AH或ESP报头)。整个安全传输过程由IKE控制,密钥自动生成,保护子网内的用户根本不需要考虑安全,所有的加密和解密由两端的路由器全权代理。

 

[1] [2] [3]   

来源:http://www.tulaoshi.com/n/20160129/1501728.html

延伸阅读
标签: windows 操作系统
NAP的英文全称是Network Access Protection,也就是网络接入防护,它是内置于Windows Longhorn Server以及Windows Vista客户端操作系统的安全机制。比较熟悉服务器操作系统Windows Server 2003的朋友应该对网络接入隔离控制(Network Access Quarantine Control)有所了解,NAP正是此项功能的扩展。 自Windows Vista操作系统发布以来,有...
SQL功能与特性 其实,在前面的文章中,已经提及SQL命令的一些基本功能,然而,通过SQL命令,程序设计师或数据库管理员(DBA)可以: (一)建立数据库的表格。(包括设置表格所可以使用之空间) (二)改变数据库系统环境设置。 (三)针对某个数据库或表格,授予用户存取权限。 (四)对数据库表格建立索引值。 ...
Oracle数据安全面面观 作者:づ★sl战神     随着计算机的普及以及网络的发展,数据库已经不再仅仅是那些程序员所专有的话题。而Oracle数据库更是凭借其性能卓越,操作方便灵活的特点,在数据库的市场中已经占据了一席之地。但是同样随着网络技术的不断进步,数据信息的不断增加,数据安全已经不再是...
1、概述   计算机的安全性历来都是人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。  &nb...
一存储过程加密 其实,用了这十多年的SQL server,我已经成了存储过程的忠实拥趸。在直接使用SQL语句还是存储过程来处理业务逻辑时,我基本会毫不犹豫地选择后者。 理由如下: 1、使用存储过程,至少在防非法注入(inject)方面提供更好的保护 。至少,存储过程在执行前,首先会执行预编译,(如果由于非法参数的原因)编译出错则不会执行...

经验教程

659

收藏

86
微博分享 QQ分享 QQ空间 手机页面 收藏网站 回到头部