什么是IPsec?IPsec的实现机制有哪几点?
发布时间:2022-04-14 11:45:03 所属栏目:动态 来源:互联网
导读:实际上IPsec是一整套协议包而不只是一个单独的协议, 这一点对于我们认识IPSec是很重要的。IPsec协议把多种安全技术集合到一起,从而建立起一个安全、可靠的隧道。在IPsec安全体系结构中包括了3个最基本的协议:AH(Authentication Header)协议为IP包提供信
|
实际上IPsec是一整套协议包而不只是一个单独的协议, 这一点对于我们认识IPSec是很重要的。IPsec协议把多种安全技术集合到一起,从而建立起一个安全、可靠的隧道。在IPsec安全体系结构中包括了3个最基本的协议:AH(Authentication Header)协议为IP包提供信息源验证和完整性保证;ESP(Encapsulating Security Payload)协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。 IPsec通过提供下列服务来保护通过公共IP网络传送的私有数据: ● 访问控制 访问控制是指防止未经授权对资源进行访问。IPsec中,需要进行访问控制的资源通常指主机中的数据和计算能力、安全网关内的本地网及其带宽。IPsec使用身份认证机制进行访问控制。 ● 数据源认证 数据源认证对数据来源所声明的身份进行验证,通常与无连接数据完整性相结合。IPsec使用消息鉴别机制实现数据源认证服务。 ● 机密性和有限传输流量的机密性 相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。有限传输流量的机密性服务是指防止对通信的外部属性(源地址、目的地址、消息长度和通信频率等)的泄露,从而使攻击者无法对网络流量进行分析,推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。 ● 无连接完整性和抗重播 无连接完整性服务对单份数据包是否被修改进行检查,而对数据包的到达顺序不作要求。IPsec使用数据源认证机制实现无连接完整性服务。IPsec的抗重播服务,亦称为部分序号完整性服务,是指防止攻击者截取和复制IP包,然后发送到目的地。IPsec根据IPsec头中的序号字段,使用滑动窗口原理,实现抗重播服务。 上面的服务都在IP层上实现。IPsec采用了以下两个协议提供传输安全: AH和ESP。IP AH提供无连接完整性、数据源认证和可选的防重播服务。ESP协议可提供机密性和受限传输流机密性;还可提供无连接完整性、数据源认证和防重播服务。这些协议可单独使用或组合使用,以提供所希望的安全服务。 IPsec较好地融合了加密技术和访问控制技术,实现了在主机或安全网关环境中对IP传输的保护。这种保护或者基于安全策略数据库(SPD)中定义的需求,或者基于由应用定义的需求。通常,报文按SPD数据库中匹配的情况,根据IP和传输层的头信息选择提供IPsec安全服务、丢弃或允许旁路(bypass),这是根据筛选器标识的相应数据库策略来确定。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐