云杰通信助您了解行業,全方位掌握國際互聯網最新資訊
一.IPSec標準概述
IPSec是一整套協議包而不只是一個單獨的協議,這一點對于我們認識IPSec是很重要的。IPSec協議把多種安全技術集合到一起,從而建立起一個安全、可靠的隧道。在IPSec安全體系結構中包括了3個最基本的協議:AH(Authentication Header)協議為IP包提供信息源驗證和完整性保證;ESP(Encapsulating Security Payload)協議提供加密保證;密鑰管理協議(ISAKMP)提供雙方交流時的共享安全信息。ESP和AH協議都有相關的一系列支持文件,規定了加密和認證的算法。
二.IPSec的作用
IPSec通過激活系統所需要的安全協議、確定用于服務的算法及所要求的密鑰來提供安全服務。IPSec可用來保護一條或多條介于主機之間、安全網關之間或主機和安全網關之間的數據通道。
IPSec所能提供的安全服務集包括訪問控制、無連接完整性、數據源認證、重播保護(各部分的序列完整)、機密性(加密)以及有限傳輸流量的機密性。由于這些服務在IP層提供,能被更高層次的協議所利用(如:TCP、UDP、ICMP、BGP等),并且對于應用程序和終端用戶來說是透明的,所以,應用和終端用戶不需要更改程序和進行安全方面的專門培訓。
三.IPSec實現機制
IPSec通過提供下列服務來保護通過公共IP網絡傳送的私有數據:
● 訪問控制:訪問控制是指防止未經授權對資源進行訪問。IPSec中,需要進行訪問控制的資源通常指主機中的數據和計算能力、安全網關內的本地網及其帶寬。IPSec使用身份認證機制進行訪問控制。
● 數據源認證:數據源認證對數據來源所聲明的身份進行驗證,通常與無連接數據完整性相結合。IPSec使用消息鑒別機制實現數據源認證服務。
● 機密性和有限傳輸流量的機密性:相應的接收者能獲取發送的真正內容,而無意獲取數據的接收者無法獲知數據的真正內容。有限傳輸流量的機密性服務是指防止對通信的外部屬性(源地址、目的地址、消息長度和通信頻率等)的泄露,從而使攻擊者無法對網絡流量進行分析,推導其中的傳輸頻率、通信者身份、數據包大小、數據流標識符等信息。
● 無連接完整性和抗重播:無連接完整性服務對單份數據包是否被修改進行檢查,而對數據包的到達順序不作要求。IPSec使用數據源認證機制實現無連接完整性服務。IPSec的抗重播服務,亦稱為部分序號完整性服務,是指防止攻擊者截取和復制IP包,然后發送到目的地。IPSec根據IPSec頭中的序號字段,使用滑動窗口原理,實現抗重播服務。
文章標題:《IPSec標準概述/作用/實現機制》
作 者:云杰小編。本文部分資料來源于網絡,轉載目的在于傳遞更多信息及學習參考:http://www.asperindo.org/showinfo-114-3050-0.html