上一页 1 2 3 4 下一页
IPSec提供的网络安全服务具有以下特点:
¨ 私有性:IPsec在传输数据包之前将其加密.以保证数据的私有性;
¨ 完整性:IPsec在目的地要验证数据包,以保证该数据包在传输过程中没有被替换;
¨ 真实性:IPsec 端要验证所有受 IPsec 保护的数据包;
¨ 反重复:IPsec防止了数据包被扑捉并重新投放到网上,即目的地会拒绝老的或重复的数据包;它通过与AH或ESP一起工作的序列号实现。
IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,这些协议还规定了如何加密数据包。使用IPsec,数据就可以在公网上传输,而不必担心数据被监视、修改或伪造了。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关主机之间的保护。
IPSec定义了两个新的数据包头增加到IP包,这些数据包头用于保证IP数据包的安全性。这两个数据包头由AH(Authentication Header)和 ESP(Encapsulating Security Payload)规定。在网关上实现 IPSec,AH 将插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了安全哈希算法来对数据包进行保护。AH没有对用户数据进行加密。ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP可以保证数据的完整性、真实性和私有性。
IPSec有隧道和传送两种工作方式。在隧道方式中,用户的整个IP数据包被用来计算ESP头,且被加密,ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层(如TCP、UDP、ICMP)数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。当IPSec通信的一端为安全网关时,必须采用隧道方式。
Internet 密钥交换协议(IKE)用于在两个通信实体协商和建立安全相关,交换密钥。安全相关(Security Association)是 IPSec 中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证,且这些通信实体都能支持相同的加密算法,成功地交换了会话密钥,可以开始利用 IPSec 进行安全通信。IPSec 协议本身没有提供在通信实体间建立安全相关的方法,利用 IKE 建立安全相关。IKE 定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式,密钥交换采用 DiffieHellman 协议。
安全相关也可以通过手工方式建立,但是当 VPN 中结点增多时,手工配置将非常困难。上一页 1 2 3 4 下一页 |
