什么是IPsec協議?

2016-07-06 2007 1 編輯:深色多郎 來源:互聯網書籍

現在因特網的網絡層安全協議IPsec已在很多的RFC文檔中給出了詳細的描述。IPsec就是“IP安全(Security)協議”的縮寫。在這些文檔中,最重要的就是描述IP安全體系結構的PFC4301和提供IPsec協議族概述的RFC2400。在IPsec協議族中有兩個最主要的協議;鑒別首部AH(Authentication Header)協議和填封裝安全有效載荷ESP(Encapsulation Security Payload)協議。AH協議提供源點鑒別和數據完整性,但不能保密,而ESP協議比AH協議復雜得多,它提供源點鑒別、數據完整性和保密。IPsec支持IPv4和IPv6。在IPv6中,AH和ESP都是擴展首部的一部分。AH協議的功能都已包含在ESP協議中,因此使用ESP協議就可以不用使用AH協議,但AH協議早已使用在一些商品中,因此現在AH協議還沒有被廢棄。下面我們不再討論AH協議,而只介紹ESP協議的要點。

使用IPsec協議的IP數據報稱為IPsec數據報,它可以在兩個主機之間、兩個路由器之間或在一個主機和一個路由器之間發送。在發送IPsec數據報之前。在源實體和目的實體之間必須創建一條網絡層的邏輯連接,即安全關聯SA(Security Association)。這樣,IPsec就把傳統的因特網無連接的網絡層變為具有邏輯連接的一個層。安全關聯是從源點到紋點的單向連接,它能夠提供安全服務,如要進行雙向的安全通信,則需要建立兩個方向的安全關聯。假定某公司有一個公司總部和在外地的一個分公司,總部需要和這個分公司以及分公司中的n個員工進行安全的雙向通信。那么,在這種情況下,一共需要創建(2+2n)條安全關聯SA。在這些安全關聯SA上傳送的就是安全的IPsec數據報。如圖是一條從路由器R1到R2的安全關聯SA的示意圖。IPsec數據報就是在安全關聯SA連接上傳送的。

路由器R1必須維護這條安全關聯SA的狀態信息,包括:

1.一個32位的連接標識符,稱為安全參數索引SPI(Security Parameter Index)。

2.SA的源點(即路由器R1的IP的地址)和終點(即路由器R2的IP地址)。

3.所使用的加密類型(例如,DES)。

4.加密的密鑰。

5.完整性檢查的類型(例如,使用報文摘要MD5的報文鑒別碼MAC)。

6.鑒別使用的密鑰。

當路由器R1要通過SA發送IPsec數據報時,就必須讀取SA的這些狀態信息,以便知道如何把IP數據報進行加密和鑒別。同理,路由器R2也要維護關于一條SA的狀態信息,以便當IPsec數據報通過SA到達路由器R2時進行解密和鑒別。


本站文章均為深正網站建設摘自權威資料,書籍,或網絡原創文章,如有版權糾紛或者違規問題,請即刻聯系我們刪除,我們歡迎您分享,引用和轉載,但謝絕直接搬磚和抄襲!感謝...
關注深正互聯
我們猜你喜歡
七星彩头尾 高频彩拉人赚钱 gec矿机如何赚钱 V8娱乐首页 家纺如何赚钱 御龙在天结婚赚钱吗 开一家家电清洗店赚钱吗 易购彩票游戏 家具油漆修复跟安装哪个赚钱 有啥赚钱的网络 内蒙古麻将老友玩法 养保温车赚钱吗 英雄杀斗魂篇怎么玩 2017年赚钱的洗车生意 在手机上卖什么最赚钱的游戏 古龙小说中赚钱的组织 悬疑类小说在哪发表赚钱