IPsec、安全关联、网络层安全协议

这篇具有很好参考价值的文章主要介绍了IPsec、安全关联、网络层安全协议。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

网络层安全协议

·IP 几乎不具备任何安全性,不能保证

        1.数据机密性

        2.数据完整性

        3.数据来源认证

·由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的 IP 数据报。

·IPsec 提供了标准、健壮且包含广泛的机制保证 IP 层安全

1  IPsec 协议族概述

·IPsec:IP security,IP 安全。

·IPsec 不是一个单一协议,而是能够在 IP 层提供互联网通信安全的协议族

·IPsec 是个框架:允许通信双方选择合适的算法和参数(例如,密钥长度)。

·为保证互操作性,IPsec 还包含了所有 IPsec 都必须实现的一套加密算法。

IPsec 由三部分组成

1.IP 安全数据报格式:两个协议

 -鉴别首部 AH (Authentication Header) 协议

        ·AH 协议提供源点鉴别数据完整性,但不能保密

-封装安全有效载荷 ESP (Encapsulation Security Payload) 协议

        · ESP 协议提供源点鉴别数据完整性保密

·IPsec 支持 IPv4 和 IPv6。

·使用 ESP 或 AH 协议的 IP 数据报称为 IP 安全数据报(或 IPsec数据报)。

AH 协议的功能都已包含在 ESP 协议中。 使用 ESP 协议就可以不使用 AH 协议。

2.加密算法:三个协议

3.互联网密钥交换 IKE (Internet Key Exchange) 协议

IP 安全数据报有两种工作方式

(1)运输方式 (transport mode)

·在整个运输层报文段的前后分别添加若干控制信息,再加上 IP 首部。

·适合于主机到主机之间的安全传送。

·需要使用 IPsec 的主机都运行 IPsec 协议。

IPsec、安全关联、网络层安全协议,计算机网络,安全,网络

(2)隧道方式 (tunnel mode)

·在原始的 IP 数据报的前后分别添加若干控制信息,再加上新的 IP 首部。

·需要在 IPsec 数据报所经过的所有路由器上都运行 IPsec 协议。

·隧道方式常用来实现虚拟专用网 VPN

IPsec、安全关联、网络层安全协议,计算机网络,安全,网络

IP 安全数据报的 IP 首部是不加密的

·无论使用哪种方式,最后得出的 IP 安全数据报的 IP 首部都是不加密的

·安全数据报:指数据报的数据部分是经过加密的,并能够被鉴别的。

·通常把数据报的数据部分称为数据报的有效载荷 (payload)。

2  安全关联

·在发送 IP 安全数据报之前,在源实体和目的实体之间必须创建一条网络层的逻辑连接。此逻辑连接叫做安全关联 SA (Security Association) 。

IPsec 把传统互联网无连接的网络层转换为具有逻辑连接的网络层。

安全关联的特点

·安全关联是从源点到终点的单向连接,它能够提供安全服务。

·在安全关联 SA 上传送的就是 IP 安全数据报。

·如要进行双向安全通信,则两个方向都需要建立安全关联

·若 n 个员工进行双向安全通信,一共需要创建 (2 + 2n ) 条安全关联 SA。

路由器 R1 到 R2 的安全关联 SA

·假定公司总部的主机 H1 要和分公司的主机 H2 通过互联网进行安全通信。公司总部与分公司之间的安全关联 SA 是在路由器 R1 和 R2 之间建立的。

IPsec、安全关联、网络层安全协议,计算机网络,安全,网络

主机 H1 到 H3 之间的通信

·假定公司总部的主机 H1 要和内部的主机 H3 进行通信。 由于都在公司内部,不需要加密,因此不需要建立安全关联。

IPsec、安全关联、网络层安全协议,计算机网络,安全,网络

路由器 R1 到主机 H2 的安全关联 SA

IPsec、安全关联、网络层安全协议,计算机网络,安全,网络

安全关联 SA 包括的状态信息

1.一个 32 位的连接标识符,称为安全参数索引 SPI (Security Parameter Index)。

2.安全关联 SA 的源点终点的 IP 地址(例如路由器 R1 和 R2 的 IP 地址)。

3.所使用的加密类型(例如,DES 或 AES)。

4.加密使用的密钥

5.完整性检查的类型(例如,使用报文摘要 MD5 或 SHA-1 的报文鉴别码 MAC)。

6.鉴别使用的密钥

3  IP 安全数据报的格式

IPsec、安全关联、网络层安全协议,计算机网络,安全,网络

注意对于路由器 R1 到 R2 的安全关联 SA,在“原始的 IP 首部”中,用主机 H1 和 H2 的 IP 地址分别作为源地址和目的地址,而在 IP 安全数据报的“新的 IP 首部”中,用路由器 R1 和 R2 的 IP 地址分别作为源地址和目的地址。

4  IPsec 的其他构件

·安全关联数据库 SAD (Security Association Database)  

        -存放 SA。

·安全策略数据库 SPD (Security Policy Database)

        -指明什么样的数据报需要进行 IPsec 处理。

·互联网密钥交换 IKE (Internet Key Exchange)

        -为 IP 安全数据报创建安全关联 SA。

互联网密钥交换 IKE

 ·非常复杂。互联网的正式标准 [RFC 7296]。

·IKEv2 以另外三个协议为基础:

        1.Oakley:密钥生成协议 [RFC 2412]。

        2.安全密钥交换机制 SKEME (Secure Key Exchange Mechanism):用于密钥交换的协议。它利用公钥加密来实现密钥交换协议中的实体鉴别

        3.互联网安全关联和密钥管理协议 ISAKMP (Internet Secure Association and Key Management Mechanism):用于实现 IKE 中定义的密钥交换,使 IKE 的交换能够以标准化、格式化的报文创建安全关联 SA。

欢迎一起学习~文章来源地址https://www.toymoban.com/news/detail-826341.html

到了这里,关于IPsec、安全关联、网络层安全协议的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 计算机网络-网络协议

    作为一个小萌新,当然我无法将tcp/ip协议的大部分江山和盘托出,但是其中很多面试可能问到的知识,我觉得有必要总结一下! 首先,在学习tcp/ip协议之前,我们必须搞明白什么是tcp/ip协议。 书本上的定义:网络协议是为计算机网络中进行数据交换而建立的规则、标准或约

    2024年02月03日
    浏览(44)
  • 【计算机网络】网络层协议 -- ICMP协议

    ICMP(Internet Control Message Protocol,控制报文协议),用于在IP主机、路由器直接传递控制消息,是一个TCP/IP协议。 ICMP协议的定位 网络层的最典型的协议是IP协议,但是除了IP协议之外,还有ICMP协议和IGMP协议。 ICMP、IGMP和IP协议虽然都属于网络层的协议,但是ICMP协议和IGMP协议属

    2024年02月14日
    浏览(43)
  • 计算机网络-网络文件共享协议

    前言 在计算机网络中,我们经常会遇到在不同计算机网络系统之间如何共享和访问文件的场景,并且在实际项目中有这样的需求,在Linux中需要动态的mount文件,需要选择合适的网络文件共享协议以满足并发,吞吐量等需求。这就涉及今天要讲的网络文件共享协议SMB和NFS。

    2024年04月29日
    浏览(77)
  • [计算机网络]认识“协议”

    在网络体系结构中,应用层的应用程序会产生数据,这个数据往往不是简单的一段字符串数据,而是具有一定意义的结构化数据,应用层要想在网络中发送这个结构化数据,就要将其转化成报文结构,而这个 将应用程序产生的结构化数据转化成报文的过程就是序列化 。 数据

    2024年02月05日
    浏览(49)
  • 计算机网络之5层网络协议

    计算机网络是我们日常生活中无法分割的一部分,它让我们能够实现互联互通,快速传输数据,并在各个领域取得了巨大的成就。而要实现这种高效的通信,网络协议就变得至关重要。网络协议是计算机之间进行通信的规则和约定,它们确保了数据能够在网络中顺畅传输。在

    2024年02月10日
    浏览(53)
  • 【计算机网络笔记】什么是网络协议?

    本篇文章总字数:1027字 预计阅读时间:3~7min 建议收藏之后慢慢阅读 硬件(主机、路由器、通信链 路等)只是计算机网络的基础。计算机网络中的数据交换必须遵守事先约定好的 规则 。如果仅仅修好了道路、有了车辆,没有交通规则来指导我们安全、有序的行驶,交通系统

    2024年02月07日
    浏览(42)
  • 【计算机网络-网络层】路由选择协议

    路由器是一种具有多个输入端口和输出端口的 专用计算机 ,其任务是 转发分组 和 路由选择 。 实现的网络模型:物理层、数据链路层、网络层。 路由器的结构分为两个部分: 路由选择部分(控制部分) :核心是路由选择处理机,它根据 路由选择协议 构造出 路由表 ,路

    2024年02月02日
    浏览(44)
  • 【计算机网络】网络基础--协议/网络协议/网络传输流程/地址管理

    网络的发展分为一下几个阶段: 独立模式: 计算机之间相互独立: 此时计算机之间是相互独立的,每个人在执行任务的时候是独立的,需要等待前一个将任务完成之后,自己才能进行执行任务,是串行执行的,效率很低。 网络互联: 多台计算机连接在一起, 完成数据共享:

    2024年02月03日
    浏览(46)
  • 【计算机网络:DHCP协议】

    动态主机配置协议(DHCP)作为一种核心网络协议,其主要功能是简化网络设备(如计算机、打印机、手机等)的网络配置过程。通过自动分配IP地址和其他必要的网络配置信息,它极大地减轻了网络管理员的负担,并提高了网络的灵活性和可扩展性。 DHCP,即动态主机配置协

    2024年02月22日
    浏览(36)
  • [计算机网络]---Http协议

    前言 作者 :小蜗牛向前冲 名言 :我可以接受失败,但我不能接受放弃   如果觉的博主的文章还不错的话,还请 点赞,收藏,关注👀支持博主。如果发现有问题的地方欢迎❀大家在评论区指正  本期学习:htpp协议,认识URL, 理解htpp协议的基本结构,写一个简单的http协议。

    2024年02月19日
    浏览(52)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包