当前位置:文档之家› IPSec协议

IPSec协议

IPSec协议

✋♏♍协议

✋ ♏♍协议概述

✋♏♍ ✞☠工作原理

 隧道建立方式

 数据保护方式

 ✋☜ 协议体系结构

✋ ♏♍的优点

✋ ♏♍协议概述

✋♏♍是一系列基于✋网络(包括✋⏹♦❒♋⏹♏♦、☜⌧♦❒♋⏹♏♦和✋⏹♦♏❒⏹♏♦)的,由✋☜❆☞正式定制的开放性✋安全标准,是虚拟专网的基础,已经相当成熟可靠。

✋♏♍可以保证局域网、专用或公用的广域网及✋⏹♦♏❒⏹♏♦上信息传输的安全。

① 保证✋⏹♦♏❒⏹♏♦上各分支办公点的安全连接:公司可以借助✋⏹♦♏❒⏹♏♦或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托✋⏹♦♏❒⏹♏♦即可以获得同样的效果。

② 保证✋⏹♦♏❒⏹♏♦上远程访问的安全:在计算机上装有✋♏♍的终端用户可以通过拨入所在地的✋的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。

③ 通过外部网或内部网建立与合作伙伴的联系:✋♏♍通过认证和钥匙交换机制确保企业与其它组织的信息往来的安全性与机密性。

④ 提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,✋♏♍的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。

✋♏♍的主要特征在于它可以对所有✋级的通信进行加密和认证,正是这一点才使✋♏♍可以确保包括远程登录、客户 服务器、电子邮件、文件传输及 ♏♌访问在内多种应用程序的安全。

✋♏♍在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装✋♏♍时,无需更改用户或服务器系统中的软件设置。即使在终端

系统中执行✋♏♍,应用程序一类的上层软件也不会被影响。

✋♏♍对终端用户来说是透明的,因此不必对用户进行安全机制的培训。

如果需要的话,✋♏♍可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。

✋♏♍正向✋⏹♦♏❒⏹♏♦靠拢。已经有一些机构部分或全部执行了✋♏♍。✋✌的前任总裁 ♒❒♓♦♦♓♋⏹ ☟◆♓♦♏❍♋认为,关于如何保证✋⏹♦♏❒⏹♏♦安全的讨论是他所见过的最激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。想要提供✋级的安全,✋♏♍必须成为配置在所有相关平台(包括 ♓⏹♎☐♦♦ ☠❆,✞⏹♓⌧和 ♋♍♓⏹♦☐♦♒系统)的网络代码中的一部分。

实际上,现在发行的许多✋⏹♦♏❒⏹♏♦应用软件中已包含了安全特征。例如,☠♏♦♦♍♋☐♏ ☠♋❖♓♑♋♦☐❒和 ♓♍❒☐♦☐♐♦ ✋⏹♦♏❒⏹♏♦ ☜⌧☐●☐❒♏❒支持保护互联网通信的安全套层协议( ☹),还有一部分产品支持保护✋⏹♦♏❒⏹♏♦上信用卡交易的安全电子交易协议( ☜❆)。然而,✞☠需要的是网络级的功能,这也正是✋♏♍所提供的。

✋♏♍ ✞☠工作原理

当✋♏♍用于路由器时,就可以建立虚拟专用网。在路由器的连内部网的一端,是一个受保护的网络,另一端则是不安全的公共网络。两个这样的路由器建立起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一个远程的保护子网,这就形成了一个✞☠。

 隧道建立方式

✋♦♏♍ ✞☠隧道的建立过程可以分为二个阶段

第一阶段有二种模式 主模式或主动模式和第二阶段 快速模式 。

第一阶段有三个任务必须完成

① 协商一系列算法和参数☎这些算法和参数用于保护隧道建立过程中的数据✆。

② 必须计算出二边使用的加密 ☜✡值 例如 二边使用 ☜算法密 ☜算法则需要一个密码 这个密码两端端必须一样 但又不能在链路上传递。

③ 对等体的验证 如何才能知道对端就是我要与之通信的对端 这里验证有三种方法 预共享 数字签名 加密临时值。

这一系列过程都是✋☜这个协议来实现。第一阶段三个任务 分别用 个消息来完成 每二个为一组。

第一个消息由隧道的发起者发起 携带了如这样一些参数 如加密机制 ☜散列机制 ☟✌♓♐♐♓♏☟♏●●❍♋⏹组 认证机制 预共享。第二个消息由响应者回应 内容基本一样 主要与发起者比较 是否与发起者匹配 不匹配就进行下一组的比较 如果最终都找不到匹配 隧道就停止建立。第三个消息由发起者发出 但是在发出这个消息之前 有个过程必须先完成 就是 ♓♐♐♓♏☟♏●●❍♋⏹算法过程。

该过程的目的是什么呢✍刚刚第一二条消息中所协商的算法它们必须需要一个 ☜✡这个 ☜✡在二个对等体上必须一样 但同时这个 ☜✡不能在链路中传递 因为传递 ☜✡是一个不安全的手段 所以 该过程的目的是分别在二个对等间独立地生成一个 ☟公共值 该公共值有什么用呢?因为二个对等体上都生成该 ☟公共值后 它们会在接下来的第三第四消息中传送给对方 打个比方 就是✌收到了 的 ☟公共值 收到了✌的 ☟公共值 当✌都收到了对方的该公共值后 问题就好解决了 因为有一个公式在数学中被论证成立 那么现在借助该公式 就可以在二个对等上生成一个只有他们二个对等体知道的相同的 ☜✡该公式为

发起者密秘 ☎✠♌✆♋❍☐♎ ☐☎✠♋✆♌❍☐♎ ☐响应者密秘 注意 这个密秘不是最终算法中使用的 ☜✡但二个对等体通过该 ☜✡材料来生成另个三个密钥 分别是

☜✡✋♉♎此密钥被用于计算后续✋♦♏♍密钥资源。

☜✡✋♉♋此密钥被用于提供后续✋☜消息的数据完整性以及认证。

☜✡✋♉♏此密钥被用于对后续✋☜消息进行加密。

所以由发起者发起的第三条消息主要是向对等体发送自己的 ☟公共值 。第四条消息由响应者向发起者发送 主要是向发送者发送自己的 ☟公共值 由于第一二条消息的算法 第三四条消息生成的 ☜✡所以在后续的第五六条消息就能被加密传送 第五条消息由发起者向响应者发送 主要是为了验证对端自己就是自己想要与之通信的对端 这可以通过预共享 数字签名 加密临时值来实现 。第六条消息由响应者向发起者发送 主要目的和第五条一样。

第二阶段只有一任务必须完成 在二个对等体间协商产生✋♦♏♍联盟的属性 安全联盟可以加密二个对等体间的数据 这才是真正的需要加密的用户数据 至此 隧道才真正建立起来。

相关主题