竭诚为您提供优质文档/双击可除
ipsec安全协议
篇一:ipsec协议
ipsec协议
ipsec协议
1ipsec协议概述
2ipsecVpn工作原理
4.2.1隧道建立方式
2.2数据保护方式
2.3ipsec协议体系结构
3ipsec的优点
1ipsec协议概述
ipsec是一系列基于ip网络(包括intranet、extranet 和internet)的,由ietF正式定制的开放性ip安全标准,是虚拟专网的基础,已经相当成熟可靠。ipsec可以保证局域网、专用或公用的广域网及internet上信息传输的安全。
①保证internet上各分支办公点的安全连接:公司可以借
助internet或公用的广域网搭建安全的虚拟专用网络。这使得公司可以不必耗巨资去建立自己的专用网络,而只需依托internet即可以获得同样的效果。
②保证internet上远程访问的安全:在计算机上装有ipsec的终端用户可以通过拨入所在地的isp的方式获得对公司网络的安全访问权。这一做法降低了流动办公雇员及远距离工作者的长途电话费用。
③通过外部网或内部网建立与合作伙伴的联系:ipsec 通过认证和钥匙交换机制确保企业与其它组织的信息往来
的安全性与机密性。
④提高了电子商务的安全性:尽管在电子商务的许多应用中已嵌入了一些安全协议,ipsec的使用仍可以使其安全级别在原有的基础上更进一步,因为所有由网络管理员指定的通信都是经过加密和认证的。
ipsec的主要特征在于它可以对所有ip级的通信进行加密和认证,正是这一点才使ipsec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及web访问在内多种应用程序的安全。
ipsec在传输层之下,对于应用程序来说是透明的。当在路由器或防火墙上安装ipsec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行ipsec,应用程序一类的上层软件也不会被影响。
ipsec对终端用户来说是透明的,因此不必对用户进行
安全机制的培训。如果需要的话,ipsec可以为个体用户提
供安全保障,这样做就可以保护企业内部的敏感信息。
ipsec正向internet靠拢。已经有一些机构部分或全部执行了ipsec。iab的前任总裁christianhuitema认为,关于如何保证internet安全的讨论是他所见过的最
激烈的讨论之一。讨论的话题之一就是安全是否在恰当的协议层上被使用。
想要提供ip级的安全,ipsec必须成为配置在所有相关平台(包括windowsnt,unix和macintosh系统)的网络代码中的一部分。
实际上,现在发行的许多internet应用软件中已包含
了安全特征。例如,netscapenavigator和microsoftinternetexplorer支持保护互联网通信的安全套
层协议(ssl),还有一部分产品支持保护internet上信用
卡交易的安全电子交易协议(set)。然而,Vpn需要的是网
络级的功能,这也正是ipsec所提供的。
2ipsecVpn工作原理
当ipsec用于路由器时,就可以建立虚拟专用网。在路由器的连内部网的一端,是一个受保护的网络,另一端则是不安全的公共网络。两个这样的路由器建立起一个安全通道,通信就可以通过这个通道从一个本地的保护子网发送到一
个远程的保护子网,这就形成了一个Vpn。
4.2.1隧道建立方式
ipsecVpn隧道的建立过程可以分为二个阶段:
第一阶段有二种模式:主模式或主动模式和第二阶段:
快速模式。
第一阶段有三个任务必须完成:
①协商一系列算法和参数(这些算法和参数用于保护隧道建立过程中的数据)。
②必须计算出二边使用的加密key值,例如,二边使用
3des算法密,3des算法则需要一个密码,这个密码两端端必须一样,但又不能在链路上传递。
③对等体的验证,如何才能知道对端就是我要与之通信的对端.这里验证有三种方法:预共享,数字签名,加密临时值。
这一系列过程都是ike这个协议来实现。第一阶段三个任务,分别用6个消息来完成,每二个为一组。
第一个消息由隧道的发起者发起,携带了如这样一些参数,如加密机制-des,散列机制-md5-hmac,diffie-hellman
组-2,认证机制-预共享。第二个消息由响应者回应,内容基本一样,主要与发起者比较,是否与发起者匹配,不匹配就进行下一组的比较.如果最终都找不到匹配,隧道就停止建立。第三个消息由发起者发出,但是在发出这个消息之前,有个
过程必须先完成,就是diffie-hellman算法过程。
该过程的目的是什么呢刚刚第一二条消息中所协商的算法它们必须需要一个key,这个key在二个对等体上必须一样,但同时这个key不能在链路中传递,因为传递key是一个不安全的手段.所以,该过程的目的是分别在二个对等间独立地生成一个dh公共值,该公共值有什么用呢?因为二个对等体上都生成该dh公共值后,它们会在接下来的第三第四消息中传送给对方,打个比方,就是a收到
了b的dh公共值,b收到了a的dh公共值.当a,b都收到了对方的该公共值后,问题就好解决了.因为有一个公式在数学中被论证成立,那么现在借助该公式,就可以在二个对等上生成一个只有他们二个对等体知道的相同的key,该公式为
发起者密秘=(xb)amodp=(xa)bmodp=响应者密秘
注意,这个密秘不是最终算法中使用的key,但二个对等体通过该key材料来生成另个三个密钥,分别是: skeyid_d--此密钥被用于计算后续ipsec密钥资源。
skeyid_a--此密钥被用于提供后续ike消息的数据完整性以及认证。skeyid_e--此密钥被用于对后续ike消息进行加密。
所以由发起者发起的第三条消息主要是向对等体发送自己的dh公共值。