您好,歡迎來電子發(fā)燒友網(wǎng)! ,新用戶?[免費(fèi)注冊]

您的位置:電子發(fā)燒友網(wǎng)>電子百科>通信技術(shù)>傳輸網(wǎng)/接入網(wǎng)/交換網(wǎng)>

IP安全,IP安全是什么意思

2010年04月03日 17:23 wenjunhu.com 作者:佚名 用戶評論(0
關(guān)鍵字:IP安全(6002)

IP安全,IP安全是什么意思

IPSec協(xié)議是一個協(xié)議套件,為IP數(shù)據(jù)包中封裝的所有上層數(shù)據(jù)提供透明的安全保護(hù),無需修改上層協(xié)議。IPSec的目的是在因特網(wǎng)協(xié)議棧中的IP層提供安全業(yè)務(wù)。它使系統(tǒng)能按需選擇安全協(xié)議,決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。網(wǎng)絡(luò)通信易于受到各種攻擊, IPSec旨在為端系統(tǒng)提供相互身份驗證的方法,保護(hù)一條或多條主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間的路徑以及傳輸中的數(shù)據(jù)不被竊取和攻擊。

IPSec依靠密碼技術(shù)保護(hù)各種環(huán)境中的通信,包括在專用網(wǎng)中計算機(jī)之間的通信鏈路,公司站點(diǎn)之間的鏈路,以及撥號用戶和公司LAN之間的鏈路。IPSec也用于貿(mào)易伙伴之間(外聯(lián)網(wǎng)連接)和電子商務(wù)應(yīng)用。

IPSec是一個為IPv4和IPv6設(shè)計的“隧道協(xié)議”。隧道是在一對主機(jī)、一對安全網(wǎng)關(guān)(通常是防火墻),或一個安全網(wǎng)關(guān)和一個主機(jī)之間的“路徑”??梢越⒁粋€隧道,運(yùn)載所有的通信量,或在相同端點(diǎn)之間建立多個隧道,支持不同的TCP業(yè)務(wù)。

IPSec的一個重要特征是它能提供跨越IP網(wǎng)絡(luò)的端到端安全。低層安全協(xié)議只能提供單一鏈路的保護(hù)。但是應(yīng)該把IPSec和上層會話協(xié)議,例如SSL(安全套接層),區(qū)分開。SSL已經(jīng)成為Web服務(wù)器和客戶機(jī)之間安全通信的支柱。SSL仍然是小量用戶交易(例如從Amazon.com買一本書)的首選方法。但是SSL僅確保了會話安全,而非像IPSec那樣保護(hù)主機(jī)之間的IP連接?! ?

IPSec有多種模式和業(yè)務(wù),如下所述:

數(shù)據(jù)來源驗證 分組的頭部已經(jīng)簽了名(通過一個散列算法來進(jìn)行),因此接收者可以相信分組是可信的。

無連接完整性 簽名過程可以向接收者確保數(shù)據(jù)分組在傳輸過程中沒有被更改。

機(jī)密性 全部或部分分組可以用加密來隱藏他們的內(nèi)容。加密隱藏了傳輸過程中原始分組的IP頭,因此外部分組需要有一個可以被中間轉(zhuǎn)發(fā)系統(tǒng)讀取的頭部。

重放保護(hù) 通過保護(hù)/隱藏重要分組信息,IPSec防止某人獲取分組,并在以后重放它們, 從而進(jìn)入系統(tǒng)。

密鑰管理 IPSec使用IKE (因特網(wǎng)密鑰交換)管理各方面之間安全密鑰的交換。IKE是一個混合協(xié)議,它實際上使用到了ISAKMP協(xié)議(Internet 安全關(guān)聯(lián)和密鑰管理協(xié)議)、Oakley協(xié)議(密鑰確定協(xié)議)和描述支持匿名和快速密鑰刷新的密鑰交換的SKEME協(xié)議。IKE除了實現(xiàn)通信雙方的密鑰材料交換,還使用ISAKMP實現(xiàn)IPSec的安全關(guān)聯(lián)。

這些目標(biāo)是通過使用兩大傳輸安全協(xié)議,頭部認(rèn)證(AH) 和封裝安全負(fù)載 (ESP),以及密鑰管理程序和協(xié)議的使用來完成的。所需的 IPsec 協(xié)議集內(nèi)容及其使用的方式是由用戶、應(yīng)用程序、和/或站點(diǎn)、組織對安全和系統(tǒng)的需求來決定。AH和ESP安全報頭都可以單獨(dú)使用,但是為了確保安全性,它們通常一起使用。當(dāng)把加密和驗證結(jié)合起來,就可以在主機(jī)之間傳輸具有驗證和機(jī)密性的IP包。一般通過捆綁傳輸和隧道傳輸來實現(xiàn)兩者的結(jié)合。

IPSec出現(xiàn)得較晚。部分原因是它最初是為IPV6設(shè)計的,而IPv6的發(fā)布日期被改動了許多次。供應(yīng)商產(chǎn)品之間的互用性也有問題。加密是處理器密集型的,在某些環(huán)境下可能不被支持。但是像Intel這樣的供應(yīng)商已經(jīng)開發(fā)了安全適配器,通過卸載加密加速IPSec的處理。

非常好我支持^.^

(0) 0%

不好我反對

(0) 0%

( 發(fā)表人:admin )

      發(fā)表評論

      用戶評論
      評價:好評中評差評

      發(fā)表評論,獲取積分! 請遵守相關(guān)規(guī)定!

      ?