IPSec是一个协议包,是通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。IPSec主要由以下协议组成。
(1)认证头(AH):为IP数据包提供无连接数据完整性、消息认证以及防重放攻击保护。
(2)封装安全载荷(ESP):提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性。
(3)安全关联(SA):提供算法和数据包,提供AH,ESP操作所需的参数。
IPSec优点:①在传输层之下,对应用层透明;②对终端用户透明;③可以为个体用户提供安全保障,保护企业内部信息。
1.AH协议
在IP数据报的协议格式中,AH报头的位置在IP报头和传输层协议头之间。IP数据报头中的协议号字段为51,标识该报文为AH协议数据报。AH可以单独使用,也可以与ESP协议结合使用。
AH协议的工作原理是在每一个数据报上添加一个身份认证的报头,该报头包含一个被加密的哈希值作为数字签名,对数据的任何改动,都会使得接收方对哈希值的验证无效。
AH协议的格式如图7-3所示。
图7-3 AH协议格式
(1)下一个头:8位,标识其后的协议头类型。如等于6,表示紧接其后的是TCP报头;等于50,表示紧接其后的是ESP报头。
(2)载荷长度:8位,其值为以32位为单位的AH报头的长度值减2。
(3)保留:16位,值为0。
(4)安全参数索引:识别安全关联(SA)的32位伪随机数,为0表示“没有安全关联存在”。
(5)序列号:从1开始的32位单调递增的序列号,不允许重复,唯一标识每一个数据包,防止重放攻击。(www.xing528.com)
(6)认证数据:消息摘要,默认长度位96位。使用消息认证码(MAC)对数据包进行认证。
2.ESP协议
封装安全载荷(ESP)协议对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,它只加密IP数据包的有效载荷部分,IP分组头部不被包括在内。其协议格式如图7-4所示。
图7-4 ESP协议格式
(1)安全参数索引:32位,与IP地址一起,标识安全关联(SA)。
(2)序列号:从1开始的32位单调递增的序列号,不允许重复,唯一标识每一个数据包,防止重放攻击。
(3)载荷数据:下一个头所指示的协议的实际要传输的数据。
(4)填充项:如果加密算法要求明文是某个长度的整数倍,需要填充。
(5)填充项长度:8位,填充项以字节为单位的长度。
(6)下一个头:8位,标识其后的协议头类型。
(7)认证数据:长度可变。是除认证数据部分以外的ESP包进行计算的结果,其长度取决于使用的认证算法。
3.IKE协议
因特网密钥交换协议(IKE,Internet Key Exchange)是IPSec的一种密钥管理和维护SA的协议,为IPSec提供了自动协商交换密钥、建立安全联盟的服务,能够简化IPSec的使用和管理,简化IPSec的配置和维护工作。IKE不是在网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。IKE具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全联盟。
IKE由Internet安全关联和密钥管理协议(ISAKMP)及两种密钥交换协议OAKLEY与SKEME组成。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。