IPSEC即“Internet 协议安全性”是一种开放标准的框架协议,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络(internet就是全球最大的IP网络)上进行保密而安全的通讯。
IPSec 协议本不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。怎样理解IPSEC框架协议呢?IETF开发IPSEC协议时,这时候已经有许多其他优秀的安全协议或算法诞生并得到很好的应用,IPSEC并没有再开发一种全新的算法,而是定义了一个框架,吸纳其他优秀的协议或算法加入,完成最终的加密和认证功能。IPSEC就如同武林盟主,许多绿林好汉都加入进来,盟主定义盟规用来约束各个帮派及势力,各帮派必须遵守盟约才可以。
通过IPSEC我们可以实现一下主要功能:
1.数据机密性:数据在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。
2.数据完整性:防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
3.操作不可否认性:可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。
4.防重放功能: "防重放"确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
公钥加密就是发送方使用接收方的公钥将数据加密,到达接收方后,接收方使用自己的私钥将数据解密。实现了数据安全
私钥签名就是发送方使用自己的私钥将数据加密,数据到达对方后,接收方使用发送方的公钥解密数据。实现了发送者的身份认证及操作的不可否认。
3.单项散列算法即hash运算,确保了数据的完整性.例如MD5,SHA等。可以做数据完整性认证。具有以下特性:
双方必须在通信的两个端头处各自执行Hash函数计算,如果值相同证明数据没有被修改;
使用Hash函数很容易从消息计算出消息摘要,但其逆向反演过程以目前计算机的运算能力几乎不可实现。
通过前面的内容,我们了解了IPSEC相应的算法类型及特点,我们将在下一篇中介绍两种安全协议,谢谢大家继续关注中。
IPSec 协议本不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。怎样理解IPSEC框架协议呢?IETF开发IPSEC协议时,这时候已经有许多其他优秀的安全协议或算法诞生并得到很好的应用,IPSEC并没有再开发一种全新的算法,而是定义了一个框架,吸纳其他优秀的协议或算法加入,完成最终的加密和认证功能。IPSEC就如同武林盟主,许多绿林好汉都加入进来,盟主定义盟规用来约束各个帮派及势力,各帮派必须遵守盟约才可以。
通过IPSEC我们可以实现一下主要功能:
1.数据机密性:数据在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。
2.数据完整性:防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
3.操作不可否认性:可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。
4.防重放功能: "防重放"确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
下面我们就分别了解IPSEC ×××的几个关键组件:
首先我们先了解几种常见的算法类型,具体常见的算法如何实现,这不是我们关心的,感兴趣可以去查看密码学或者BAIDU一下:
1.对称加密算法:例如DES,3DES,AES等。适合于对用户数据(大量数据)加密
首先我们先了解几种常见的算法类型,具体常见的算法如何实现,这不是我们关心的,感兴趣可以去查看密码学或者BAIDU一下:
1.对称加密算法:例如DES,3DES,AES等。适合于对用户数据(大量数据)加密
对称加密算法的特点:发送方和接收方使用同一密钥
通常加密比较快(可以达到线速)
基于简单的数学操作(可借助硬件)
需要数据的保密性时,用于大批量加密
密钥的管理是最大的问题(如何将密钥传给对方?)
2.非对称加密算法类型:使用两个密钥,密钥成对生成。例如RSA。适合于对关键数据加密,比如对称加密的密钥传递,或协商安全联盟时传递参数密钥等
公钥公开(任何人都可以得到),私钥所有者持有。
公钥和私钥不可通过数学算法互相推到,已知公钥不可能推算出私钥
两个密钥互相加密解密,一个密钥用于加密,另一个就用于解密
比对称加密算法慢很多倍。
根据两个密钥的特点,我们有以下两种应用:
通常加密比较快(可以达到线速)
基于简单的数学操作(可借助硬件)
需要数据的保密性时,用于大批量加密
密钥的管理是最大的问题(如何将密钥传给对方?)
2.非对称加密算法类型:使用两个密钥,密钥成对生成。例如RSA。适合于对关键数据加密,比如对称加密的密钥传递,或协商安全联盟时传递参数密钥等
公钥公开(任何人都可以得到),私钥所有者持有。
公钥和私钥不可通过数学算法互相推到,已知公钥不可能推算出私钥
两个密钥互相加密解密,一个密钥用于加密,另一个就用于解密
比对称加密算法慢很多倍。
根据两个密钥的特点,我们有以下两种应用:
公钥加密就是发送方使用接收方的公钥将数据加密,到达接收方后,接收方使用自己的私钥将数据解密。实现了数据安全
私钥签名就是发送方使用自己的私钥将数据加密,数据到达对方后,接收方使用发送方的公钥解密数据。实现了发送者的身份认证及操作的不可否认。
3.单项散列算法即hash运算,确保了数据的完整性.例如MD5,SHA等。可以做数据完整性认证。具有以下特性:
双方必须在通信的两个端头处各自执行Hash函数计算,如果值相同证明数据没有被修改;
使用Hash函数很容易从消息计算出消息摘要,但其逆向反演过程以目前计算机的运算能力几乎不可实现。
通过前面的内容,我们了解了IPSEC相应的算法类型及特点,我们将在下一篇中介绍两种安全协议,谢谢大家继续关注中。
本文出自 “行云流水3” 博客,请务必保留此出处http://net580.blog.51cto.com/1404195/289854
本文出自 51CTO.COM技术博客
