百科解釋
目錄·標(biāo)準(zhǔn)現(xiàn)狀·設(shè)計(jì)意圖·IPsec與其它互聯(lián)網(wǎng)安全協(xié)議的對(duì)比·技術(shù)細(xì)節(jié)·實(shí)現(xiàn) IPsec(縮寫(xiě)IP Security)是保護(hù)IP協(xié)議安全通信的標(biāo)準(zhǔn),它主要對(duì)IP協(xié)議分組進(jìn)行加密和認(rèn)證。 IPsec作為一個(gè)協(xié)議族(即一系列相互關(guān)聯(lián)的協(xié)議)由以下部分組成:(1)保護(hù)分組流的協(xié)議;(2)用來(lái)建立這些安全分組流的密鑰交換協(xié)議。前者又分成兩個(gè)部分:加密分組流的封裝安全載荷(ESP)及較少使用的認(rèn)證頭(AH),認(rèn)證頭提供了對(duì)分組流的認(rèn)證并保證其消息完整性,但不提供保密性。目前為止,IKE協(xié)議是唯一已經(jīng)制定的密鑰交換協(xié)議。 標(biāo)準(zhǔn)現(xiàn)狀 IPv6是IETF為IP協(xié)議分組通信制定的新的因特網(wǎng)標(biāo)準(zhǔn),IPsec是其中必選的內(nèi)容,但在IPv4中的使用則是可選的。這樣做的目的,是為了隨著IPv6的進(jìn)一步流行,IPsec可以得到更為廣泛的使用。IPsec協(xié)議在RFCs 2401-2409中定義,根據(jù)工作進(jìn)展,至2004年會(huì)有新版的替換文檔發(fā)布。 設(shè)計(jì)意圖 IPsec被設(shè)計(jì)用來(lái)提供(1)入口對(duì)入口通信安全,在此機(jī)制下,分組通信的安全性由單個(gè)節(jié)點(diǎn)提供給多臺(tái)機(jī)器(甚至可以是整個(gè)局域網(wǎng));(2)端到端分組通信安全,由作為端點(diǎn)的計(jì)算機(jī)完成安全操作。上述的任意一種模式都可以用來(lái)構(gòu)建虛擬專用網(wǎng) (VPN),而這也是IPsec最主要的用途之一。應(yīng)該注意的是,上述兩種操作模式在安全的實(shí)現(xiàn)方面有著很大差別。 因特網(wǎng)范圍內(nèi)端到端通信安全的發(fā)展比預(yù)料的要緩慢。其中部分原因,是因?yàn)槠洳粔蚱毡榛蛘哒f(shuō)不被普遍信任。公鑰基礎(chǔ)設(shè)施能夠得以形成(DNSSEC最初就是為此產(chǎn)生的),一部分是因?yàn)樵S多用戶不能充分地認(rèn)清他們的需求及可用的選項(xiàng),導(dǎo)致其作為內(nèi)含物強(qiáng)加到賣主的產(chǎn)品中(這也必將得到廣泛采用);另一部分可能歸因于網(wǎng)絡(luò)響應(yīng)的退化(或說(shuō)預(yù)期退化),就像兜售信息的充斥而帶來(lái)的帶寬損失一樣。 IPsec與其它互聯(lián)網(wǎng)安全協(xié)議的對(duì)比 IPsec協(xié)議工作在OSI 模型的第三層,使其在單獨(dú)使用時(shí)適于保護(hù)基于TCP和UDP的協(xié)議。這就意味著,與傳輸層或更高層的協(xié)議相比(如 SSL就不能保護(hù)UDP層的通信流),IPsec協(xié)議必須處理可靠性和分片的問(wèn)題,這同時(shí)也增加了它的復(fù)雜性和處理開(kāi)銷。相對(duì)而言,SSL/TLS依靠更高層的TCP(OSI的第四層)來(lái)管理可靠性和分片。 技術(shù)細(xì)節(jié) 認(rèn)證頭 認(rèn)證頭(AH)被用來(lái)保證被傳輸分組的完整性和可靠性。此外,它還保護(hù)不受重發(fā)攻擊。認(rèn)證頭試圖保護(hù)IP數(shù)據(jù)報(bào)的所有字段,那些在傳輸IP分組的過(guò)程中要發(fā)生變化的字段就只能被排除在外。 封裝安全載荷 (ESP) 封裝安全載荷(ESP)協(xié)議對(duì)分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是,IP分組頭部不被包括在內(nèi)。 實(shí)現(xiàn) FreeS/WAN項(xiàng)目已經(jīng)開(kāi)發(fā)了一個(gè)開(kāi)源的GNU/Linux環(huán)境下的IPsec實(shí)現(xiàn)。且一個(gè)基于KAME項(xiàng)目的IPsec實(shí)現(xiàn)已經(jīng)包含在NetBSD、FreeBSD以及2.6 Linux內(nèi)核中。從某種程度上說(shuō),也是因?yàn)檫@個(gè)原因,F(xiàn)ree S/WAN項(xiàng)目的開(kāi)發(fā)在2004年3月時(shí)被中止。Openswan和strongSwan是Free S/WAN延續(xù)。 至今已有許多IPsec協(xié)議和ISAKMP/IKE協(xié)議的實(shí)現(xiàn)。它們包括: NRL IPsec,屬于原型的一種 OpenBSD,代碼源于NRL IPsec Mac OS X,包含了Kame IPsec的代碼 Cisco IOS Microsoft Windows Win2K and WinXP SSH Sentinel (現(xiàn)作為 SafeNet的一部分)提供了工具包 Solaris
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助