实现IPsec安全性的协议有哪些?
日期:2010-12-16 21:16 | 来源: 未知 | 作者: admin | 阅读: 次
IPsec是专门用来解决IPv4 的一些基础安全性问题的。为了解决这些问题,它实现了四个服务:数据传输加密、数据完整性验证、数据源认证和数据状态完整性。为了实现这些服务,IPsec VPN引入了许多协议。在本篇文章中,您将学习到实现IPsec安全性的协议。
IPsec VPN
IPsec VPN框架是一个IETF 标准套件,它能够在不安全的网络中实现安全的数据传输,如Internet。IPsec VPN提供了一些在网络层实现安全通信的协议,以及一个用于交换身份和安全性协议管理信息的机制。IPsec套件是专门用来解决IPv4 的一些基础安全性问题的。
为了解决这些漏洞,IETF已经开发了不同的协议标准定义。这些标准实现了以下四个基本服务:
数据传输加密:发起的主机能够在传输之前对数据包进行加密。
数据完整性验证:接收的主机能够验证每一个到达的数据包,保证所传输的原始数据已经成功接收。
数据源认证:发起的主机能够给数据包添加标记,这样接收者能够认证这些数据。
数据状态完整性:发起和接收的主机都能够给数据包添加标记,这样数据流的任何重复传输都可以被检测和拒绝(这就是所谓的抗重放)。
IPsec VPN简介
IPsec VPN工作在OSI Layer 3。
IPsec VPN能够在远程位置与企业网络之间实现一个安全通道。
IPsec VPN需要使用安装在主机上的客户端和位于中央的硬件。
持续的IPsec VPN配置维护和帐号管理可能需要很大工作量。
用户拥有完整的内部网络功能。
IPsec VPN的访问控制比较宽松。
IPsec VPN专门对VoIP、多媒体和网络层传输进行了优化。
IPsec VPN使用了许多不同的安全性协议来实现这些服务。在底层,这些协议可以分成两类:数据包协议和服务协议。数据包协议用于实现数据安全性服务。这里有两种IPsec数据包协议:Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外还有许多服务协议,但是其中最主要的一个是Internet Key Exchange protocol (IKE)。
下面是IPsec VPN实现中通常会使用的协议简要概述:
Authentication Header:AH定义在IETF RFC 2402,它支持IPsec数据验证、认证和完整性服务。它不支持数据加密。AH一般是单独实现的,但是它也可以与ESP一起实现。AH只有当我们需要保证交换数据双方安全时才会使用。
Encapsulating Security Payload:ESP定义在IETF RFC 2406,它支持IPsec数据加密、验证、认证和完整性服务。ESP可以单独实现,也可以与AH一起实现。AH头是预先设置在IP数据包的数据有效内容位置的,而ESP则将IP数据包的整个数据部分封装到一个头和尾上。