河北百度愛(ài)采購(gòu)協(xié)議在設(shè)計(jì)之初并沒(méi)有過(guò)多地考慮安全問(wèn)題,為了能夠使網(wǎng)絡(luò)方便地進(jìn)行互聯(lián)、互通,僅僅依靠IP頭部的校驗(yàn)和字段來(lái)保證IP包的安全,因此IP包很容易被篡改,并重新計(jì)算校驗(yàn)和。IETF于1994年開(kāi)始制定ISec協(xié)議標(biāo)準(zhǔn),河北百度愛(ài)采購(gòu)設(shè)計(jì)目標(biāo)是在IPτ4和IPv6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活、透明的安全服務(wù),保護(hù)TCP/P通信免遭竊聽(tīng)和篡改,保證數(shù)據(jù)的完整性和機(jī)密性,有效抵御網(wǎng)絡(luò)攻擊,同時(shí)保持易用性。對(duì)于IPV4, IPSec.是可選的,對(duì)于IPv6, IPSec.是強(qiáng)制實(shí)施的IPse協(xié)議提供對(duì)IP及其上層協(xié)議的保護(hù)。在IP層上對(duì)數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理,提供包括訪問(wèn)控制、完整性、認(rèn)證和保密性在內(nèi)的服務(wù)IPSec并不是一個(gè)單獨(dú)的協(xié)議,而是一套協(xié)議族。它包括安全協(xié)議和密鑰協(xié)商兩部分,
其中,安全協(xié)議部分定義了如何通過(guò)在IP數(shù)據(jù)包中增加擴(kuò)展頭和字段來(lái)保證IP包的機(jī)密性、完整性和可認(rèn)證性,密鑰協(xié)商部分定義了通信實(shí)體間身份認(rèn)證、創(chuàng)建安全關(guān)聯(lián)、協(xié)商加密算法,以及生成共享會(huì)話(huà)密鑰的方法IPSee安全協(xié)議給出了封裝安全載荷( Encapsulating Security payload ESP)和鑒別頭( Authentication header,AH)兩種通信保護(hù)機(jī)制。其中,ESP機(jī)制為通信提供機(jī)密性、完整性保護(hù),AH機(jī)制為通信提供完整性保護(hù)。IPSec協(xié)議使用 Internet密鑰交換( Internet Key Exchange,IKE)協(xié)議實(shí)現(xiàn)安全參數(shù)協(xié)商。
IKE將這些安全參數(shù)構(gòu)成的安全參數(shù)集合稱(chēng)為安全關(guān)聯(lián)( Security Association, SA)IPSec的架構(gòu)如圖2-9所示下一個(gè)頭( next header):最開(kāi)始的8位指出跟在AH頭部的下一個(gè)載荷的類(lèi)型。在傳輸模式下,該字段是處于保護(hù)中的傳輸層協(xié)議的值,比如6(TCP17(UDP)或者50(ESP)。河北百度愛(ài)采購(gòu)在隧道模式下,AH所保護(hù)的是整個(gè)IP包,該值是4,表示IPin-IP協(xié)議2)載荷長(zhǎng)度( payload length):接下來(lái)的8位,其值是以32位(4字節(jié))為單位的整個(gè)AH數(shù)據(jù)(包括頭部和變長(zhǎng)的認(rèn)證數(shù)據(jù))的長(zhǎng)度再減23)保留( reserved):16位,作為保留用,現(xiàn)實(shí)中全部設(shè)置為o4)安全參數(shù)索引( Security Parameter Index,sPI):是一個(gè)32位整數(shù)目的IP地址、Isec協(xié)議等參數(shù)組成一個(gè)三元組,可以為該Ip包唯一地確定一個(gè)安全關(guān)聯(lián)SA.SA是通信雙方達(dá)成的一個(gè)協(xié)定,它規(guī)定了使用的 IPSec協(xié)議的類(lèi)型工作模式、密碼算法、密鑰以及用來(lái)保護(hù)它們之間通信的密鑰的生存期5)序列號(hào)( sequence number):是一個(gè)32位整數(shù),作為一個(gè)單調(diào)遞增的計(jì)數(shù)器,用于抵抗重放攻擊6)認(rèn)證數(shù)據(jù)( authentication data):可變長(zhǎng)部分,包含了認(rèn)證數(shù)據(jù),也就是HMAC算法的結(jié)果,稱(chēng)為完整性校驗(yàn)值( Integrity Check value,ICV)。該字段必須為32位的整數(shù)倍AH的位置取決于AH的工作模式。傳輸模式中,AH在IP頭之后所有傳輸居協(xié)議之前。隧道模式中,AH在原始的IP頭之前,
另外生成一個(gè)新的IP頭放在AH前。兩種模式下AH協(xié)議格式如圖2-13所原來(lái)P頭擴(kuò)展頭AH擴(kuò)展頭TCP頭數(shù)據(jù)傳輸模式新P頭擴(kuò)展頭AH原始P頭擴(kuò)展頭TP頭數(shù)據(jù)磁道模式圖2-13傳輸模式和隧道模式下的AH格式4封裝安全載荷封裝安全載荷( Encapsulating Security Payload,ESP)協(xié)議也是一種增強(qiáng)IP層安全的IPse協(xié)議,由RFC2406定義。ESP協(xié)議除了可以提供無(wú)連接的完整性服務(wù)、數(shù)據(jù)來(lái)源認(rèn)證和抗重放攻擊服務(wù)之外,還提供數(shù)據(jù)包加密和數(shù)據(jù)流加密服各。FSP可以單沖伸用。巾可以和AH結(jié)合伸用。
作者:chuangxinkeji
上一頁(yè):
河北百度愛(ài)采購(gòu)的運(yùn)營(yíng)策略
下一頁(yè):
河北百度愛(ài)采購(gòu)的安全參數(shù)