久久精品水蜜桃av综合天堂,久久精品丝袜高跟鞋,精品国产肉丝袜久久,国产一区二区三区色噜噜,黑人video粗暴亚裔

IPSec

來(lái)自站長(zhǎng)百科
跳轉(zhuǎn)至: 導(dǎo)航、? 搜索

IPSecInternet協(xié)議安全性)是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過(guò)使用加密的安全服務(wù)以確保在 Internet 協(xié)議IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊,Microsoft; Windows 2000、Windows XP 和Windows Server2003家族實(shí)施IPSec是基于“Internet工程任務(wù)組(IETF)”IPSec 工作組開發(fā)的標(biāo)準(zhǔn)。IPSec 提供了一種能力以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶端和服務(wù)器、分支機(jī)構(gòu)(物理上為遠(yuǎn)程機(jī)構(gòu))、Extranet 以及漫游客戶端之間的通信。

IPSec的作用目標(biāo)[ ]

  • 保護(hù)IP數(shù)據(jù)包的內(nèi)容。
  • 通過(guò)數(shù)據(jù)包篩選及受信任通訊的實(shí)施來(lái)防御網(wǎng)絡(luò)攻擊。
  • 這個(gè)基礎(chǔ)為專用網(wǎng)絡(luò)計(jì)算機(jī)、域名、站點(diǎn)、遠(yuǎn)程站點(diǎn)、Extranet和撥號(hào)用戶之間的通信提供了既有力又靈活的保護(hù),它甚至可以用來(lái)阻礙特定通訊類型的接收和發(fā)送。

IPSec的安全特性[ ]

  • 不可否認(rèn)性,"不可否認(rèn)性"可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者,發(fā)送者不能否認(rèn)發(fā)送過(guò)消息。不可否認(rèn)性是采用公鑰技術(shù)的一個(gè)特征,當(dāng)使用公鑰技術(shù)時(shí)發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送,接收方用發(fā)送者的公鑰來(lái)驗(yàn)證數(shù)字簽名。
  • 反重播性,"反重播"確保每個(gè)IP包的唯一性,保證信息萬(wàn)一被截取復(fù)制后不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息后,再用相同的信息包冒取非法訪問權(quán)(即使這種冒取行為發(fā)生在數(shù)月之后)。
  • 數(shù)據(jù)完整性,防止傳輸過(guò)程中數(shù)據(jù)被篡改,確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性,IPSec利用Hash函數(shù)為每個(gè)數(shù)據(jù)包產(chǎn)生一個(gè)加密檢查和,接收方在打開包前先計(jì)算檢查,若包遭篡改導(dǎo)致檢查和不相符,數(shù)據(jù)包即被丟棄。
  • 數(shù)據(jù)可靠性,在傳輸前對(duì)數(shù)據(jù)進(jìn)行加密,可以保證在傳輸過(guò)程中,即使數(shù)據(jù)包遭截取信息也無(wú)法被讀。該特性在IPSec中為可選項(xiàng)與IPSec策略的具體設(shè)置相關(guān)。

IPSec公鑰加密[ ]

IPSec的公鑰加密用于身份認(rèn)證和密鑰交換。公鑰加密也被稱為"不對(duì)稱加密法",即加解密過(guò)程需要兩把不同的密鑰,一把用來(lái)產(chǎn)生數(shù)字簽名和加密數(shù)據(jù),另一把用來(lái)驗(yàn)證數(shù)字簽名和對(duì)數(shù)據(jù)進(jìn)行解密,使用公鑰加密法,每個(gè)用戶擁有一個(gè)密鑰對(duì)其中私鑰僅為其個(gè)人所知,公鑰則可分發(fā)給任意需要與之進(jìn)行加密通信的人雖然密鑰對(duì)中兩把鑰匙彼此相關(guān),但要想從其中一把來(lái)推導(dǎo)出另一把,以目前計(jì)算機(jī)的運(yùn)算能力來(lái)看,這種做法幾乎完全不現(xiàn)實(shí)。因此在這種加密法中,公鑰可以廣為分發(fā)而私鑰則需要仔細(xì)地妥善保管。

IPSec的Hash函數(shù)和數(shù)據(jù)完整性[ ]

Hash信息驗(yàn)證碼HMAC(Hash message authentication codes)驗(yàn)證接收消息和發(fā)送消息的完全一致性(完整性)。這在數(shù)據(jù)交換中非常關(guān)鍵,尤其當(dāng)傳輸媒介如公共網(wǎng)絡(luò)中不提供安全保證時(shí)更顯其重要性,HMAC結(jié)合hash算法和共享密鑰提供完整性。Hash散列通常也被當(dāng)成是數(shù)字簽名但這種說(shuō)法不夠準(zhǔn)確,兩者的區(qū)別在于:Hash散列使用共享密鑰而數(shù)字簽名基于公鑰技術(shù),Hash算法也稱為消息摘要或單向轉(zhuǎn)換,稱它為單向轉(zhuǎn)換是因?yàn)椋?

  • 雙方必須在通信的兩個(gè)端頭處各自執(zhí)行Hash函數(shù)計(jì)算;
  • 使用Hash函數(shù)很容易從消息計(jì)算出消息摘要,但其逆向反演過(guò)程以目前計(jì)算機(jī)的運(yùn)算能力幾乎不可實(shí)現(xiàn)。

Hash散列本身就是所謂加密檢查和或消息完整性編碼MIC(Message Integrity Code),通信雙方必須各自執(zhí)行函數(shù)計(jì)算來(lái)驗(yàn)證消息。舉例來(lái)說(shuō),發(fā)送方首先使用HMAC算法和共享密鑰計(jì)算消息檢查和,然后將計(jì)算結(jié)果A封裝進(jìn)數(shù)據(jù)包中一起發(fā)送;接收方再對(duì)所接收的消息執(zhí)行HMAC計(jì)算得出結(jié)果B并將B與A進(jìn)行比較,如果消息在傳輸中遭篡改致使B與A不一致接收方丟棄該數(shù)據(jù)包,有兩種最常用的hash函數(shù):

  • HMAC-MD5 MD5是基于RFC1321。MD5對(duì)MD4做了改進(jìn),計(jì)算速度比MD4稍慢但安全性能得到了進(jìn)一步改善,MD5在計(jì)算中使用了64個(gè)32位常數(shù),最終生成一個(gè)128位的完整性檢查和。
  • HMAC-SHA 安全Hash算法定義在NIST FIPS 180-1,其算法以MD5為原型,SHA在計(jì)算中使用了79個(gè)32位常數(shù),最終產(chǎn)生一個(gè)160位完整性檢查和,SHA檢查和長(zhǎng)度比MD5更長(zhǎng),因此安全性也更高。

IPSec加密和數(shù)據(jù)可靠性[ ]

IPSec使用的數(shù)據(jù)加密算法是DES--Data Encryption Standard(數(shù)據(jù)加密標(biāo)準(zhǔn)),DES密鑰長(zhǎng)度為56位在形式上是一個(gè)64位數(shù),DES以64位(8字節(jié))為分組對(duì)數(shù)據(jù)加密,每64位明文經(jīng)過(guò)16輪置換生成64位密文,其中每字節(jié)有1位用于奇偶校驗(yàn),所以實(shí)際有效密鑰長(zhǎng)度是56位,IPSec還支持3DES算法,3DES可提供更高的安全性,但相應(yīng)地計(jì)算速度更慢。

IPSec的Diffie-Hellman算法[ ]

要啟動(dòng)安全通訊,通信兩端必須首先得到相同的共享密鑰(主密鑰),但共享密鑰不能通過(guò)網(wǎng)絡(luò)相互發(fā)送,因?yàn)檫@種做法極易泄密,Diffie-Hellman算法是用于密鑰交換的最早最安全的算法之一。DH算法的基本工作原理是:通信雙方公開或半公開交換一些準(zhǔn)備用來(lái)生成密鑰的"材料數(shù)據(jù)",在彼此交換過(guò)密鑰生成"材料"后,兩端可以各自生成出完全一樣的共享密鑰。在任何時(shí)候,雙方都絕不交換真正的密鑰。通信雙方交換的密鑰生成"材料",長(zhǎng)度不等,"材料"長(zhǎng)度越長(zhǎng),所生成的密鑰強(qiáng)度也就越高密鑰破譯就越困難,除進(jìn)行密鑰交換外IPSec還使用DH算法生成所有其他加密密鑰。AH報(bào)頭字段包括:

  • Next Header(下一個(gè)報(bào)頭),識(shí)別下一個(gè)使用IP協(xié)議號(hào)的報(bào)頭。
  • Length(長(zhǎng)度):AH報(bào)頭長(zhǎng)度。
  • Security Parameters Index (SPI,安全參數(shù)索引):這是一個(gè)為數(shù)據(jù)報(bào)識(shí)別安全關(guān)聯(lián)的32位偽隨機(jī)值,SPI值0被保留來(lái)表明"沒有安全關(guān)聯(lián)存在"。
  • Sequence Number(序列號(hào)):從1開始的32位單增序列號(hào)不允許重復(fù),唯一地標(biāo)識(shí)了每一個(gè)發(fā)送數(shù)據(jù)包,為安全關(guān)聯(lián)提供反重播保護(hù),接收端校驗(yàn)序列號(hào)為該字段值的數(shù)據(jù)包是否已經(jīng)被接收過(guò),若是則拒收該數(shù)據(jù)包。
  • Authentication Data(AD,認(rèn)證數(shù)據(jù)):包含完整性檢查和,接收端接收數(shù)據(jù)包后,首先執(zhí)行hash計(jì)算再與發(fā)送端所計(jì)算的該字段值比較,若兩者相等表示數(shù)據(jù)完整,若在傳輸過(guò)程中數(shù)據(jù)遭修改,兩個(gè)計(jì)算結(jié)果不一致則丟棄該數(shù)據(jù)包。

相關(guān)條目[ ]

參考來(lái)源[ ]