ipsec是一種開放的，有因特網(wǎng)工程任務(wù)組(IETF)開發(fā)的開放標(biāo)準(zhǔn)。ipsec為在未經(jīng)保護(hù)的網(wǎng)絡(luò)(如internet)上傳輸敏感信息提供安全。ipsec工作在網(wǎng)絡(luò)層，在多個(gè)ipsec設(shè)備(peer,就是所謂的對(duì)等體，如cisco router們)間保護(hù)和認(rèn)證ip包。
ipsec提供以下網(wǎng)絡(luò)安全服務(wù)，這些服務(wù)是可選的，大體上，本地安全策略將指定以下一個(gè)或者多個(gè)這些服務(wù)：
-數(shù)據(jù)機(jī)密性：ipsec發(fā)送者在發(fā)送 包穿過(guò)網(wǎng)絡(luò)之前能夠加密包。
-數(shù)據(jù)完整性：ipsec接收者可以認(rèn)證由ipsec發(fā)送者發(fā)送的包來(lái)確定在傳輸過(guò)程中沒有被更改。
-數(shù)據(jù)起源驗(yàn)證：ipsec接收這可以驗(yàn)證發(fā)送ipsec數(shù)據(jù)包的源。這項(xiàng)服務(wù)是依賴于數(shù)據(jù)完整性服務(wù)的。
-反重放：ipsec接收者可以檢測(cè)和駁回重放的包。
注意：認(rèn)證(authentication)這個(gè)術(shù)語(yǔ)主要指的是數(shù)據(jù)完整性和數(shù)據(jù)起源驗(yàn)證。
使用ipsec，數(shù)據(jù)可以在公網(wǎng)上無(wú)欺騙，無(wú)人干涉的傳輸。這開啟了叫做vpn的應(yīng)用，包括intranets(企業(yè)內(nèi)部網(wǎng))，extranets(企業(yè)外部網(wǎng)),和遠(yuǎn)程用戶訪問(wèn)。

支持的標(biāo)準(zhǔn)：
cisco實(shí)施以下這些標(biāo)準(zhǔn)和特性：
ipsec-ip security protocol.ipsec是一個(gè)開放標(biāo)準(zhǔn)的提供對(duì)等體之間數(shù)據(jù)機(jī)密性數(shù)據(jù)完整性和數(shù)據(jù)驗(yàn)證的框架。ipsec在ip層提供這些安全服務(wù)，它使用ike來(lái)處理協(xié)議協(xié)商和基于本地策略的算法，以及生成加密和ipsec要使用的認(rèn)證key。ipsec可以用來(lái)保護(hù)一對(duì)主機(jī)之間、主機(jī)和主機(jī)之間、網(wǎng)關(guān)之間的一個(gè)或者多個(gè)數(shù)據(jù)流。
注意：ipsec這個(gè)術(shù)語(yǔ)有時(shí)候用來(lái)描述整個(gè)ipsec數(shù)據(jù)服務(wù)和ike安全協(xié)議或者只描述數(shù)據(jù)服務(wù)。
ipse的文檔是一系列的Internet Drafts, 全在這里可用： http://www.ietf.org/html.charters/ipsec-charter.html.
全面ipsec實(shí)施Security Architecture for the Internet Protocol Internet Draft

(RFC2401). cisco ios ipsec實(shí)施RFC 2402 (IP Authentication Header)以及RFC 2410 (The NULL Encryption Algorithm and Its Use With IPSec).
因特網(wǎng)鑰匙交換(ike,internet key exchange)--一種混合協(xié)議，實(shí)施OaKley和SKEME 在isakmp框架進(jìn)行鑰匙交換。而且ike可以和其他協(xié)議混著用，他的出示實(shí)施使用ipsec協(xié)議。ike提供ipsec對(duì)等體認(rèn)證，協(xié)商ipsec安全關(guān)聯(lián)，和完成ipsec keys。

ipsec技術(shù)實(shí)施需要以下零件：
-des：數(shù)據(jù)加密標(biāo)準(zhǔn)(the data encryption standard)用來(lái)加密包數(shù)據(jù)。

cisco ios 強(qiáng)制帶有Explicit IV的56位des-cbc。
cisco ios也能實(shí)施3重des(168位),加密，依賴于可用的指定平臺(tái)的軟件版本。3des是一種很強(qiáng)的加密模式，它開啟了可訂制的網(wǎng)絡(luò)層加密。
-md5(hmac變量):md5(message digest 5)是一種哈希算法。hmac是鍵入的用來(lái)驗(yàn)證數(shù)據(jù)的哈希變量。
-sha(hmac變量):sha(sercure hash algorithem)是一種哈希算法。mac是鍵入的用來(lái)驗(yàn)證數(shù)據(jù)的哈希變量。
ipsec要使實(shí)施在cisco ios軟件中，就支持以下附加標(biāo)準(zhǔn)：
-AH：認(rèn)證頭(authenticaiton header).一個(gè)提供數(shù)據(jù)認(rèn)證和可選反回放服務(wù)的安全協(xié)議。ah鑲嵌在數(shù)據(jù)協(xié)議來(lái)進(jìn)行保護(hù)(整個(gè)ip數(shù)據(jù)報(bào)文).
-esp:封裝安全凈載。一種提供數(shù)據(jù)私有服務(wù)和可選數(shù)據(jù)認(rèn)證的支持反回放的

安全協(xié)議。esp保護(hù)數(shù)據(jù)部分。
術(shù)語(yǔ)列表
反回放(anti-relay)
反回放是一種接受者可以駁回過(guò)期的或者重復(fù)的包的安全服務(wù)，這能保護(hù)它防止受到回放攻擊。ipsec提供這項(xiàng)可選的服務(wù)，以數(shù)據(jù)認(rèn)證和序列號(hào)混合使用。cisco ios ipsec提供，隨時(shí)提供數(shù)據(jù)認(rèn)證服務(wù)，除非：
手動(dòng)連接安全關(guān)聯(lián)這項(xiàng)服務(wù)不可用。
數(shù)據(jù)驗(yàn)證：
數(shù)據(jù)驗(yàn)證包括以下兩個(gè)概念：
數(shù)據(jù)完整性：校驗(yàn)數(shù)據(jù)是否被更改。
數(shù)據(jù)起源驗(yàn)證(校驗(yàn)數(shù)據(jù)是否是真的發(fā)送者發(fā)送的)
數(shù)據(jù)認(rèn)證可以提及完整性，或者兩個(gè)的集合。
數(shù)據(jù)機(jī)密性：
數(shù)據(jù)機(jī)密性是保護(hù)數(shù)據(jù)不被竊聽，偷取的安全服務(wù)。

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論