互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)IPSec協(xié)議工作原理

互聯(lián)網(wǎng)技術(shù) 責(zé)任編輯:tomjuan 2013-10-17

摘要:互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)IPSec協(xié)議工作原理:IPSec是一種協(xié)議套件,它包括:AH、ESP、IKE、ISAKMP Internet Security Associationand Key Management Protocol,互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議)/Oakley以及轉(zhuǎn)碼等幾部分,這些組件之間的關(guān)系如閣5-2所示。

 在線輔導(dǎo) 面授招生 考試大綱 指定教材 報名時間

5.2.2 IPSec協(xié)議工作原理
IPSec是一種協(xié)議套件,它包括:AH、ESP、IKE、ISAKMP Internet Security Associationand Key Management Protocol,互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議)/Oakley以及轉(zhuǎn)碼等幾部分?這些組件之間的關(guān)系如閣5-2所示。

在圖5-2中,安全體系結(jié)構(gòu)包含了一般的概念和安全需求:ESP定義了ESP加密及驗證處理的相關(guān)包格式和處理規(guī)則;AH定義了AH驗證處理的相關(guān)包格式和處理規(guī)則:加密算法描述各種加密算法如何用于ESP中;驗證算法描述各種身份驗證算法如何應(yīng)用于AH和ESP中;IKE定義了密鑰自動交換協(xié)議:DOI定義了密鑰協(xié)商協(xié)議彼此相關(guān)部分的標識符及參數(shù):策略則決定兩個實體之間能否通信以及如何進行通信。
AH由RFC2402定義,是一個網(wǎng)絡(luò)層協(xié)議,類型號為51。它可以為IP包提供數(shù)據(jù)完整性、數(shù)據(jù)原始身份驗證和一些可選的、有限的抗重播服務(wù),一般可用于傳送模式和隧道模式。AH提供的數(shù)據(jù)完整性與ESP提供的數(shù)據(jù)完整性稍有不同,即在隧道模式下,AH對外部IP頭各部分也進行身份驗證,而ESP不會對外部IP頭進行驗證。AH的頭格式如圖5-3所示。

在圖5-3中各字段的含義如下。
1)下一個頭:表明AH頭之后的數(shù)據(jù)類型。
2)載荷長度:表示頭本身的長度。
3)SPI:其值一般是在IKE交換過程中由目標主機選定的。這個值和IP頭之前的目標地址以及協(xié)議結(jié)合在-?起,用來標識用于處理數(shù)據(jù)包的特定的那個安全聯(lián)盟。
4)序列號:提供抗重播服務(wù)。它獨一無二、單調(diào)遞增,由發(fā)送端插在AH頭中。創(chuàng)建好一個SA后,序列號便會初始化為零,并在進行IPSec輸出處理之前,令此值遞增。新的SA必須在序列號回歸為零之前創(chuàng)建。一般為32位。
5)驗證數(shù)據(jù):是一個不固定的長度字段,此字段用于容納數(shù)據(jù)完整性的檢驗結(jié)果。
AH協(xié)議可采用多種驗證算法,已經(jīng)被定義的驗證算法有HMAC-MD5和HMAC-SHA1,
其中MD5是MessageDigest5(消息摘要5)的簡寫,SHA(安全散列算法)是SecurityHashAlgorithm的簡寫。通倌雙方中的一方用密鑰對整個IP包進行計算得到摘要值,另一方用同樣的密鑰和算法進行計算,如果兩者的結(jié)果相同,則說明數(shù)據(jù)包在傳輸?shù)倪^程中沒有被改變,IP包就通過了身份驗證。因此,數(shù)據(jù)的完整性和驗證安全得到了保證。
ESP由RFC2406定義,協(xié)議類型值為50,用于確保IP數(shù)據(jù)包的機密性、數(shù)據(jù)完整性以及對數(shù)據(jù)源的身份驗證,此外,它還提供抗重播服務(wù)。ESP可以單獨使用,也可以和AH-起使用,用于傳送模式或者隧道模式,它的頭格式如圖5-4所示。

1)下面對圖5-4中各字段的含義進行解釋。
安全參數(shù)索引(SPI):與上面提到的AH中的32位SPI值相同。通信節(jié)點使用該值來指出SA,SA用于確定數(shù)據(jù)應(yīng)如何加密。
2)序列號:32位,從0開始,每發(fā)送一個數(shù)據(jù)報,該值加1。序列號可用于防御重放攻擊,在循環(huán)用完所有值之前,必須建立新的SA。
3)要保護的數(shù)據(jù):此宇段長度可變,它實際上包含數(shù)據(jù)報的加密部分以及加密算法需要的補充數(shù)據(jù),例如初始化數(shù)據(jù)。
4)填充項:頭的加密部分(凈荷)必須在正確的邊界終止,因此有時窬要填充。
5)填充長度:此字段指明凈荷數(shù)據(jù)所葙要填充的數(shù)據(jù)里。
6)下一個頭:指明數(shù)據(jù)類型。
7)身份驗證數(shù)據(jù):該字段是一個ICV(Integrity Check Value,完整性檢查值)?它對除身份驗證數(shù)據(jù)本身之外的整個ESP頭進行計算。這種身份驗證計算是可選的。

返回目錄: 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦:

中級通信專業(yè)實務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務(wù)傳輸與接入教程匯總

通信專業(yè)實務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實務(wù)考試交換技術(shù)教程匯總

更多資料
更多課程
更多真題
溫馨提示:因考試政策、內(nèi)容不斷變化與調(diào)整,本網(wǎng)站提供的以上信息僅供參考,如有異議,請考生以權(quán)威部門公布的內(nèi)容為準!

通信工程師備考資料免費領(lǐng)取

去領(lǐng)取

距離2025 通信工程師考試

還有
  • 3
  • 1
  • 3
專注在線職業(yè)教育23年

項目管理

信息系統(tǒng)項目管理師

廠商認證

信息系統(tǒng)項目管理師

信息系統(tǒng)項目管理師

學(xué)歷提升

!
咨詢在線老師!