ipsec是一種開放的，有因特網工程任務組(IETF)開發(fā)的開放標準。ipsec為在未經保護的網絡(如internet)上傳輸敏感信息提供安全。ipsec工作在網絡層，在多個ipsec設備(peer,就是所謂的對等體，如cisco router們)間保護和認證ip包。
ipsec提供以下網絡安全服務，這些服務是可選的，大體上，本地安全策略將指定以下一個或者多個這些服務：
-數據機密性：ipsec發(fā)送者在發(fā)送 包穿過網絡之前能夠加密包。
-數據完整性：ipsec接收者可以認證由ipsec發(fā)送者發(fā)送的包來確定在傳輸過程中沒有被更改。
-數據起源驗證：ipsec接收這可以驗證發(fā)送ipsec數據包的源。這項服務是依賴于數據完整性服務的。
-反重放：ipsec接收者可以檢測和駁回重放的包。
注意：認證(authentication)這個術語主要指的是數據完整性和數據起源驗證。
使用ipsec，數據可以在公網上無欺騙，無人干涉的傳輸。這開啟了叫做vpn的應用，包括intranets(企業(yè)內部網)，extranets(企業(yè)外部網),和遠程用戶訪問。

支持的標準：
cisco實施以下這些標準和特性：
ipsec-ip security protocol.ipsec是一個開放標準的提供對等體之間數據機密性數據完整性和數據驗證的框架。ipsec在ip層提供這些安全服務，它使用ike來處理協(xié)議協(xié)商和基于本地策略的算法，以及生成加密和ipsec要使用的認證key。ipsec可以用來保護一對主機之間、主機和主機之間、網關之間的一個或者多個數據流。
注意：ipsec這個術語有時候用來描述整個ipsec數據服務和ike安全協(xié)議或者只描述數據服務。
ipse的文檔是一系列的Internet Drafts, 全在這里可用： http://www.ietf.org/html.charters/ipsec-charter.html.
全面ipsec實施Security Architecture for the Internet Protocol Internet Draft

(RFC2401). cisco ios ipsec實施RFC 2402 (IP Authentication Header)以及RFC 2410 (The NULL Encryption Algorithm and Its Use With IPSec).
因特網鑰匙交換(ike,internet key exchange)--一種混合協(xié)議，實施OaKley和SKEME 在isakmp框架進行鑰匙交換。而且ike可以和其他協(xié)議混著用，他的出示實施使用ipsec協(xié)議。ike提供ipsec對等體認證，協(xié)商ipsec安全關聯(lián)，和完成ipsec keys。

ipsec技術實施需要以下零件：
-des：數據加密標準(the data encryption standard)用來加密包數據。

cisco ios 強制帶有Explicit IV的56位des-cbc。
cisco ios也能實施3重des(168位),加密，依賴于可用的指定平臺的軟件版本。3des是一種很強的加密模式，它開啟了可訂制的網絡層加密。
-md5(hmac變量):md5(message digest 5)是一種哈希算法。hmac是鍵入的用來驗證數據的哈希變量。
-sha(hmac變量):sha(sercure hash algorithem)是一種哈希算法。mac是鍵入的用來驗證數據的哈希變量。
ipsec要使實施在cisco ios軟件中，就支持以下附加標準：
-AH：認證頭(authenticaiton header).一個提供數據認證和可選反回放服務的安全協(xié)議。ah鑲嵌在數據協(xié)議來進行保護(整個ip數據報文).
-esp:封裝安全凈載。一種提供數據私有服務和可選數據認證的支持反回放的

安全協(xié)議。esp保護數據部分。
術語列表
反回放(anti-relay)
反回放是一種接受者可以駁回過期的或者重復的包的安全服務，這能保護它防止受到回放攻擊。ipsec提供這項可選的服務，以數據認證和序列號混合使用。cisco ios ipsec提供，隨時提供數據認證服務，除非：
手動連接安全關聯(lián)這項服務不可用。
數據驗證：
數據驗證包括以下兩個概念：
數據完整性：校驗數據是否被更改。
數據起源驗證(校驗數據是否是真的發(fā)送者發(fā)送的)
數據認證可以提及完整性，或者兩個的集合。
數據機密性：
數據機密性是保護數據不被竊聽，偷取的安全服務。

文章錄入：csh    責任編輯：csh 

最新評論