ipsec是一種開放的，有因特網(wǎng)工程任務(wù)組(IETF)開發(fā)的開放標(biāo)準(zhǔn)。ipsec為在未經(jīng)保護的網(wǎng)絡(luò)(如internet)上傳輸敏感信息提供安全。ipsec工作在網(wǎng)絡(luò)層，在多個ipsec設(shè)備(peer,就是所謂的對等體，如cisco router們)間保護和認證ip包。
ipsec提供以下網(wǎng)絡(luò)安全服務(wù)，這些服務(wù)是可選的，大體上，本地安全策略將指定以下一個或者多個這些服務(wù)：
-數(shù)據(jù)機密性：ipsec發(fā)送者在發(fā)送 包穿過網(wǎng)絡(luò)之前能夠加密包。
-數(shù)據(jù)完整性：ipsec接收者可以認證由ipsec發(fā)送者發(fā)送的包來確定在傳輸過程中沒有被更改。
-數(shù)據(jù)起源驗證：ipsec接收這可以驗證發(fā)送ipsec數(shù)據(jù)包的源。這項服務(wù)是依賴于數(shù)據(jù)完整性服務(wù)的。
-反重放：ipsec接收者可以檢測和駁回重放的包。
注意：認證(authentication)這個術(shù)語主要指的是數(shù)據(jù)完整性和數(shù)據(jù)起源驗證。
使用ipsec，數(shù)據(jù)可以在公網(wǎng)上無欺騙，無人干涉的傳輸。這開啟了叫做vpn的應(yīng)用，包括intranets(企業(yè)內(nèi)部網(wǎng))，extranets(企業(yè)外部網(wǎng)),和遠程用戶訪問。

支持的標(biāo)準(zhǔn)：
cisco實施以下這些標(biāo)準(zhǔn)和特性：
ipsec-ip security protocol.ipsec是一個開放標(biāo)準(zhǔn)的提供對等體之間數(shù)據(jù)機密性數(shù)據(jù)完整性和數(shù)據(jù)驗證的框架。ipsec在ip層提供這些安全服務(wù)，它使用ike來處理協(xié)議協(xié)商和基于本地策略的算法，以及生成加密和ipsec要使用的認證key。ipsec可以用來保護一對主機之間、主機和主機之間、網(wǎng)關(guān)之間的一個或者多個數(shù)據(jù)流。
注意：ipsec這個術(shù)語有時候用來描述整個ipsec數(shù)據(jù)服務(wù)和ike安全協(xié)議或者只描述數(shù)據(jù)服務(wù)。
ipse的文檔是一系列的Internet Drafts, 全在這里可用： http://www.ietf.org/html.charters/ipsec-charter.html.
全面ipsec實施Security Architecture for the Internet Protocol Internet Draft

(RFC2401). cisco ios ipsec實施RFC 2402 (IP Authentication Header)以及RFC 2410 (The NULL Encryption Algorithm and Its Use With IPSec).
因特網(wǎng)鑰匙交換(ike,internet key exchange)--一種混合協(xié)議，實施OaKley和SKEME 在isakmp框架進行鑰匙交換。而且ike可以和其他協(xié)議混著用，他的出示實施使用ipsec協(xié)議。ike提供ipsec對等體認證，協(xié)商ipsec安全關(guān)聯(lián)，和完成ipsec keys。

ipsec技術(shù)實施需要以下零件：
-des：數(shù)據(jù)加密標(biāo)準(zhǔn)(the data encryption standard)用來加密包數(shù)據(jù)。

cisco ios 強制帶有Explicit IV的56位des-cbc。
cisco ios也能實施3重des(168位),加密，依賴于可用的指定平臺的軟件版本。3des是一種很強的加密模式，它開啟了可訂制的網(wǎng)絡(luò)層加密。
-md5(hmac變量):md5(message digest 5)是一種哈希算法。hmac是鍵入的用來驗證數(shù)據(jù)的哈希變量。
-sha(hmac變量):sha(sercure hash algorithem)是一種哈希算法。mac是鍵入的用來驗證數(shù)據(jù)的哈希變量。
ipsec要使實施在cisco ios軟件中，就支持以下附加標(biāo)準(zhǔn)：
-AH：認證頭(authenticaiton header).一個提供數(shù)據(jù)認證和可選反回放服務(wù)的安全協(xié)議。ah鑲嵌在數(shù)據(jù)協(xié)議來進行保護(整個ip數(shù)據(jù)報文).
-esp:封裝安全凈載。一種提供數(shù)據(jù)私有服務(wù)和可選數(shù)據(jù)認證的支持反回放的

安全協(xié)議。esp保護數(shù)據(jù)部分。
術(shù)語列表
反回放(anti-relay)
反回放是一種接受者可以駁回過期的或者重復(fù)的包的安全服務(wù)，這能保護它防止受到回放攻擊。ipsec提供這項可選的服務(wù)，以數(shù)據(jù)認證和序列號混合使用。cisco ios ipsec提供，隨時提供數(shù)據(jù)認證服務(wù)，除非：
手動連接安全關(guān)聯(lián)這項服務(wù)不可用。
數(shù)據(jù)驗證：
數(shù)據(jù)驗證包括以下兩個概念：
數(shù)據(jù)完整性：校驗數(shù)據(jù)是否被更改。
數(shù)據(jù)起源驗證(校驗數(shù)據(jù)是否是真的發(fā)送者發(fā)送的)
數(shù)據(jù)認證可以提及完整性，或者兩個的集合。
數(shù)據(jù)機密性：
數(shù)據(jù)機密性是保護數(shù)據(jù)不被竊聽，偷取的安全服務(wù)。

文章錄入：csh    責(zé)任編輯：csh 

最新評論