網絡層安全協議(IPSec)能提供的服務包括:訪問控制、無連接的完整性、數據源認證、拒絕發重包(部分序列完整性形式)、保密性和有限傳輸流保密性。由於IPSec在TCP/Ip的核心層——IP層實現,因此可以有效保護各種上層協議,併爲各種安全服務提供一個統一的平臺。IP數據包本質上來說是不安全的,IPSec是將密碼學的安全機制引入IP。
IPSec體系結構
IPsec主要包括3個功能域:
該體系結構包括:IP首部鑑別(AH)協議、封裝安全載荷(ESP)協議、密鑰交換(IKE)協議、用於網絡驗證及加密的一些算法。它由每臺機器上的安全策略和發送、接收方的安全關聯(SA)進行控制。
SA是構成IPSec的寄出,是兩個通信實體經協商建立的一種協定,她決定了用來保護數據分組安全的安全協議、轉碼方式、密鑰及密鑰的有效存在時間等。IPSec工作時兩端的網絡設備必須就SA達成一致,由於SA是單向的,因此要建立兩個SA。對於某一個主機來說,某個會話的輸出數據和輸入數據流需要兩個獨立的SA。SA通過密鑰管理協議(IKE)在通信雙方進行協商,協商完畢之後,雙方都在他們的安全關聯數據庫(SAD)中存儲該SA參數。
安全關聯可以表示一個三元組:SA = (SPI+IPDA+SPR)
- SPI:安全參數索引,是一個32的值,用於區分相同目的地和相同IP的不同SA。
- IPDA爲IP目的地址
- SPR:安全協議標識 如AH或者ESP
SAD:安全關連庫包括什麼?
序列號計數器:一個序列號、
鑑別首部協議
Ip首部鑑別協議(AH)爲IP通信提供數據源認證、數據完整性、反重播保證。它能保證通信免受篡改,但不能防止被竊聽。工作原理:每個數據報上加上一個鑑別首部,底層是一個帶密鑰的哈希散列
ESP協議
IP提供機密性、數據源驗證、抗重放以及數據完整性等安全服務。
IPSec傳輸模式有兩種,IPSec隧道模式及IPSec傳輸模式。隧道模式的特點是數據報文最終目的地不是安全終點。通常情況下,IPSec雙方有一方是安全網關或者路由器,就必須使用隧道模式。在傳輸模式下,IPSec主要對上層協議及IP包的載荷進行封裝保護,通常傳輸模式只用於兩臺主機之間的安全通信。
SSL
ssl協議的結構:位於TCP之上,應用層之下,獨立於應用層協議,連接的可靠性、保密性、相互認證。
(1)握手:通信雙方通過數次交互,協商加密算法,會話密鑰,同時爲客戶程序認證提供服務器程序,認證基於不對稱公鑰機制
(2)傳輸應用數據:用握手時協商的會話密鑰對所有數據進行加密傳輸
(3)握手協議:在ssl記錄協議之上,她產生會話狀態的密碼參數。協商:協議版本、密碼算法、對彼此進行認證、使用公開密鑰加密技術產生共享密碼等