网络层安全协议(IPSec)能提供的服务包括:访问控制、无连接的完整性、数据源认证、拒绝发重包(部分序列完整性形式)、保密性和有限传输流保密性。由于IPSec在TCP/Ip的核心层——IP层实现,因此可以有效保护各种上层协议,并为各种安全服务提供一个统一的平台。IP数据包本质上来说是不安全的,IPSec是将密码学的安全机制引入IP。
IPSec体系结构
IPsec主要包括3个功能域:
该体系结构包括:IP首部鉴别(AH)协议、封装安全载荷(ESP)协议、密钥交换(IKE)协议、用于网络验证及加密的一些算法。它由每台机器上的安全策略和发送、接收方的安全关联(SA)进行控制。
SA是构成IPSec的寄出,是两个通信实体经协商建立的一种协定,她决定了用来保护数据分组安全的安全协议、转码方式、密钥及密钥的有效存在时间等。IPSec工作时两端的网络设备必须就SA达成一致,由于SA是单向的,因此要建立两个SA。对于某一个主机来说,某个会话的输出数据和输入数据流需要两个独立的SA。SA通过密钥管理协议(IKE)在通信双方进行协商,协商完毕之后,双方都在他们的安全关联数据库(SAD)中存储该SA参数。
安全关联可以表示一个三元组:SA = (SPI+IPDA+SPR)
- SPI:安全参数索引,是一个32的值,用于区分相同目的地和相同IP的不同SA。
- IPDA为IP目的地址
- SPR:安全协议标识 如AH或者ESP
SAD:安全关连库包括什么?
序列号计数器:一个序列号、
鉴别首部协议
Ip首部鉴别协议(AH)为IP通信提供数据源认证、数据完整性、反重播保证。它能保证通信免受篡改,但不能防止被窃听。工作原理:每个数据报上加上一个鉴别首部,底层是一个带密钥的哈希散列
ESP协议
IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。
IPSec传输模式有两种,IPSec隧道模式及IPSec传输模式。隧道模式的特点是数据报文最终目的地不是安全终点。通常情况下,IPSec双方有一方是安全网关或者路由器,就必须使用隧道模式。在传输模式下,IPSec主要对上层协议及IP包的载荷进行封装保护,通常传输模式只用于两台主机之间的安全通信。
SSL
ssl协议的结构:位于TCP之上,应用层之下,独立于应用层协议,连接的可靠性、保密性、相互认证。
(1)握手:通信双方通过数次交互,协商加密算法,会话密钥,同时为客户程序认证提供服务器程序,认证基于不对称公钥机制
(2)传输应用数据:用握手时协商的会话密钥对所有数据进行加密传输
(3)握手协议:在ssl记录协议之上,她产生会话状态的密码参数。协商:协议版本、密码算法、对彼此进行认证、使用公开密钥加密技术产生共享密码等