1. 用於保障ip通信數據安全的ipsec協議,是屬於網路協議中的什麼安全協議
互聯網安全協議(英語:Internet Protocol Security,縮寫為IPsec),是一個協議包,通過對IP協議的分組進行加密和認證來保護IP協議的網路傳輸協議族(一些相互關聯的協議的集合)。其工作原理就是在發送端對數據進行加密,在接收端進行解密,從而實現信息的安全傳輸功能。
2. IPSEC是什麼意思
IPsec:IP層協議安全結構
(IPsec:Security Architecture for IP network)
IPsec 在 IP 層提供安全服務,它使系統能按需選擇安全協議,決定服務所使用的演算法及放置需求服務所需密鑰到相應位置。 IPsec 用來保護一條或多條主機與主機間、安全網關與安全網關間、安全網關與主機間的路徑。
IPsec 能提供的安全服務集包括訪問控制、無連接的完整性、數據源認證、拒絕重發包(部分序列完整性形式)、保密性和有限傳輸流保密性。因為這些服務均在 IP 層提供,所以任何高層協議均能使用它們,例如 TCP 、 UDP 、ICMP 、 BGP 等等。
這些目標是通過使用兩大傳輸安全協議,頭部認證(AH) 和封裝安全負載 (ESP),以及密鑰管理程序和協議的使用來完成的。所需的 IPsec 協議集內容及其使用的方式是由用戶、應用程序、和/或站點、組織對安全和系統的需求來決定。
當正確的實現、使用這些機制時,它們不應該對不使用這些安全機制保護傳輸的用戶、主機和其他英特網部分產生負面的影響。這些機制也被設計成演算法獨立的。這種模塊性允許選擇不同的演算法集而不影響其他部分的實現。例如:如果需要,不同的用戶通訊可以採用不同的演算法集。
定義一個標準的默認演算法集可以使得全球因英特網更容易協同工作。這些演算法輔以 IPsec 傳輸保護和密鑰管理協議的使用為系統和應用開發者部署高質量的網際網路層的加密的安全技術提供了途徑。
3. IPsec安全策略主要由哪兩個交互的資料庫
SAD(安全關聯資料庫)和SPD(安全策略資料庫)。
它並不是一個單獨的協議,而是一系列為IP網路提供安全性的協議和服務的集合。IPSec主要包括安全協議AH和ESP,密鑰管理交換協議IKE以及用於網路認證及加密的一些演算法等。
4. ipsec安全聯盟是由哪些元素組成
IPsec主要由以下協議組成:
一、認證頭(AH),為IP數據報提供無連接數據完整性、消息認證以及防重放攻擊保護;
二、封裝安全載荷(ESP),提供機密性、數據源認證、無連接完整性、防重放和有限的傳輸流(traffic-flow)機密性;
三、安全關聯(SA),提供演算法和數據包,提供AH、ESP操作所需的參數。
四、密鑰協議(IKE),提供對稱密碼的鑰匙的生存和交換。
歷史
從1920-70年代初開始,美國高級研究項目局贊助了一系列實驗性的ARPANET加密設備,起初用於本地ARPANET數據包加密,隨後又用於TCP/IP數據包加密。
從1986年到1991年,美國國家安全局在其安全數據網路系統(SDN)計劃下贊助了互聯網安全協議的開發,包括摩托羅拉在內的各種供應商聚集在一起,於1988年生產了一種網路加密設備,這項工作於1988年由NIST公開發表,其中第3層的安全協議(SP3)演變為ISO標準的網路層安全協議(NLSP)。
5. IPSec 是什麼服務
IPv4缺乏對通信雙方真實身份的驗證能力,缺乏對網上傳輸的數據的完整性和機密性保護,並且由於IP地址可軟體配置等靈活性以及基於源IP地址的認證機制,使得IP層存在著網路業務流易被監聽和捕獲、IP地址欺騙、信息泄露和數據項被篡改等攻擊,而IP是很難抵抗這些攻擊的。為了實現安全IP,Internet工程任務組IETF於1994年開始了一項IP安全工程,專門成立了IP安全協議工作組IPSEC,來制定和推動一套稱為IPSec(IP Security)的IP安全協議標准。其目標就是把安全特徵集成到IP層,以便對Internet的安全業務提供低層的支持。IETF於1995年8月公布了一系列關於IPSec的RFC建議標准。
完整的IPsec核心文檔集處在提議標准階段。包括:
下面是這些域的說明:
- 下一個頭(Next Header):這個8比特的域指出AH後的下一個載荷的類型。例如,如果AH後面是一個ESP載荷,這個域將包含值50。如果在我們所說的AH後面是另一個AH,那這個域將包含值51。RFC1700中包含了已分配的IP協議值信息。
- 載荷長度(Payload length):這個8比特的域包含以32比特為單位的AH的長度減2。為什麼要減2呢?AH實際上是一個IPv6擴展頭,IPv6規范RFC1883中規定計算擴展頭長度時應首先從頭長度中減去一個64比特的字。由於載荷長度用32比特度量,兩個32比特字也就相當於一個64比特字,因此要從總認證頭長度中減去2。
- 保留(Reserved):這個16比特的域被保留供將來使用。AH規范RFC2402中規定這個域被置為0。
- 安全參數索引(SPI):SPI是一個32比特的整數,用於和源地址或目的地址以及IPSec協議(AH或ESP)共同唯一標識一個數據報所屬的數據流的安全關聯(SA)。SA是通信雙方達成的一個協定,它規定了採用的IPSec協議、協議操作模式、密碼演算法、密鑰以及用來保護它們之間通信的密鑰的生存期。關於SPI域的整數值,1到255被IANA(Internet Assigned Number Authority)留作將來使用;0被保留用於本地和具體實現使用。所以說目前有效的SPI值是從256到232-1。
- 序列號(Sequence number):這個域包含有一個作為單調增加的計數器的32位無符號整數。當SA建立時,發送者和接收者的序列號值被初始化為0。通信雙方每使用一個特定的SA發出1個數據報就將它們的相應的序列號加1。序列號用來防止對數據包的重放,重放指的是數據報被攻擊者截取並重新傳送。AH規范強制發送者總要發送序列號到接收者;而接收者可以選擇不使用抗重放特性,這時它不理會進入的數據流中數據報的序列號。如果接收端主機啟用抗重放功能,它使用滑動接收窗口機制檢測重放包。具體的滑動窗口因不同的IPSec實現而不同;然而一般來說滑動窗口具有以下功能。窗口長度最小為32比特。窗口的右邊界代表一特定SA所接收到的驗證有效的最大序列號。序列號小於窗口左邊界的包將被丟棄。將序列號值位於窗口之內的數據包將被與位於窗口內的接收到的數據包相比較。如果接收到的數據包的序列號位於窗口內並且數據包是新的,或者它的序列號大於窗口右邊界且小於232,那麼接收主機繼續處理計算認證數據。對於一個特定的SA,它的序列號不能循環;所以在一個特定的SA傳輸的數據包的數目達到232之前,必須協商一個新的SA以及新的密鑰。
- 認證數據:這個變長域包含數據報的認證數據,該認證數據被稱為完整性校驗值(ICV)。對於IPv4數據報,這個域的長度必須是32的整數倍;對於IPv6數據報,這個域的長度必須是64的整數倍。用來生成ICV的演算法由SA指定。用來計算ICV的可用的演算法因IPSec的實現的不同而不同;然而為了保證互操作性,AH強制所有的IPSec實現必須包含兩個MAC:HMAC-MD5和HMAC-SHA-1。如果一個IPv4數據報的ICV域的長度不是32的整數倍,或一個IPv6數據報的ICV域的長度不是64的整數倍,必須添加填充比特使ICV域的長度達到所需要的長度。
6. 什麼是IPSec VPN安全網關
漁翁IPSec VPN安全網關是漁翁信息技術股份有限公司獨立自主研發的高速網路安全設備,遵循國家密碼管理局最新頒布的《IPSec VPN技術規范》,通過國家密碼管理局鑒定,獲得公安部計算機信息系統安全專用產品銷售許可證。
產品內置漁翁自主研發的高速密碼模塊,全面支持國家密碼管理局指定的SM1、SM2、SM3、SM4密碼演算法,為網路傳輸的數據提供高性能加密、簽名驗證服務。產品通過隧道技術為企業總部與分支機構、政府各級單位的網路之間建立起專用的安全通道,採用嚴格的加密、認證措施來保證通道中傳送數據的私密性、完整性和真實性。
漁翁信息的IPSec VPN安全網關產品部署簡單,配置靈活,無需對現有網路進行改動,可廣泛應用於政府、公安、能源、交通、稅務、企業集團等領域。
7. IPSEC是什麼意思
IPsec是一個協議包,通過對IP協議的分組進行加密和認證來保護IP協議的網路傳輸協議族。
安全特性
IPSec的安全特性主要有:
1、不可否認性
"不可否認性"可以證實消息發送方是唯一可能的發送者,發送者不能否認發送過消息。"不可否認性"是採用公鑰技術的一個特徵,當使用公鑰技術時,發送方用私鑰產生一個數字簽名隨消息一起發送,接收方用發送者的公鑰來驗證數字簽名。
由於在理論上只有發送者才唯一擁有私鑰,也只有發送者才可能產生該數字簽名,所以只要數字簽名通過驗證,發送者就不能否認曾發送過該消息。但"不可否認性"不是基於認證的共享密鑰技術的特徵,因為在基於認證的共享密鑰技術中,發送方和接收方掌握相同的密鑰。
2、反重播性
"反重播"確保每個IP包的唯一性,保證信息萬一被截取復制後,不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息後,再用相同的信息包冒取非法訪問權(即使這種冒取行為發生在數月之後)。
3、數據完整性
防止傳輸過程中數據被篡改,確保發出數據和接收數據的一致性。IPSec利用Hash函數為每個數據包產生一個加密檢查和,接收方在打開包前先計算檢查和,若包遭篡改導致檢查和不相符,數據包即被丟棄。
4、數據可靠性
在傳輸前,對數據進行加密,可以保證在傳輸過程中,即使數據包遭截取,信息也無法被讀。該特性在IPSec中為可選項,與IPSec策略的具體設置相關。
(7)ipsec網路安全擴展閱讀:
IPSec的應用場景和協議組成
IPSec 的應用場景分為3種:
1、Site-to-Site(站點到站點或者網關到網關):如彎曲評論的3個機構分布在互聯網的3個不同的地方,各使用一個商務領航網關相互建立VPN隧道,企業內網(若干PC)之間的數據通過這些網關建立的IPSec隧道實現安全互聯。
2、End-to-End(端到端或者PC到PC): 兩個PC之間的通信由兩個PC之間的IPSec會話保護,而不是網關。
3、End-to-Site(端到站點或者PC到網關):兩個PC之間的通信由網關和異地PC之間的IPSec進行保護。
VPN只是IPSec的一種應用方式,IPSec其實是IP Security的簡稱,它的目的是為IP提供高安全性特性,VPN則是在實現這種安全特性的方式下產生的解決方案。
IPSec是一個框架性架構,具體由兩類協議組成:
1、AH協議(Authentication Header,使用較少):可以同時提供數據完整性確認、數據來源確認、防重放等安全特性;AH常用摘要演算法(單向Hash函數)MD5和SHA1實現該特性。
2、ESP協議(Encapsulated Security Payload,使用較廣):可以同時提供數據完整性確認、數據加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密演算法實現數據加密,使用MD5或SHA1來實現數據完整性。
8. IPSec VPN安全網關有哪些應用價值
由於上述兩種方式的VPN都有專門的資料介紹,因此,簡單點講,IPSec VPN因其應用廣泛,用戶基礎龐大(微軟的功勞),技術成熟,是大部分VPN用戶的首選。建網模式上,Site to Site採用硬體構建,成本低廉且較為可靠,但用戶認證方式較為單一,策略配置復雜,對於多種邊界的網路不太適用。SSL VPN雖然前景廣泛,但目前主要用於對大量需要移動用戶接入的組網方式,比如需要移動辦公人員接入,電力抄表員、保險的網上辦公、電信級運營用戶,需要對廣泛用戶進行接入的網路使用SSL VPN可以輕松的實現網路安全策略的配置。
更多資料請自己查詢兩者的基礎知識。