3. 安全参数索引(SPI)
这是所有IPSec 消息中携带的32 位值。 SPI、IP 目标地址和安全协议号组合起来形成一个三元组,唯一地标识特定的安全关联。如果手动配置安全关联,则必须手动指定SPI值。为了保证安全关联的唯一性,必须使用不同的SPI进行配置。使用IKE 协商生成安全关联时,SPI 是随机生成的。
4. 安全联盟终身
更新安全关联有两种方法:“时间限制”(以固定间隔更新)和“流量限制”(每次发送一定数量字节的信息时更新)。
5. 安全策略(加密地图)
安全策略:由用户手动设置,以控制针对何种类型的数据流采取何种安全措施。定义数据流是通过在访问控制列表中配置多个规则来完成的。安全策略中引用此访问控制列表来确定哪些数据流需要受到保护。安全策略由其“名称”和“序列号”唯一确定。
6. 变换模式
它包括安全协议、安全协议使用的算法以及安全协议封装报文的格式,指定如何将常规IP报文转换为IPSec报文。安全策略规定了安全策略所采用的协议、算法等,包括转换方法。
IPSec概述
AH 协议
AH(身份验证标头)协议使用密钥验证算法来计算受保护数据的摘要。数据完整性检查允许您确定数据包在传输过程中是否已被修改,允许终端系统或网络设备对用户或应用程序进行身份验证,并过滤身份验证机制以防止地址欺骗和重放攻击。
当使用AH协议时,AH协议首先在原始数据之前生成AH消息头。消息头包括增量序列号(sequence number)、验证字段(空)、安全参数索引(SPI)等。 AH协议对新的数据包进行单独的操作,生成认证字段(认证数据),并将其写入AH头的认证字段中。 Quidway系列安全路由产品中,AH协议目前有两种哈希算法可供选择:MD5和SHA1。这两种算法的密钥长度分别为128 位和160 位。
AH 协议使用32 位序列号并结合抗重放窗口和消息验证来防止重放攻击。
在传输模式下,AH 协议验证IP 消息的数据部分和IP 标头的未修改部分。
在隧道模式下,AH 协议验证所有内部IP 数据包和外部IP 标头的未修改部分。
IPSec的组成
ESP 协议
ESP(Encapsulated Security Payload)是一种消息安全封装协议,它将用户数据加密并封装到IP数据包中,以保证数据隐私。同时,用户可以选择使用密钥哈希算法来确保消息的完整性和真实性。 ESP 的隧道模式隐藏了数据包路径信息。
ESP协议模式允许通过哈希算法获取验证数据字段。可选算法还有MD5 和SHA1。与AH 协议不同,ESP 协议还允许您选择加密算法。常见的加密算法有DES、3DES等加密算法,都是通过使用专门的加密卡来完成的。系统资源。加密算法必须从SA获取密钥,对ESP加密的数据的全部内容进行加密运算,得到新的“数据”。完成后,ESP 将在新“数据”之前添加SPI 和序列号字段,并在数据之后添加验证和填充字段。
ESP 协议使用32 位序列号并结合抗重放窗口和消息验证来防止重放攻击。
在发送模式下,ESP 协议对IP 消息中的有效数据进行加密(带有附加验证)。
在隧道模式下,ESP 协议对整个内部IP 消息进行加密(带有附加验证)。
原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/83295.html