ipsec(ip security)概述
在第四章談論到虛擬專用網vpn時,提到在vpn中傳送的資訊都是經過加密的,現在我們介紹這種加密方式ipsec。
ipsec並不是乙個單一協議,能夠在ip層提供網際網路通訊安全的協議族,ipsec是乙個框架,它允許通訊雙方選擇合適的引數和演算法。為了保證互操作性,ipsec還包含了一套加密演算法,所有ipsec的實現都必須使用。
ipsec協議族中的協議可以分為以下三個部分:
ip安全資料報格式的兩個協議:鑑別首部ah(authentication)協議和封裝安全有效載荷esp(encapsulation security payload)協議
有關加密演算法的三個協議(在此不討論)
網際網路秘鑰交換ike(internet key exchange)協議
使用esp或ah協議的資料報稱之為ip安全資料報(或者ipsec資料報),它可以在兩台主機之間、兩個路由器之間、一台主機和一台路由器之間傳送。
ip安全資料報有以下兩種工作方式:
運輸方式(transport mode):運輸方式是在整個運輸層報文段的前後分別新增若干控制資訊,再加上ip首部,構成ip安全資料報。
隧道方式(tunnel mode):隧道方式是在原始的ip資料報的前後分別新增若干控制資訊,再加上新的ip位址首部,構成乙個ip安全資料報。
無論使用哪種控制方式,最後得到的ip安全資料報的ip首部都是不加密的。只有使用不加密的ip首部,網際網路中的各個路由器才能識別ip首部的有關資訊。所謂的安全資料報指的是資料報的資料部分是經過加密的,並且能夠被鑑別。通常把資料報的資料部分稱之為資料報的有效載荷。目前使用最多的是隧道方式。
安全關聯
在傳送ip安全資料報之前,在源實體和目的實體之間必須建立一條網路層的邏輯連線,即安全關聯sa(security associtaion)。這樣,傳統的網際網路中無連線狀態的網路層就成為了具有邏輯連線的乙個層。安全關聯是從源點到終點的單向連線,它能夠提供安全服務,如果要進行雙向通訊,則兩個方向都要進行安全連線。在這些安全關聯上傳送的ip資料報就是ip安全資料報。
現在使用比較廣泛的兩個協議
安全套接字ssl(secure socket layer)
運輸層安全tls(transport layer security)
ssl作用在端系統應用層的http和運輸層至之間,在tcp之上建立一條安全通道,為通過tcp連線的應用資料提供安全保證。
在ssl 3.0的基礎上設計了tls,為所有基於tcp的網路應用提供安全資料傳輸服務。
ssl提供的安全服務可以歸納為以下三種:
ssl伺服器鑑別,允許使用者證實伺服器的身份。支援ssl的客戶端通過驗證來自伺服器的證書,來鑑別伺服器的正式身份並獲取伺服器的公鑰。
ssl客戶鑑別,ssl的可選安全服務,允許伺服器證實客戶的身份,
加密的ssl會話:對客戶和伺服器之間傳送的所有報文進行加密,並檢測報文是否被篡改。
計算機網路 網際網路的組成
一,邊緣部分 邊緣部分主要是連線在網際網路上的主機。主機又叫端系統。小的端系統 普通個人電腦,筆記本,平板,手機,小的網路攝像頭,大的端系統 大型計算機。計算機之間的通訊 主機a的某個程序和主機b上的另乙個程序進行通訊。通訊方式可以分為兩類 1,客戶 伺服器 c s 這個是較為傳統的方式。網上發郵件...
計算機網路 網際網路的組成
網際網路根據工作方式可以分為邊緣部分和核心部分 一.網際網路的邊緣部分 處在網際網路邊緣部分的是連線在網際網路上的所有主機。這些主機又稱為端系統 end system 主機a和主機b通訊 指的是執行在主機a上的某個程式和執行在主機b上的某個應用程式進行通訊,程序 就是執行著的程式,因此,就是指執行在...
計算機網路(一) 網際網路的組成
計算機網路是通過一定的連線方式將多台計算機或其他裝置連線起來組成的,連線方式可以是電纜 寬頻 光釺等傳輸介質。換句話說,我們可以把計算機看做結點,把這些連線方式看做鏈路,那麼簡單的網路就是多個結點 計算機 通過多條鏈路連線到乙個集線器上,我們可以看成乙個圖。那麼網際網路 網路的網路 是由多個簡單的網...