TCP/IP协议之网络安全协议

网络层安全协议(IPSec)能提供的服务包括:访问控制、无连接的完整性、数据源认证、拒绝发重包(部分序列完整性形式)、保密性和有限传输流保密性。由于IPSec在TCP/Ip的核心层——IP层实现,因此可以有效保护各种上层协议,并为各种安全服务提供一个统一的平台。IP数据包本质上来说是不安全的,IPSec是将密码学的安全机制引入IP。

IPSec体系结构

IPsec主要包括3个功能域:

TCP/IP协议之网络安全协议_第1张图片

该体系结构包括:IP首部鉴别(AH)协议、封装安全载荷(ESP)协议、密钥交换(IKE)协议、用于网络验证及加密的一些算法。它由每台机器上的安全策略和发送、接收方的安全关联(SA)进行控制。

SA是构成IPSec的寄出,是两个通信实体经协商建立的一种协定,她决定了用来保护数据分组安全的安全协议、转码方式、密钥及密钥的有效存在时间等。IPSec工作时两端的网络设备必须就SA达成一致,由于SA是单向的,因此要建立两个SA。对于某一个主机来说,某个会话的输出数据和输入数据流需要两个独立的SA。SA通过密钥管理协议(IKE)在通信双方进行协商,协商完毕之后,双方都在他们的安全关联数据库(SAD)中存储该SA参数。

安全关联可以表示一个三元组:SA = (SPI+IPDA+SPR)

  • SPI:安全参数索引,是一个32的值,用于区分相同目的地和相同IP的不同SA。
  • IPDA为IP目的地址
  • SPR:安全协议标识 如AH或者ESP

SAD:安全关连库包括什么?

序列号计数器:一个序列号、

TCP/IP协议之网络安全协议_第2张图片

 

鉴别首部协议

Ip首部鉴别协议(AH)为IP通信提供数据源认证、数据完整性、反重播保证。它能保证通信免受篡改,但不能防止被窃听。工作原理:每个数据报上加上一个鉴别首部,底层是一个带密钥的哈希散列

TCP/IP协议之网络安全协议_第3张图片

ESP协议

IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。

IPSec传输模式有两种,IPSec隧道模式及IPSec传输模式。隧道模式的特点是数据报文最终目的地不是安全终点。通常情况下,IPSec双方有一方是安全网关或者路由器,就必须使用隧道模式。在传输模式下,IPSec主要对上层协议及IP包的载荷进行封装保护,通常传输模式只用于两台主机之间的安全通信。

TCP/IP协议之网络安全协议_第4张图片

 

SSL

ssl协议的结构:位于TCP之上,应用层之下,独立于应用层协议,连接的可靠性、保密性、相互认证。

(1)握手:通信双方通过数次交互,协商加密算法,会话密钥,同时为客户程序认证提供服务器程序,认证基于不对称公钥机制

(2)传输应用数据:用握手时协商的会话密钥对所有数据进行加密传输

(3)握手协议:在ssl记录协议之上,她产生会话状态的密码参数。协商:协议版本、密码算法、对彼此进行认证、使用公开密钥加密技术产生共享密码等

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(TCP/IP)