IPSec的起源-基础知识都需要掌握

IPSec的起源

  1. 目的
    出于安全考虑。
    最开始的互联网是明文通信,很容易被监听、篡改。添加了如crc一类的校验也不能完全保证数据的安全。
    在IP层专门做的安全防护。
    为什么是IP层?在当时IP层可通信的范围最广、应用最多。
    开始也是从MAC层开始,后来发现MAC层传输的问题(局域网内安全),进一步研发IP层安全协议。MAC层安全防护现在也有,macsec。但数据传输遵照网络协议通信的话,二层数据只能在“局域网”中传播。应用场景少、要求高。

  2. 技术分析
    从技术完善角度看,IPSec遇到了密码学的秘钥分发的方法问题以及网络数据加密问题。
    因此IPSec过程分为秘钥协商和隧道加密。

  3. 历史-维基百科
    从1920-70年代初开始,美国高级研究项目局赞助了一系列实验性的ARPANET加密设备,起初用于本地ARPANET数据包加密,随后又用于TCP/IP数据包加密。从1986年到1991年,美国国家安全局在其安全数据网络系统(SDN)计划下赞助了互联网安全协议的开发,包括摩托罗拉在内的各种供应商聚集在一起,于1988年生产了一种网络加密设备,这项工作于1988年由NIST公开发表,其中第3层的安全协议(SP3)演变为ISO标准的网络层安全协议(NLSP)。
    从1992年到1995年,有三个研究小组对IP层加密分别进行了独立研究:
    1 1992年,美国海军研究实验室(NRL)开始了simpleinternetprotocolplus(SIPP)项目来研究IP加密协议。
    2 1993年,实验性软件IP加密协议(swIPe)是由 JohnIoanndis等人在哥伦比亚大学SunOS和AT&T贝尔实验室开始研发。
    3 1994年,Trusted Information Systems(TIS)的科学家徐崇伟(Wei Xu)在白宫信息高速公路项目的支持下,开发了第一代 IPSec 协议,它是在4.1BSD内核中编码,同时支持x86和SUNOS CPU架构,增强了刷卡安全协议,并为数据加密标准开发了设备驱动程序。到1994年12月,TIS发布了由DARPA赞助的开放源代码的“手铐防火墙”产品,集成了3DES硬件加密,第一次实现IPSec VPN速度超过T1的商用产品。
    在美国国防部高级研究计划局(DARPA)资助的研究工作下,1996年,NRL为IPsec开发了IETF标准跟踪规范(rfc1825到rfc1827),它是在4.4 BSD内核中编码的,同时支持x86和SPARC CPU架构。
    1992年,互联网工程任务组(IETF)成立了IP安全工作组,以规范对IP的公开指定的安全扩展,称为IPSec。1995年,工作组批准了NRL开发的IPSec标准,从RFC-1825到RFC-1827发布,NRL在1996年USENIX会议论文集中,描述 NRL 的开放源代码IPSec,由麻省理工学院在线提供,并成为大多数初始商业实现的基础。

  4. 历史分析
    从历史上看,IPSec协议发展伴随网络发展而发展。
    关联算法发展和网络发展。是密码学在网络上的应用。
    因此,模糊定义了IPSec的形态。(秘钥协商和隧道加密)

  5. 设计意图
    IPSec被设计用来提供(1)入口对入口通信安全,在此机制下,分组通信的安全性由单个节点提供给多台机器(甚至可以是整个局域网);(2)端到端分组通信安全,由作为端点的计算机完成安全操作。上述的任意一种模式都可以用来构建虚拟专用网(VPN),而这也是IPSec最主要的用途之一。应该注意的是,上述两种操作模式在安全的实现方面有着很大差别。
    因特网范围内端到端通信安全的发展比预料的要缓慢,其中部分原因,是因为其不够普遍或者说不被普遍信任。公钥基础设施能够得以形成(DNSSEC最初就是为此产生的),一部分是因为许多用户不能充分地认清他们的需求及可用的选项,导致其作为内含物强加到卖主的产品中(这也必将得到广泛采用);另一部分可能归因于网络响应的退化(或说预期退化),就像兜售信息的充斥而带来的带宽损失一样。

  6. 简介
    IPSec是IETF(Internet Engineering Task Force,即国际互联网工程技术小组)提出的使用密码学保护IP层通信的安全保密架构 [4],是一个协议簇,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇(一些相互关联的协议的集合)。 [1]
    IPSec可以实现以下4项功能:①数据机密性:IPSec发送方将包加密后再通过网络发送。② 数据完整性:IPSec可以验证IPSec发送方发送的包,以确保数据传输时没有被改变。③数据认证:IPSec接受方能够鉴别IPsec包的发送起源。此服务依赖数据的完整性。④反重放:IPSec接受方能检查并拒绝重放包。 [4]
    IPSec主要由以下协议组成:
    一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
    二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
    三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
    四、密钥协议(IKE),提供对称密码的钥匙的生存和交换。

  7. 协议介绍
    IPSec协议工作在OSI 模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如 安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPSec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。
    安全协议
    (1)AH(AuthenticationHeader) 协议。
    它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务。
    在 IPv6 中协议采用 AH 后, 因为在主机端设置了一个基于算法独立交换的秘密钥匙, 非法潜入的现象可得到有效防止, 秘密钥匙由客户和服务商共同设置。在传送每个数据包时,IPv6 认证根据这个秘密钥匙和数据包产生一个检验项。在数据接收端重新运行该检验项并进行比较,从而保证了对数据包来源的确认以及数据包不被非法修改。
    (2)ESP(EncapsulatedSecurityPayload) 协议。
    它提供 IP层加密保证和验证数据源以对付网络上的监听。因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改。
    安全联盟 SA
    安全联盟 SA,记录每条 IP安全通路的策略和策略参数。安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等。AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟。
    密钥管理协议
    密钥管理协议 ISAKMP, 提供共享安全信息。Internet密钥管理协议被定义在应用层,IETF规定了Internet安全协议和互联网安全关联和秘钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现 IPSec 的密钥管理,为身份认证的 SA 设置以及密钥交换技术

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/237246.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

var let const的区别和使用场景?

var、let 和 const 是 JavaScript 中用于声明变量的关键字,它们之间有着一些区别和各自的使用场景。 var 作用域:var是在函数作用域(function scope)内声明的变量,如果在函数内部声明则只在函数内部有效,在…

中金汇融配资分享在线杠杆炒股的安全知识

随着股市的火爆,越来越多的人选择加入杠杆炒股的行列。然而,对于许多新手来说,如何安全有效地使用杠杆炒股却是一个难题。今天,我们就来为大家分享一家专业、安全、靠谱的在线杠杆炒股平台——中金汇融,让你轻松掌握在…

mysql mha高可用

一、前言 在原本的一主两从数据库架构中,是没有高可用功能的,当主库挂了时不会自动将剩下的从从升级为主库,只能等待主库恢复才能使用,或者手动切换,但是手动切换后需要更改后端服务中的数据库地址信息,在此…

架构设计到底是什么?

文章目录 架构设计有哪些内容?架构原理与技术认知分布式技术原理与设计中间件常用组件的原理和设计问题数据库原理与设计问题分布式缓存原理与设计问题互联网高性能高可用设计问题 技术认知架构分析问题分析能力边界 架构设计,是中高级研发工程师逃不开的…

C# 获取Excel里引用的外部其他excel文件清单

关键方法:mySheet.Application.ActiveWorkbook.LinkSources(XlLink.xlExcelLinks); 主要代碼如下 Application myExcel null;//引用Excel Application类別 Workbook myBook null;//引用活页簿类別 Worksheet mySheet null;//引用工作表类別 …

软件设计模式:单例模式

文章目录 前言一、单例模式实现1.饿汉式静态变量方式静态代码块方式 2.懒汉式线程不安全线程安全双重检查锁静态内部类方式枚举方式 二、存在问题1.序列化反序列化2.反射破坏3.解决序列化破坏解决反射破坏解决 三、JDK源码解析总结 前言 单例模式(Singleton Patter…

windows远程桌面怎么开启?

文章目录 如下三种开启方式,任选一即可方式1.在系统属性中开启远程桌面方式2.通过系统设置开启远程桌面方式3.注册表编辑器开启远程桌面使用远程桌面 如下三种开启方式,任选一即可 配合 组网工具或者内网穿透 超级爽 局域网其他pc如何访问宿主机虚拟机IP…

@RequestParam、@PathVariable、@RequestBody、@RequestAttribute详解

一、RequestParam注解 作用:用于将指定的请求参数赋值给方法中的形参。 属性: 1)value:请求参数名(必须配置) 2)required:是否必需,默认为 true,即请求中必须…

Elasticsearch:什么是文本分类?

文本分类定义 - text classification 文本分类是一种机器学习,它将文本文档或句子分类为预定义的类或类别。 它分析文本的内容和含义,然后使用文本标签为其分配最合适的标签。 文本分类的实际应用包括情绪分析(确定评论中的正面或负面情绪&…

GLTF/GLB模型在线预览、编辑、动画查看以及材质修改

在线工具推荐: 3D数字孪生场景编辑器 - GLTF/GLB材质纹理编辑器 - 3D模型在线转换 - Three.js AI自动纹理开发包 - YOLO 虚幻合成数据生成器 - 三维模型预览图生成器 - 3D模型语义搜索引擎 GLTF在线编辑器提供了一个内置的模型查看器,可以加载和预…

Linux docker安装nacos

1:首先下载安装docker,这里不做描述,可以自行百度安装。 2:通过docker下载nacos, docker pull nacos/nacos-server:latest3:搭建临时nacos容器,此步骤的目的是为了获取nacos的配置文件和日志 …

Ubuntu 常用命令之 awk 命令用法介绍

📑Linux/Ubuntu 常用命令归类整理 AWK是一种处理文本文件的语言,是一个强大的文本分析工具。在Ubuntu系统下,AWK命令主要用于数据处理和生成报告。 AWK命令的参数主要有 -F:指定输入文件分隔符,FS变量就是指定输入字…

【华为OD题库-094】最佳的出牌方法-java

题目 手上有一副扑克牌,每张牌按牌面数字记分(J11,Q12,K13,没有大小王),出牌时按照以下规则记分: 出单张,记牌面分数,例如出一张2,得分为2 出对或3张,记牌面分数总和再x2,例如出3张3…

根据excel中的数据信息批量修改图片名称

背景说明 接了一个需求,需要将批量图片按照指定的需求进行重命名,本来的图片是以身份证号进行命名的.jpg文件,现在需要统一命名为班级姓名身份证号.png格式的文件。其中,用户提供了一张导出的excel数据表(data.xlsx),数…

Salesforce回归后:谁在成为中国市场上的CRM首选?

怎样的C RM才是在中国这片土地上的最佳答案? 在Salesforce重新回归的今天,其所面临的产品、生态、技术、服务、数据等问题也恰是中国本土的CRM厂商被多年磨练和审视的问题。 在如Salesforce等国外软件进军中国市场的同时,中国本土的CRM厂商…

《漫画算法》笔记——给定数,求删除k个数字后的最小值

/*** 题目:给定一个数,求 删除k个数字后的最小值* 思路:考虑 “如何删除一个数字,得到最小值”,* 不难想到,应该优先删除“靠前,值大”的数字,* 观察到:如果一个数字大于…

深度学习14—注意力机制与自注意力机制

注:以下均为个人学习笔记,发布只为方便学习阅读,若觉侵权,请联系删除!! 1.李沐老师课堂学习理解笔记 1.1 随意线索和不随意线索 1.2 注意力机制 通过注意力池化层来有偏向性的选择某些输入。 1.3 注意力…

Linux 音视频SDK开发实践

一、兼容性适配处理 为什么需要兼容处理? 1、c兼容处理 主要有ABI兼容性问题,不同ubuntu系统依赖的ABI版本如下: ubuntu 18.04ubuntu 16.04ubuntu 14.04g7.55.44.8stdc版本libstdc.so.6.0.25libstdc.so.6.0.21libstdc.so.6.0.19GLIBCXXG…

BearPi Std 板从入门到放弃 - 后天篇(3)(ESP8266透传点灯)

简介 电脑搭建一个TCP Server, ESP8266 串口设置好透传模式, 再由TCP Server发送指令控制灯的亮灭; 开灯指令: led_on回车 ; 关灯指令: led_off回车 主芯片: STM32L431RCT6 LED : PC13 \ 推挽输出即可 \ 高电平点亮 串口: Usart1 / LPUART E…

指针---你真的会使用指针吗?

指针作为C语言中的一个部分,可以说指针是C语言的核心,那么它的难度肯定是不言而喻的,总是能把人给绕得找不到方向。 今天我就好好的说一说指针这个东西。 1、何为指针? 指针是C语言中用来存放地址的一个变量类型。我们可以将指针看…