IPSec提供了两种安全机制,认证和加密 。
认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改;加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听 。
AH定义了认证的应用方法,提供数据源和完整性认证;ESP定义了加密和可选认证的应用方法,提供可靠性保证 。
在实际IP通信时,根据安全需求同时应用两种协议或选择一种 。AH和ESP都提供认证服务,AH认证服务强于ESP,IKE用于密钥交换 。
AH协议为IP通信提供数据源认证、数据完整性和反回放保证,保护通信免受篡改,不能防止窃听,适用于传输非机密数据、不提供机密性保护 。
AH有传输、隧道两种工作模式 。图5-36显示了两种IPSec鉴别服务的模式 。
一种是在服务器和客户机之间直接提供鉴别服务,工作站和服务器共享受保护的密钥,使用传输模式的SA,鉴别处理是安全的 。
另一种是工作站向公司防火墙鉴别自己身份,使用隧道模式的SA,访问整个内部网络或服务器不支持鉴别特征 。
文章插图
ESP协议为IP数据包提供数据保密性、无连接的数据完整性、数据源身份认证和防重放攻击保护,数据保密性是基本功能,数据源身份认证、数据完整性检验以及重放保护是可选功能 。ESP可以单独使用,也可以和AH结合使用 。
一般ESP不加密整个数据包,只加密IP包的有效载荷部分,不包括IP头;在端到端的隧道通信中ESP加密整个数据包 。
ESP有传输、隧道两种工作模式,图5-37显示了ESP服务的传输模式,图5-38显示了ESP服务的隧道模式,前者在两个主机之间提供加密和鉴别服务,后者使用隧道模式建立VPN 。
文章插图
文章插图
图5-39显示了ESP隧道模式的一个例子,一个组织有4个专用网络通过Internet连接起来 。
文章插图
内部网络主机使用Internet传输数据,不是同基于Internet的其它主机交互 。在每个内部网络的安全网关上终止隧道,允许主机避免安全能力 。
- SSL协议
90%的应用可以利用简单、低成本的VPN技术------SSL VPN提供安全服务 。
SSL安全套接层协议层(Secure Sockets Layer)是一种在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的协议,为TCP/IP连接提供数据加密、用户与服务器身份验证和消息完整性验证 。
SSL被视为因特网上Web浏览器和服务器的安全标准 。
SSL安全协议提供三方面的安全服务:
①用户和服务器的合法性认证 。
认证用户和服务器的合法性,使得它们确信数据被发送到正确的客户机和服务器;客户机和服务器都有各自的识别号,由公开密钥编号,SSL协议在握手交换数据时进行数字认证,以此确保用户的合法性 。
②数据以加密方式被传送 。
SSL采用的加密方式既有对称密钥技术、也有公开密钥技术 。
客户机与服务器交换数据之前,交换SSL初始握手信息,SSL握手信息采用了各种加密技术,保证其机密性和完整性,并且用数字证书鉴别,防止非法用户破译 。
③保护数据的完整性 。
SSL采用Hash函数和机密共享的方法提供信息的完整性服务,建立客户机与服务器之间的安全通道,SSL处理的业务在传输过程中完整、准确无误到达目的地 。
SSL 安全协议包括两个工作阶段:
①握手阶段,客户端和服务器用公钥加密算法计算出私钥 。
②数据传输阶段,客户端和服务器都用私钥加密、解密传输过来的数据 。
③在TCP连接建立之后,SSL客户端发出一个Hello消息握手,消息包括自己可实现的算法列表和其它需要的消息 。
④SSL服务器回应一个类似Hello消息,确定通信需要的算法,并发送自己的证书 。
⑤SSL客户端收到消息后生成一个消息,用SSL服务器公钥加密后传送过去,SSL服务器用自己私钥解密,会话密钥协商成功,双方用私钥算法进行通信 。
SSL安全协议认证工作流程:
①服务器认证阶段
客户端向服务器发送一个Hello信息开始一个新的会话连接;
推荐阅读
![[他人婚]被曝插足他人婚姻 《青你2》选手申冰退赛](https://img3.utuku.china.com/550x0/toutiao/20200326/5961a705-f613-40cd-b825-bc7656e59cfc.jpg)
- 网络安全防护-虚拟专用网技术概述
- docker部署服务失败,提示网络已存在问题解决
- 掌握12个实用的ss命令用于监控网络连接
- 淘宝虚拟店铺怎么开通 虚拟网店怎么找货源
- 可视化解释11种基本神经网络架构
- 网速太慢怎么办?手把手教你家庭网络解决方案
- 网络安全防范
- 华为、Cisco、H3C、中兴网络设备如何配置syslog日志采集
- 大暑是什么意思,网络白茶是什么意思
- 网络安全态势预测研究综述