VPN和IPsec的定义是什么?IPsec在组网中的作用和实现机制
首先我们来了解一下VPN的定义是什么
VPN英文全称:Virtual Private Network(虚拟专用网络)。VPN被定义为通过一个公用互联网络建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定隧道,使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的,广泛使用企业办公当中,虚拟专用网也可以是针对企业内部网的扩展,虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网,因此很多办公一族在自己电脑中也需要建立VPN连接,方便远程办公等等。
那么IPsec的定义又是什么呢?
IPsec ---(英语:Internet Protocol Security,缩写为IPsec),是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。
实际上IPsec是一整套协议包而不只是一个单独的协议, 这一点对于我们认识IPSec是很重要的。IPsec协议把多种安全技术集合到一起,从而建立起一个安全、可靠的隧道。在IPsec安全体系结构中包括了3个最基本的协议:AH(Authentication Header)协议为IP包提供信息源验证和完整性保证;ESP(Encapsulating Security Payload)协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。
VPN和IPsec的定义我们都说完了,接下来我们就来了解一下IPsec在组网中的作用和实现机制吧。
IPsec的作用
IPsec通过激活系统所需要的安全协议、确定用于服务的算法及所要求的密钥来提供安全服务。IPsec可用来保护一条或多条介于主机之间、安全网关之间或主机和安全网关之间的数据通道。
IPsec所能提供的安全服务集包括访问控制、无连接完整性、数据源认证、重播保护(各部分的序列完整)、机密性(加密)以及有限传输流量的机密性。由于这些服务在IP层提供,能被更高层次的协议所利用(如:TCP、UDP、ICMP、BGP等),并且对于应用程序和终端用户来说是透明的,所以,应用和终端用户不需要更改程序和进行安全方面的专门培训。
IPsec实现机制
IPsec通过提供下列服务来保护通过公共IP网络传送的私有数据:
● 访问控制 访问控制是指防止未经授权对资源进行访问。IPsec中,需要进行访问控制的资源通常指主机中的数据和计算能力、安全网关内的本地网及其带宽。IPsec使用身份认证机制进行访问控制。
● 数据源认证 数据源认证对数据来源所声明的身份进行验证,通常与无连接数据完整性相结合。IPsec使用消息鉴别机制实现数据源认证服务。
● 机密性和有限传输流量的机密性 相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。有限传输流量的机密性服务是指防止对通信的外部属性(源地址、目的地址、消息长度和通信频率等)的泄露,从而使攻击者无法对网络流量进行分析,推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。
● 无连接完整性和抗重播 无连接完整性服务对单份数据包是否被修改进行检查,而对数据包的到达顺序不作要求。IPsec使用数据源认证机制实现无连接完整性服务。IPsec的抗重播服务,亦称为部分序号完整性服务,是指防止攻击者截取和复制IP包,然后发送到目的地。IPsec根据IPsec头中的序号字段,使用滑动窗口原理,实现抗重播服务。
上面的服务都在IP层上实现。IPsec采用了以下两个协议提供传输安全: AH和ESP。IP AH提供无连接完整性、数据源认证和可选的防重播服务。ESP协议可提供机密性和受限传输流机密性;还可提供无连接完整性、数据源认证和防重播服务。这些协议可单独使用或组合使用,以提供所希望的安全服务。
IPsec允许用户(或系统管理员)控制安全服务的粒度。如: 单个加密隧道用于两个安全网关间所有的传输或在通过网关的两台主机间为每个TCP连接建立独立的加密隧道。IPsec管理在下列方面体现了很大的灵活性:使用何种安全服务和何种组合; 给定的安全保护采用何种粒度;用于加密的算法。
由于这些安全服务使用共享的安全值(加密密钥),因此IPsec必须依赖于一套独立的密钥管理机制。IPsec提供了一个基于公钥体系的实现方法IKE,并要求支持手工和自动密钥分发。在IPsec中采用了多种密码技术。同时,也可以采用其他自动密钥分发技术,如:基于KDC的系统(Kerberos)和其他公钥系统。
IPsec较好地融合了加密技术和访问控制技术,实现了在主机或安全网关环境中对IP传输的保护。这种保护或者基于安全策略数据库(SPD)中定义的需求,或者基于由应用定义的需求。通常,报文按SPD数据库中匹配的情况,根据IP和传输层的头信息选择提供IPsec安全服务、丢弃或允许旁路(bypass),这是根据筛选器标识的相应数据库策略来确定。
IPsec可以运行于网络的任意一部分,它可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号访问设备之间,为各种分布式应用提供安全,可保证LAN、专用和公用WAN以及Internet的通信安全。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:niceseo99@gmail.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
评论