十分钟让您了解ipsec包括哪些协议?具体为ipsec协议是由一系列协议构成的协议套件,主要是3部分构成,分别是验证头(AH,RFC 2402)协议、封装安全载荷(ESP,RFC 2406)协议与互联网密钥交换协议。
1.AH协议
设计AH协议是为了提升IP数据报的安全性。AH向IP数据包给出这3种服务:数据完整性验证由哈希函数得到的校验保证;数据源身份认证在计算机验证码时添进1个共享密钥达到;AH报头里的序列号可防止重放攻击。但AH无保密性服务,其对保护的数据包不实施加密。
AH借助消息验证码认证IP,MAC是一种算法,它接收随意长度的消息与一个密钥,生成一个确定长度的输出,成为消息摘要或指纹,若数据报的任意部分在传送中被改,则在接收端运行一样的MAC算法,并与发送端发送的消息摘要值比较时,就会被检测出来。
最常见的MAC为HMAC,HMAC可与任意迭代密码散列函数结合起来用,却不用修改散列函数。
AH被用在除在传输中易变的IP报头域外的整个数据包。
2.ESP协议
ESP协议可被用于给出保密性、数据来源认证、无连接完整性、防重放服务,及利用防止数据流分析来提供有限的数据流加密保护。事实上,ESP给出与AH相似的服务,不过加入了2个额外的服务:数据保密与有限的数据流保密服务。保密服务借助密码算法对IP数据报的有关部分进行加密实现。数据流保密通过隧道模式时的保密服务给出。
ESP中进行加密数据报的密码算法均用了对称密钥体制。公钥密码算法用计算量非常大的大整数的模指数运算。对称密码算法主要用初级操作,无论以软件或硬件执行均特别有效。因此对公钥密码系统来说,对称密钥系统的加、解密效率要高很多。ESP利用在IP层加密数据包来给出保密性,它支持各种对称的加密算法,对于IPSec的默认算法是56bit的DES,此加密算实施可确保IPSec设备间的互操作性。ESP用消息认证码给出认证服务。ESP可独立应用,还能用嵌套的方式或结合AH用。