網絡電子商務基礎知識,在IP的新版本(IPng或IPv6)下工作。該體制應該是與算法無關的,即使加密算法替換了,也不對其它部分的實現產生影響。此外,該體制必須能實行多種安全政策,但要避免給 不使用該體制的人造成不利影響。按照這些要求IPSEC工作組制訂了一個規范:認證頭(Au- thentication Header, AH)和封裝安全有效負荷(Encapsulating Security Payload, ESP)。簡言 之,AH提供IP包的真實性和完整性ESP提供機要內容。
實IP AH指一段消息認證代碼(Message Authentication Code, MAC),在發送IP包之前,它 已經被事先計算好。發送方用一個加密密鑰算出AH,接收方用同一-或另一密鑰對之進行驗 證。如果收發雙方使用的是單鑰體制,那它們就使用同一密鑰;如果收發雙方使用的是公鑰體 制,那它們就使用不同的密鑰。在后一種情形,AH體制能額外地提供不可否認的服務。事實 上,有些在傳輸中可變的域,如IPv4中的time-to-live域或IPv6中的HopLimit域,都是在 AH的計算中必須忽略不計的。RFC1828首次規定了加封狀態下AH的計算和驗證中要采用 帶密鑰的MD5算法。而與此同時,MD5和加封狀態都被批評為加密強度太弱,并有替換的方案提出。
IPESP的基本想法是整個IP包進行封裝,或者只對ESP內上層協議的數據(運輸狀態) 進行封裝,并對ESP的絕大部分數據進行加密。在管道狀態下,為當前已加密的ESP附加了 一個新的IP頭(純文本),它可以用來對IP包在Internet上作路由選擇。接收方把這個IP頭 取掉,再對ESP進行解密,處理并取掉ESP頭對原來的IP包或更高層協議的數據就像對普通 的IP包那樣進行處理。在RFC1827中對ESP的格式作了規定。在RFC1829中規定了在密碼塊鏈接(CBC)狀態下ESP加密和解密要使用數據加密標準(DES)。雖然其它算法和狀態 也是可以使用的,但一些國家對此類產品的進出口控制也是不能不考慮的因素。有些國家甚 至連私用加密都要限制。
AH與ESP體制可以合用,也可以分用。不管怎么用都逃不脫傳輸分析的攻擊。人們不 太清楚在Internet層上,是否真有經濟有效的對抗傳輸分析的手段,但是在Internet用戶里, 真正把傳輸分析當回事兒的也是寥寥無幾。山P 1995年8月,Internet工程領導小組(IEGS)批準了有關IPSP的RFC作為Internet 標準 系列的推薦標準。除RFC1828和RFC1829外,還有兩個實驗性的RFC文件,規定了在AH和 ESP體制中,用安全散列算法(SHA)代替MDS(RFC
1852),利用三元DES代替DES (RFC1851)。在最簡單的情況下, IPSP用手工來配置密鑰。然而,當IPSP大規模發展的時 候,就需要在Intermet上建立標準化的密鑰管理協議。這個密鑰管理協議按照IPSP安全條例 的要求,指定管理密鑰的方法。
因此,IPSEC工作組也負責進行Internet 密鑰管理協議(IKMP),其它若干協議的標準化 工作也已經提上日程。
Intemnet和層安全性的主要優點是它的透明性,也就是說安全服務的提供不需要應用程序其它通信層次和網絡部件做任何改動。它的最主要的缺點是: Internet 層般對屬于不同進程和相應條例的包不作區別。對所有去往同一地址的包,它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導致提供不了所需的功能,也會導致性能下降。針對面向主機的密 鑰分配的這些問題,RFC 1825允許(甚至可以說是推薦)使用面
網站設計向用戶的密鑰分配,其中不同
標題名稱:ntemnet和層安全性的主要優點
網站網址:http://m.newbst.com/news34/76784.html
成都網站建設公司_創新互聯,為您提供企業網站制作、響應式網站、搜索引擎優化、小程序開發、App設計、微信公眾號
廣告
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源:
創新互聯