網(wǎng)絡(luò)電子商務(wù)基礎(chǔ)知識(shí),在IP的新版本(IPng或IPv6)下工作。該體制應(yīng)該是與算法無關(guān)的,即使加密算法替換了,也不對(duì)其它部分的實(shí)現(xiàn)產(chǎn)生影響。此外,該體制必須能實(shí)行多種安全政策,但要避免給 不使用該體制的人造成不利影響。按照這些要求IPSEC工作組制訂了一個(gè)規(guī)范:認(rèn)證頭(Au- thentication Header, AH)和封裝安全有效負(fù)荷(Encapsulating Security Payload, ESP)。簡(jiǎn)言 之,AH提供IP包的真實(shí)性和完整性ESP提供機(jī)要內(nèi)容。
實(shí)IP AH指一段消息認(rèn)證代碼(Message Authentication Code, MAC),在發(fā)送IP包之前,它 已經(jīng)被事先計(jì)算好。發(fā)送方用一個(gè)加密密鑰算出AH,接收方用同一-或另一密鑰對(duì)之進(jìn)行驗(yàn) 證。如果收發(fā)雙方使用的是單鑰體制,那它們就使用同一密鑰;如果收發(fā)雙方使用的是公鑰體 制,那它們就使用不同的密鑰。在后一種情形,AH體制能額外地提供不可否認(rèn)的服務(wù)。事實(shí) 上,有些在傳輸中可變的域,如IPv4中的time-to-live域或IPv6中的HopLimit域,都是在 AH的計(jì)算中必須忽略不計(jì)的。RFC1828首次規(guī)定了加封狀態(tài)下AH的計(jì)算和驗(yàn)證中要采用 帶密鑰的MD5算法。而與此同時(shí),MD5和加封狀態(tài)都被批評(píng)為加密強(qiáng)度太弱,并有替換的方案提出。
IPESP的基本想法是整個(gè)IP包進(jìn)行封裝,或者只對(duì)ESP內(nèi)上層協(xié)議的數(shù)據(jù)(運(yùn)輸狀態(tài)) 進(jìn)行封裝,并對(duì)ESP的絕大部分?jǐn)?shù)據(jù)進(jìn)行加密。在管道狀態(tài)下,為當(dāng)前已加密的ESP附加了 一個(gè)新的IP頭(純文本),它可以用來對(duì)IP包在Internet上作路由選擇。接收方把這個(gè)IP頭 取掉,再對(duì)ESP進(jìn)行解密,處理并取掉ESP頭對(duì)原來的IP包或更高層協(xié)議的數(shù)據(jù)就像對(duì)普通 的IP包那樣進(jìn)行處理。在RFC1827中對(duì)ESP的格式作了規(guī)定。在RFC1829中規(guī)定了在密碼塊鏈接(CBC)狀態(tài)下ESP加密和解密要使用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)。雖然其它算法和狀態(tài) 也是可以使用的,但一些國(guó)家對(duì)此類產(chǎn)品的進(jìn)出口控制也是不能不考慮的因素。有些國(guó)家甚 至連私用加密都要限制。
AH與ESP體制可以合用,也可以分用。不管怎么用都逃不脫傳輸分析的攻擊。人們不 太清楚在Internet層上,是否真有經(jīng)濟(jì)有效的對(duì)抗傳輸分析的手段,但是在Internet用戶里, 真正把傳輸分析當(dāng)回事兒的也是寥寥無幾。山P 1995年8月,Internet工程領(lǐng)導(dǎo)小組(IEGS)批準(zhǔn)了有關(guān)IPSP的RFC作為Internet 標(biāo)準(zhǔn) 系列的推薦標(biāo)準(zhǔn)。除RFC1828和RFC1829外,還有兩個(gè)實(shí)驗(yàn)性的RFC文件,規(guī)定了在AH和 ESP體制中,用安全散列算法(SHA)代替MDS(RFC
1852),利用三元DES代替DES (RFC1851)。在最簡(jiǎn)單的情況下, IPSP用手工來配置密鑰。然而,當(dāng)IPSP大規(guī)模發(fā)展的時(shí) 候,就需要在Intermet上建立標(biāo)準(zhǔn)化的密鑰管理協(xié)議。這個(gè)密鑰管理協(xié)議按照IPSP安全條例 的要求,指定管理密鑰的方法。
因此,IPSEC工作組也負(fù)責(zé)進(jìn)行Internet 密鑰管理協(xié)議(IKMP),其它若干協(xié)議的標(biāo)準(zhǔn)化 工作也已經(jīng)提上日程。
Intemnet和層安全性的主要優(yōu)點(diǎn)是它的透明性,也就是說安全服務(wù)的提供不需要應(yīng)用程序其它通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。它的最主要的缺點(diǎn)是: Internet 層般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同一地址的包,它將按照同樣的加密密鑰和訪問控制策略來處理。這可能導(dǎo)致提供不了所需的功能,也會(huì)導(dǎo)致性能下降。針對(duì)面向主機(jī)的密 鑰分配的這些問題,RFC 1825允許(甚至可以說是推薦)使用面
網(wǎng)站設(shè)計(jì)向用戶的密鑰分配,其中不同
標(biāo)題名稱:ntemnet和層安全性的主要優(yōu)點(diǎn)
網(wǎng)站網(wǎng)址:http://jinyejixie.com/news34/76784.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供企業(yè)網(wǎng)站制作、響應(yīng)式網(wǎng)站、搜索引擎優(yōu)化、小程序開發(fā)、App設(shè)計(jì)、微信公眾號(hào)
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源:
創(chuàng)新互聯(lián)