ipsec的,本来定义在rfc 2401和更新,在rfc 4301年,描述了一个安全体系结构,两种文本的叶ipv4和ipv6 。
以下内容是部分的ipsec的框架:
一般说明安全所提出的要求和机制,在网络层
一项议定书,为加密(封装安全载荷,电除尘器)
|
|
一项议定书,为认证(认证头,啊)
一个定义为使用加密算法的加密和认证
一个定义的安全政策和安全协会之间的沟通,同侪
密钥管理
配置ipsec协议创造了一个边界之间的保护和未受保护的地区。 边界可以左右一个单一的主机或一个网络。 访问控制规则,具体办法由管理员确定会发生什么,以包穿越边界。 安全要求,是指由一个安全策略数据库(社民党) 。 一般来说,每包就是保护利用ipsec安全服务,丢弃,或允许绕道ipsec的保护的基础上,适用于社民党政策确定所选择。 这个选择是具体交通选配标准,界定一个administratorfor举例来说,一个具体的应用正在从一个子网,以一个特定端主机。
rfc 4301一节上市的种种变化,因为rfc 2401 。 基本ipsec的观念依然如故。 改动,以解决新ipsec的情景,提高性能,并简化实施。
安全协会( sa )的广场协定之间的沟通,同侪。 三个要素是协议的一部分:一个关键,是一个加密或认证机制,并实施额外的参数为算法。 北欧航空公司是单向的,每一个单独的安全服务,我们必须有一套飒。 这意味着两个沟通的同龄人要加密和认证一个双向沟通需要4个北欧航空公司(其中一对为加密和一对认证) 。 双向应用bisignani例如,一个双向的telnet connectionalso需要四个北欧航空公司在每个通信同行。 同行一定要保障交通启动和归还车辆由同级乙这还需要另外两个北欧航空公司,以确保如果同侪b启动1 telnet的会议上,它和归还车辆,为这一情景得到保障。
ipsec的区别两种运输方式:
交通工具
南澳是两种完节点,并确定了加密或认证,为有效载荷的所有ip包,为这方面的工作。 该ip头是没有加密。
隧道模式
南澳的通常是两种安全网关。 全包包括原ip头是加密或认证的封装,它在一个新的标头。 这是基础,需要有一个虚拟专用网( vpn ) 。
大部分的安全机制所提供的ipsec需要使用密码钥匙。 一个单独的一套机制已经确定了把钥匙到位。 支持这两个人工和自动分配密钥是一个要求。 rfc 4301明因特网作为一个自动密钥分配机制。 其他机制可以使用。
为了建立一个安全协会( sa )的,沟通同行有商定一个加密算法和洽谈键。 谈判一项飒常常发生过不安全的路径。 因特网密钥交换( ike ) ,还明确规定了议定书,允许用于交流和谈判的参数为一个飒。
ikev1指明是在rfc 2409和更新,在rfc 4109 。 它选定的职能,从三个不同的协议:
isakmp (网络安全协会和关键管理协议)
isakmp指定的是一个框架,为管理sas和密钥交换,没有描述过程细节。 因此,它支持不同的密钥交换机制。 这是指定在rfc二四零,这是obsoleted由rfc 4206 。
oakley密钥确定协议
该oakley密钥确定协议是用于交换钥匙,并特别指明,在rfc 2412 。 这是一个延长了的diffie / hellman算法。 它使用的唯一的一个子功能的oakley公司议定书。
思凯姆河(多才多艺的安全密钥交换机制,为互联网)
思凯姆河,是一种快速的密钥交换技术所描述的"思凯姆河:一个多才多艺的安全密钥交换机制,为互联网" ,从ieee的法律程序中的1996年研讨会上网络和分布式系统安全__________________________________________________________________________ krawczyk 。 ike的用途,只是一个子集的职能界定为思凯姆河议定书。
ikev1使用udp的港口500个,并通过两个阶段进行:
在第一阶段, isakmp沟通同行洽谈了一个安全,认证的沟通渠道,所谓isakmp安全协会。 看到了一些实现使用" ike的沙日香" ,这是同义与isakmp飒。 第一阶段是交流的基础上的diffie / hellman算法和加密识别令牌。 认证,可作为担保,要么preshared钥匙,一个rsa的校验和加密与私钥的发货人,或公共密钥的接收者。
在第二阶段,加密算法和密钥,为其它协议(例如,电除尘器和/或啊) ,可以交换较安全的沟通渠道,建立了在第一阶段中。 结果ike的阶段,两项结果在一个ipsec的飒。 这些ipsec的萨斯界定安全服务,用于保障交通运输。 多重ipsec的北欧航空公司可以通过谈判通过可靠的渠道,成立了第一阶段。 这使得更多的颗粒和更灵活的安全服务,以待谈判。 无论是ipsec的sas和isakmp萨斯产生新的密码钥匙就定期的基础上提供更大的保障。 通常情况下, ipsec的萨斯是rekeyed在速度超过了isakmp萨斯。
rfc 4109更新了原有的规格。 该作出改变,以保证提出,并要求算法反映目前的市场形势。 改动的目的是为了被调派到各ikev1实现。
下表列出的变化,如在rfc
| 算法 | rfc 2409 | rfc 4109 |
|---|---|---|
| 号加密 | 要 | 5月(密码弱点) |
| tripledes加密 | 应 | 要 |
| 原子发射光谱- 128加密 | 版n / a | 应 |
| 的md5为散列和hmac | 要 | 5月(密码弱点) |
| sha1为散列和hmac | 要 | 要 |
| 老虎为散列 | 应 | 5月(缺乏部署) |
| 原子发射光谱-认证-陆委会- 96为重频 | 版n / a | 应 |
| preshared机密 | 要 | 要 |
| rsa的签名 | 应 | 应 |
| 数字减影血管造影与签名 | 应 | 5月(缺乏部署) |
| rsa的加密 | 应 | 5月(缺乏部署) |
| 为d - h组1 ( 768 ) | 要 | 5月(密码弱点) |
| 为d - h组2 ( 1024 ) | 应 | 要 |
| 为d - h组, 14 ( 2048 ) | 版n / a | 应 |
| d - h的椭圆曲线 | 应 | 5月(缺乏部署) |
所有算法,以"应该"或"必须"在新的建议,被认为是安全和稳健当时的写作。
你可以找到所有相关ikev1和更新号码及短码在http://www.iana.org/assignments/ipsec-registry 。
因特网是指定在rfc 4306年,它集,因此再无rfc 2407年, "互联网ip安全域的释义为isakmp rfc文档" rfc1 2408年, "因特网安全关联和密钥管理协议( isakmp ) , "和rfc 2409年, "互联网关键交换( ike ) 。 " 因特网带来的,除其他事项外,增强为使用ipsec的结合nat穿越,为扩展认证,并为远程地址收购。
因特网运行udp端口500和4500 ,而且必须接受邮包从任何港口和回应这些相同的港口。
初步交换(所谓第一阶段在ikev1术语) ,通常由2双讯息。 第一项讯息一双谈判加密算法,交流nonces ,难道一个的diffie -赫尔曼交流。 第二个信息一双真实旧讯息,交流的身份和证书,并建立了第一个child_sa 。
在ikev1 ,飒辈子人进行谈判。 在因特网,每月底南澳负责执行自己的有生之年政策对sa和密钥更新南澳必要时配合。 年底与寿命较短将不得不请求密钥更新,如果一生中的政策是不一样的。 另两者的区别ike的版本是因特网允许平行萨斯用同样的交通选择之间共同的终点。 这种差异,除其他事项外,支持交通与不同的服务质量( qos )的要求,其中北欧航空公司。 因此,不像ikev1 ,结合终端和交通选择可能并非绝无仅有,确定一个飒之间的端点。 因此,与因特网,北欧航空公司不能再予以删除基于重复的交通选择。
开放的ipsec连接,通过网络地址转换创造了一些特殊问题。 不断变化的ip地址改变了校验,所以他们会失败,并不能予以更正,由nat的,因为它们是加密保护。 因特网提高了支持这种形势下通过谈判udp封装ike协议和esp包。 端口4500是预留给udp的包覆电除尘器和ike 。 因为nat的往往是翻译tcp和udp端口号, ipsec的数据包必须接受来自任何港口,并送回同一港口。
你可以找到所有相关的和最新的优越性号码及短码在http://www.iana.org/assignments/ikev2-parameters 。
综述变化和奋斗目标,为rfc 4306年,可采取从rfc 。 以下是一些主要的点(指以rfc为整个名单) :
界定整个ike协议,在一个单一的文件,取代rfcs 2407年, 2408年和2409年,并纳入以后的变化,以支持nat穿越,可扩展认证和远程地址收购。
为了简化ike的取代由8个不同的初始交流与单一四年的讯息交流。
减少协商不成的潜伏期,在共同的情况,作出初步交换两次往返(四讯息) ,并允许有能力搭载设置一个child_sa对这种交流。
为了减少一些可能的误差国,使该议定书可靠。 这是通过要求所有信息必须承认,并进行测序。 这使得缩短create_child_sa交流,从三个信息,为两年。
维持现有的语法和幻数,以在可能的范围内,使之有可能实现ikev1可以加强,以支持因特网以最小的努力。
名单算法,将被用在因特网是指定为强制执行在rfc 4307 "的加密算法,用于在互联网密钥交换版本2 (因特网) 。 " 这是为了确保互操作性之间的不同实现。
有三个重要的数据库中的ipsec模式:
安全政策数据库(社民党)
明政策决定如何处理所有的知识产权交通(港或出港)从一个主机或安全网关。 有三种可能的处理规则后,应用德国社民党政策:摈弃,绕道,或保护。
安全协会数据库(悲哀)
包含一个条目,每个sa和参数与此相关。
同行授权数据库(垫)
提供了一个连接一个飒管理协议(如协商不成)和德国社民党。
同行授权数据库是一个新的同规格,在rfc 4301 。 它的主要职能是,以确定同侪或群体的同行认可,以沟通与ipsec的实体,指明议定书和方法用于鉴别每个同伴,并包含认证数据,为每一个同伴。
为很好地概述了有关安全rfcs和汇票,到ietf的安全工作组在http://www.ietf.org/html.charters/wg-dir.html和http://sec.ietf.org 。有进展中的工作,以确保ipsec的表现关切得到处理,使制造商可以创造良好的实施。 这项工作是党的基准方法论工作组( bmwg ) 。 如果您有兴趣在这方面的工作,去到bmwg在http://www.ietf.org/html.charters/bmwg-charter.html或参阅草案:草案- ietf的- bmwg - ipsec的任期08 。 txt和草案- ietf的- bmwg - ipsec的安非他命- 01.txt 。
Online: 677 users browsing the articles directory
|
|