IPSecurity;2;3;4;5;6;7;8;利用IPSec有三种主要应用方式:
在校园网路(campusnetwork)上用来加密保全网络连线
透过Internet连结企业网络与分公司
个人经由Internet对公司区域做远端存取。
(即所谓的“端对端”IPSec形态,安装有IPSec软件的用户端机器,透过IP网络对服务器建立起安全的通道。)
IPSec主要是设计来达到网络层中端对端安全通讯的第三层协定。
;10;11;12;;;15;IPAH提供资料的完整性和认证,但不包括机密性。而IPESP原则上只提供机密性,但也可在ESPHeader中订定适当的算法及模式来确保资料的完整性并认证。
IPAH和IPESP可以分开使用或一起使用。
IPSec包括IPAH和IPESP中所使用的金钥交换和管理,也就是安全群组SA(SecurityAssociation)和金钥管理IKE(InternetKeyExchange)。
DOI(Domainofinterpretation)是为了让其他协定可以使用ISAKMP而定的Framework。;;18;19;20;21;22;23;24;25;26;1.IPv4;28;2.IPv6;30;31;32;33;34;35;1.ESP传送模式:;;38;步骤:
(1)使用ESP将IPPayload封装起来
(2)传送端:
(i)利用使用者ID和目的端位址以得到SA
环境
(ii)用加密算法(DES或Triple-DES)加密
传送的资料
(3)接收端:
(i)收到ESP封装的封包时直接处理IP标题
(ii)从ESPHeader拿取SPI值以得到相对的
SA
(iii)利用SA的安全环境所定的解密函数解
出所加密的资料;40;2.ESP隧道模式;步骤:
(1)传送端:
(i)先使用SA的相关讯息将IP的封包加密
(ii)在前面加上ESPHeader
(iii)Prepend新的IP标头
(2)接收端:
(i)使用ESPHerder内容中的SPI值决定SA
(ii)解出ESPHerder后的装载资料,就可以
取回原始的IP标头与封包;43;44;45;46;47;一个IPSec的实际例子:;下图为CHECKPOINTFirewall-1的例子
;50;51;52;;54;55;56;57;DOI和IPSecDOI:
DOI意指安全保密定义系统
IPSecDOI为IETF定义的一套安全保密定义系统;59;60;61;62;63;64;65;66;67;68;69;70;71;TheComparisonofcomputationalcost;73;74;75