Bổn mục từ khuyết thiếuTường thuật tóm lược đồ,Bổ sung tương quan nội dung sử mục từ càng hoàn chỉnh, còn có thể nhanh chóng thăng cấp, chạy nhanh tớiBiên tậpĐi![1]InternetAn toàn hiệp nghị(Internet ProtocolSecurity,IPSec ) là một cái hiệp nghị bao, thông qua đối IP hiệp nghị phân tổ tiến hành mã hóa cùng chứng thực tới bảo hộ IP hiệp nghịInternet truyềnHiệp nghị thốc ( một ít lẫn nhau liên hệ hiệp nghị tập hợp ).
- Tiếng Trung danh
- Internet an toàn hiệp nghị
- Ngoại văn danh
- Internet Protocol Security
- Bổn chất
- Mở ra tiêu chuẩn dàn giáo kết cấu
- Làm dùng
- Bảo đảm internet an toàn
- Súc viết
- IPSec
- Học khoa
- Thông tín công trình
IPSec là IETF ( Internet Engineering Task Force, tức quốc tế internetCông trình kỹ thuậtTiểu tổ ) đưa ra sử dụngMật mã họcBảo hộ IP tầng thông tín an toàn bảo mật giá cấu[4],Là một cái hiệp nghị thốc, thông qua đối IP hiệp nghị phân tổ tiến hành mã hóa cùng chứng thực tới bảo hộ IP hiệp nghịInternet truyềnHiệp nghị thốc ( một ít lẫn nhau liên hệ hiệp nghị tập hợp ).[1]
IPSec có thể thực hiện dưới 4 hạng công năng:① số liệuCơ mật tính:IPSecGửi đi phươngĐemBao mã hóaSau lại thông qua internet gửi đi. ②Số liệu hoàn chỉnh tính:IPSec có thể nghiệm chứng IPSec gửi đi phương gửi đi bao, lấy bảo đảmSố liệu truyềnKhi không có bị thay đổi. ③ số liệu chứng thực: IPSec tiếp thu mới có thể đủ phân biệt IPsec bao gửi đi khởi nguyên. Này phục vụ ỷ lại số liệuHoàn chỉnh tính.④ phản trọng phóng:IPSec tiếp thu mới có thể kiểm tra cũng cự tuyệt trọng phóng bao.[4]
IPSec chủ yếu từ dưới hiệp nghị tạo thành:
Một, chứng thực đầu ( AH ), vìIP số liệu báoCung cấpKhông chấp nốiSố liệu hoàn chỉnh tính,Tin tức chứng thựcCùng với phòngTrọng phóng công kíchBảo hộ;
Nhị, phong trang an toàn sức chịu đựng ( ESP ), cung cấp cơ mật tính,Số liệu nguyênChứng thực, không chấp nối hoàn chỉnh tính, phòng trọng phóng cùng hữu hạn truyền lưu ( traffic-flow ) cơ mật tính;
Tam,An toàn liên hệ( SA ), cung cấp thuật toán cùng số liệu bao, cung cấp AH, ESP thao tác sở cần tham số.
Từ 1920-70 niên đại sơ bắt đầu, nước Mỹ cao cấp nghiên cứu hạng mục cục tài trợ một loạt thực nghiệm tính ARPANET mã hóa thiết bị, mới đầu dùng cho bản địa ARPANETSố liệu baoMã hóa, theo sau lại dùng cho TCP/IP số liệu bao mã hóa. Từ 1986 năm đến 1991 năm,Nước Mỹ quốc gia an toàn cụcỞ này an toàn số liệu internet hệ thống (SDN) kế hoạch hạ tài trợ internetAn toàn hiệp nghịKhai phá, bao gồmMotorolaỞ bên trong các loại cung ứng thương tụ tập ở bên nhau, với 1988 năm sinh sản một loạiInternet mã hóa thiết bị,Cái này công tác với 1988 năm từNISTCông khai phát biểu,Trong đó đệ 3 tầng an toàn hiệp nghị ( SP3 ) diễn biến vìISO tiêu chuẩnInternet tầngAn toàn hiệp nghị (NLSP).
Từ 1992 năm đến 1995 năm, có ba cái nghiên cứu tiểu tổ đốiIP tầngMã hóa phân biệt tiến hành rồi độc lập nghiên cứu:
1. 1992 năm,Nước Mỹ hải quân nghiên cứu phòng thí nghiệm( NRL ) bắt đầu rồi simpleinternetprotocolplus (SIPP) hạng mục tới nghiên cứu IPMã hóa hiệp nghị.
2. 1993 năm, thực nghiệm tính phần mềm IP mã hóa hiệp nghị ( swIPe ) là từ JohnIoanndis đám người ở Columbia đại học SunOS cùngAT&TBell phòng thí nghiệmBắt đầu nghiên cứu phát minh.
3. 1994 năm, Trusted Information Systems (TIS) nhà khoa học từ sùng vĩ ( Wei Xu ) ở Nhà TrắngTin tức đường cao tốcHạng mục duy trì hạ, khai phá đời thứ nhất IPSec hiệp nghị, nó là ở 4.1BSD nội hạch trung mã hóa, đồng thời duy trìx86Cùng SUNOSCPUGiá cấu, tăng cường xoát tạp an toàn hiệp nghị, cũng vìSố liệu mã hóa tiêu chuẩnKhai phá thiết bịĐiều khiển trình tự.Đến 1994 năm 12 nguyệt, TIS tuyên bố từDARPATài trợMở ra nguyên số hiệu“Còng tay tường phòng cháy” sản phẩm, tổng thể3DESPhần cứng mã hóa,Lần đầu tiên thực hiện IPSec VPN tốc độ vượt quaT1Thương dùng sản phẩm.
ỞNước Mỹ quốc phòng bộ cao cấp nghiên cứu kế hoạch cục( DARPA ) giúp đỡ nghiên cứu công tác hạ, 1996 năm, NRL vì IPsec khai pháIETFTiêu chuẩn theo dõi quy phạm ( rfc1825 đến rfc1827 ), nó là ở 4.4BSDNội hạch trung mã hóa, đồng thời duy trì x86 cùngSPARCCPU giá cấu.
1992 năm,Internet công trình nhiệm vụ tổ( IETF ) thành lập IP an toàn công tác tổ, lấy quy phạm đối IP công khai chỉ định an toàn mở rộng, xưng là IPSec. 1995 năm, công tác tổ phê chuẩn NRL khai phá IPSec tiêu chuẩn, từRFC-1825 đến RFC-1827 tuyên bố, NRL ở 1996 nămUSENIXHội nghị luận vănTập trung, miêu tả NRL mở ra nguyên số hiệu IPSec, từViện công nghệ MassachusettsTại tuyến cung cấp, cũng trở thành đại đa số mới bắt đầu thương nghiệp thực hiện cơ sở.
Theo Internet bay nhanh phát triển,IPSecỨng dụng lĩnh vựcCàng ngày càng quảng. Cùng lúc đó, internetAn toàn vấn đềCũng ngày càng nghiêm trọng, trên mạng số liệu phi thường dễ dàng bị người khác ác ý nghe trộm cùng bóp méo. IPSec hiệp nghị là một cái tiêu chuẩnInternet an toàn hiệp nghị,Cũng là một cáiMở ra tiêu chuẩnInternet giá cấu, thông qua mã hóa lấy bảo đảm internet an toàn thông tín. IPSec tác dụng chủ yếu bao gồm bảo đảm IPSố liệu an toànCùng với chống cựInternet công kích.[3]
IPv6 làIETFVì IP hiệp nghị phân tổ thông tín chế định tân Internet tiêu chuẩn, IPSec ở RFC 6434 trước kia là trong đó tất tuyển nội dung, nhưng ởIPv4Trung sử dụng tắc vẫn luôn chỉ là nhưng tuyển. Làm như vậy mục đích, là vì theo IPv6 tiến thêm một bước lưu hành, IPSec có thể được đến càng vì rộng khắp sử dụng. Đệ nhất bản IPSec hiệp nghị ởRFC2401-2409 trung định nghĩa. Ở 2005 năm đệ nhị bản tiêu chuẩn hồ sơ tuyên bố, tân hồ sơ định nghĩa ở RFC 4301 cùng RFC 4309 trung.
IPSec bị thiết kế dùng để cung cấp ( 1 ) nhập khẩu đối nhập khẩuThông tín an toàn,Tại đây cơ chế hạ, phân tổ thông tín an toàn tính từ đơn cái tiết điểm cung cấp cấp nhiều đài máy móc ( thậm chí có thể là toàn bộ mạng cục bộ ); ( 2 ) đoan đến đoan phân tổ thông tín an toàn, từ làm điểm cuối máy tính hoàn thành an toàn thao tác. Kể trên tùy ý một loại hình thức đều có thể dùng để xây dựngGiả thuyết chuyên dụng võng(VPN), mà đây cũng là IPSec chính yếu sử dụng chi nhất. Hẳn là chú ý chính là, kể trên hai loạiThao tác hình thứcỞ an toàn thực hiện phương diện có rất lớn khác biệt.
Internet trong phạm viĐoan đến đoan thông tínAn toàn phát triển so đoán trước muốn thong thả, trong đó bộ phận nguyên nhân, là bởi vì này không đủ phổ biến hoặc là nói không bị phổ biến tín nhiệm.Công chìa khóa cơ sở phương tiệnCó thể có thể hình thành (DNSSECLúc ban đầu chính là vì thế sinh ra ), một bộ phận là bởi vì rất nhiều người dùng không thể đầy đủ mà nhận rõ bọn họ nhu cầu cập nhưng dùng lựa chọn, dẫn tới này làmỞ trong chứa vậtÁp đặt đến chủ bán sản phẩm trung ( này cũng chắc chắn đem được đến rộng khắp chọn dùng ); một khác bộ phận khả năng cho là do internet hưởng ứng thoái hóa ( hoặc nói mong muốn thoái hóa ), tựa như chào hàng tin tức tràn ngập mà mang đến giải thông tổn thất giống nhau.
IPSec hiệp nghịCông tác ởOSI mô hìnhTầng thứ ba, làm này ở đơn độc sử dụng khi thích với bảo hộ căn cứ vàoTCPHoặcUDPHiệp nghị ( như áo mưa tiếpTử tầng(SSL) liền không thể bảo hộ UDP tầng thông tín lưu ). Này liền ý nghĩa, cùngTruyền tầngHoặc càng cao tầng hiệp nghị so sánh với, IPSec hiệp nghị cần thiết xử lý đáng tin cậy tính cùng phân vùng vấn đề, này đồng thời cũng gia tăng rồi nó phức tạp tính cùng xử lý chi tiêu. Tương đối mà nói,SSL/TLS dựa vào càng cao tầngTCP(OSITầng thứ tư ) tới quản lý đáng tin cậy tính cùng phân vùng.
Chứng thực đầu ( AH )
Chứng thực đầu( Authentication Header,AH) bị dùng để bảo đảm bị truyền phân tổHoàn chỉnh tínhCùng đáng tin cậy tính. Ngoài ra, nó còn bảo hộ không chịuTrọng phóng công kích.Chứng thực đầu ý đồ bảo hộIP số liệu báoSở hữu tự đoạn, những cái đó ở truyền IP phân tổ trong quá trình muốn phát sinh biến hóa tự đoạn cũng chỉ có thể bị bài trừ bên ngoài. Đương chứng thực đầu sử dụng phi đối xứngCon số ký tên thuật toán( nhưRSA) khi, có thể cung cấp không thể phủ nhận tính (RFC1826 ).
Chứng thực đầu phân tổ đồ kỳ:
0 | 1 | 2 | 3 |
0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 |
Tiếp theo cái đầu | Sức chịu đựng chiều dài | Giữ lại | |
An toàn tham số hướng dẫn tra cứu ( SPI ) | |||
Xuyến hành hào | |||
Chứng thực số liệu ( có thể biến đổi chiều dài ) | |||
Tự đoạn hàm nghĩa:
- Tiếp theo cái đầu: Đánh dấu bị truyền tống số liệu tương ứng hiệp nghị.
- Sức chịu đựng chiều dài: Chứng thực đầu bao lớn nhỏ.
- Giữ lại: Vì tương lai ứng dụng giữ lại ( trước mắt đều trí vì 0 ).
- An toàn tham số hướng dẫn tra cứu: Cùng IP địa chỉ cùng dùng để đánh dấu an toàn tham số.
- Xuyến hành hào: Đơn điệu tăng lên trị số, dùng để phòng ngừa trọng phóng công kích.
- Chứng thực số liệu: Bao hàm chứng thực trước mặt bao sở cần thiết số liệu.
Phong trang an toàn sức chịu đựng ( ESP )
Phong trang an toàn sức chịu đựng( Encapsulating Security Payload,ESP) hiệp nghị đối phân tổ cung cấp nguyên đáng tin cậy tính, hoàn chỉnh tính cùngBảo mật tínhDuy trì. Cùng AH đầu bất đồng chính là, IP phân tổ phần đầu không bị bao gồm ở bên trong.
ESP phân tổ đồ kỳ:
0 | 1 | 2 | 3 | ||||||||||||||||||||||||||||
0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 |
An toàn tham số xuyến hành ( SPI ) | |||||||||||||||||||||||||||||||
Xuyến hành hào | |||||||||||||||||||||||||||||||
Sức chịu đựng * ( có thể biến đổi chiều dài ) | |||||||||||||||||||||||||||||||
Bỏ thêm vào ( 0-255 byte ) | |||||||||||||||||||||||||||||||
Bỏ thêm vào chiều dài | Tiếp theo cái đầu | ||||||||||||||||||||||||||||||
Chứng thực số liệu ( có thể biến đổi chiều dài ) | |||||||||||||||||||||||||||||||
Tự đoạn hàm nghĩa:
- An toàn tham số hướng dẫn tra cứu: Cùng IP địa chỉ cùng dùng để đánh dấu an toàn tham số
- Xuyến hành hào: Đơn điệu tăng lên trị số, dùng để phòng ngừa trọng phóng công kích.
- Sức chịu đựng số liệu: Thực tế muốn truyền số liệu.
- Bỏ thêm vào: Nào đó khối mã hóa thuật toán dùng này đem số liệu bỏ thêm vào đến khối chiều dài.
- Bỏ thêm vào chiều dài: Lấy vị vì đơn vị bỏ thêm vào số liệu chiều dài.
- Tiếp theo cái đầu: Đánh dấu bị truyền tống số liệu tương ứng hiệp nghị.
- Chứng thực số liệu: Bao hàm chứng thực trước mặt bao sở cần thiết số liệu.
FreeS/WANHạng mục đã khai phá một cái khai nguyênGNU/LinuxHoàn cảnh hạ IPSec thực hiện. Thả một cái căn cứ vào KAME hạng mục IPSec thực hiện đã bao hàm ởNetBSD,FreeBSDCùng với 2.6Linux nội hạch trung. Từ nào đó trình độ thượng nói, cũng là vì nguyên nhân này, Free S/WAN hạng mục khai phá ở 2004 năm 3 nguyệt khi bị bỏ dở.OpenswanCùngstrongSwanLà Free S/WAN kéo dài.
- NRL IPSec, thuộc về nguyên hình một loại
- OpenBSD,Số hiệu nguyên với NRL IPSec
- SSH Sentinel( hiện làmSafeNetMột bộ phận ) cung cấp công cụ bao
- RFC 2401
- IP hiệp nghị an toàn giá cấu
- RFC 2402
- Chứng thực đầu
- RFC 2406
- Phong trang an toàn sức chịu đựng
- RFC 2407
- ISAKMP IPSec giải thích vực ( IPSec DoI )
- RFC 2408
- Internet an toàn quan hệ cùng chìa khóa bí mật quản lý hiệp nghị ( ISAKMP )
- RFC 2409
IPSec hiệp nghị công tác ởOSIMô hình tầng thứ ba, làm này ở đơn độc sử dụng khi thích với bảo hộ căn cứ vàoTCPHoặcUDPHiệp nghị ( như áo mưa tiếpTử tầng(SSL) liền không thể bảo hộ UDP tầng thông tín lưu ). Này liền ý nghĩa, cùng truyền tầng hoặc càng cao tầng hiệp nghị so sánh với, IPSec hiệp nghị cần thiết xử lý đáng tin cậy tính cùng phân vùng vấn đề, này đồng thời cũng gia tăng rồi nó phức tạp tính cùng xử lý chi tiêu. Tương đối mà nói,SSL/TLS dựa vào càng cao tầngTCP( OSI tầng thứ tư ) tới quản lý đáng tin cậy tính cùng phân vùng.
(1)AH(AuthenticationHeader) hiệp nghị.
Nó dùng để hướng IP thông tín cung cấpSố liệu hoàn chỉnh tínhCùngThân phận nghiệm chứng,Đồng thời có thể cung cấp kháng phát lại phục vụ.
ỞIPv6Trung hiệp nghị chọn dùng AH sau, bởi vì ở trưởng máy đoan thiết trí một cái căn cứ vào thuật toán độc lập trao đổi bí mật chìa khóa, phi pháp lẻn vào hiện tượng có thể được đến hữu hiệu phòng ngừa, bí mật chìa khóa từ khách hàng cùng phục vụ thương cộng đồng thiết trí. Ở truyền tống mỗi cái số liệu bao khi,IPv6 chứng thực căn cứ bí mật này chìa khóa cùng số liệu bao sản sinh một cái kiểm nghiệm hạng. Ở số liệu tiếp thu đoan một lần nữa vận hành nên kiểm nghiệm hạng cũng tiến hành tương đối, do đó bảo đảm đối số liệu bao nơi phát ra đích xác nhận cùng với số liệu bao không bị phi pháp sửa chữa.
(2)ESP(EncapsulatedSecurityPayload) hiệp nghị.
Nó cung cấpIP tầngMã hóa bảo đảm cùng nghiệm chứngSố liệu nguyênMà chống đỡ phó trên mạng nghe lén. Bởi vì AH tuy rằng có thể bảo hộ thông tín khỏi bị bóp méo, nhưng cũng không đối số liệu tiến hành biến hình thay đổi, số liệu đối với hacker mà nói vẫn cứ là rõ ràng. Vì hữu hiệu mà bảo đảm số liệu truyền an toàn, ở IPv6 trung có một cái khácTiêu đề báoESP, tiến thêm một bước cung cấp số liệu bảo mật tính cũng phòng ngừa bóp méo.
An toàn liên minhSA, ký lục mỗi điều IP an toàn thông lộ sách lược cùng sách lược tham số. An toàn liên minh là IPSec cơ sở, là thông tín hai bên thành lập một loại hiệp định, quyết định dùng để bảo hộ số liệu bao hiệp nghị, chuyển mã phương thức, chìa khóa bí mật cùng với chìa khóa bí mật thời hạn có hiệu lực chờ. AH cùng ESP đều phải dùng đến an toàn liên minh,IKEMột cái chủ yếu công năng chính là thành lập cùng giữ gìn an toàn liên minh.
Chìa khóa bí mật quản lýHiệp nghịISAKMP,Cung cấp cùng chungAn toàn tin tức.Internet chìa khóa bí mật quản lý hiệp nghị bị định nghĩa ởỨng dụng tầng,IETFQuy định Internet an toàn hiệp nghị cùng internetAn toàn liên hệCùng bí chìa khóa quản lý hiệp nghị ISAKMP(Internet Security Association and Key Management Protocol) tới thực hiện IPSec chìa khóa bí mật quản lý, vìThân phận chứng thựcSA thiết trí cùng với chìa khóa bí mật trao đổi kỹ thuật
"Không thể phủ nhận tính"Có thể chứng thực tin tứcGửi đi phươngLà duy nhất khả năng gửi đi giả, gửi đi giả không thể phủ nhận gửi đi quá tin tức. "Không thể phủ nhận tính" là chọn dùngCông chìa khóaKỹ thuật một cái đặc thù, đương sử dụng công chìa khóa kỹ thuật khi, gửi đi phương dùngTư chìa khóaSinh ra một cáiCon số ký tênTùy tin tức cùng nhau gửi đi, tiếp thu phương dùng gửi đi giả công chìa khóa tới nghiệm chứng con số ký tên. Bởi vì tại lý luận thượng chỉ có gửi đi giả mới duy nhất có đượcTư chìa khóa,Cũng chỉ có gửi đi giả mới có thể sinh ra nênCon số ký tên,Cho nên chỉ cần con số ký tên thông qua nghiệm chứng, gửi đi giả liền không thể phủ nhận từng gửi đi quá nên tin tức. Nhưng "Không thể phủ nhận tính" không phải căn cứ vào chứng thực cùng chung chìa khóa bí mật kỹ thuật đặc thù, bởi vì ở căn cứ vào chứng thực cùng chung chìa khóa bí mật kỹ thuật trung, gửi đi phương cùng tiếp thu phương nắm giữ tương đồng chìa khóa bí mật.
"Phản phát lại" bảo đảm mỗi cái IP bao duy nhất tính, bảo đảm tin tức vạn nhất bị lấy ra phục chế sau, không thể lại bị một lần nữa lợi dụng, một lần nữa truyền chủ đề địa chỉ. Nên đặc tính có thể phòng ngừa công kích giả lấy ra phá dịch tin tức sau, lại dùng tương đồngTin tức baoMạo lấy phi pháp phỏng vấn quyền ( cho dù loại này mạo lấy hành vi phát sinh ở mấy tháng lúc sau ).
Phòng ngừaTruyền quá trìnhTrung số liệuBị bóp méo, bảo đảm phát ra số liệu cùngTiếp thu số liệuNhất trí tính. IPSec lợi dụngHashHàm số vì mỗi cáiSố liệu baoSinh ra một cái mã hóa kiểm tra cùng, tiếp thu phương ở mở ra bao trước trướcTính toán kiểm traCùng, nếu bao tao bóp méo dẫn tới kiểm tra cùng không tương xứng, số liệu bao tức bị vứt bỏ.
Ở truyền trước, đối số liệu tiến hành mã hóa, có thểBảo đảm ởTruyền trong quá trình, cho dù số liệu bao tao lấy ra, tin tức cũng vô pháp bị đọc. Nên đặc tính ở IPSec trung vìNhưng lựa chọn,Cùng IPSec sách lược cụ thể thiết trí tương quan.
