IPsec

Võng tế võng lộ an toàn hiệp định( tiếng Anh:InternetProtocolSecurity,Viết tắt:IPsec) là một cáiHiệp nghị bộ kiện,Xuyên thấu qua đốiIP hiệp nghị Phân tổTiến hànhMã hóaCùngChứng thựcTới bảo hộ IP hiệp nghịInternet truyền hiệp nghịTộc ( một ít lẫn nhau liên hệ hiệp nghị tập hợp ).

IPsec chủ yếu từ dướiHiệp nghịTạo thành^[1]^[2]:

Chứng thực đầu( AH ), vì IPSố liệu báoCung cấp không chấp nốiSố liệu hoàn chỉnh tính,Tin tức chứng thực(Tiếng Anh:Message_authentication)Cùng với phòngTrọng phóng công kíchBảo hộ^[3]^[4];
Phong trang an toàn sức chịu đựng( ESP ), cung cấp cơ mật tính, số liệu nguyên chứng thực, không chấp nối hoàn chỉnh tính, phòng trọng phóng cùng hữu hạn truyền lưu ( traffic-flow ) cơ mật tính^[5];
Võng tế võng lộ kim chìa khóa trao đổi( tiếng Anh:Internet Key Exchange,Tên gọi tắt IKE hoặc IKEv2 ), vì AH, ESP thao tác sở cầnAn toàn liên hệ( SA ) cung cấp thuật toán, số liệu bao cùng kim chìa khóa tham số^[6].

Tiêu chuẩn hiện trạng

IPsec nguyên thủy mã hóa là ởIPv4Hoàn cảnh trung với 1994 năm khai phá, đệ nhất bản IPsec hiệp nghị ởRFC2401-2409 trung định nghĩa. Ở 2005 năm đệ nhị bản tiêu chuẩn hồ sơ tuyên bố, tân hồ sơ định nghĩa ởRFC 4301CùngRFC 4309Trung^[7]^[8].ỞIPv4Trung IPsec sử dụng là một cái nhưng lựa chọn, ởIPv6 RFC 6434Trung vì tất tuyển nội dung^[9],Làm như vậy mục đích, là vì theo IPv6 tiến thêm một bước lưu hành, IPsec có thể được đến càng vì rộng khắp sử dụng.

Lịch sử điểm chính

Từ 1920-70 niên đại sơ bắt đầu, nước Mỹ cao cấp nghiên cứu hạng mục cục tài trợ một loạt thực nghiệm tínhARPANETMã hóa thiết bị, mới đầu dùng cho bản địa ARPANET số liệu bao mã hóa, theo sau lại dùng choTCP/IPSố liệu bao mã hóa.

Từ 1986 năm đến 1991 năm,Nước Mỹ quốc gia an toàn cụcỞ này an toàn số liệu internet hệ thống ( SDN ) kế hoạch hạ tài trợ internet an toàn hiệp nghị khai phá, bao gồmMotorolaỞ bên trong các loại cung ứng thương tụ tập ở bên nhau, với 1988 năm sinh sản một loại internet mã hóa thiết bị, cái này công tác với 1988 năm từ NIST công khai phát biểu, trong đó đệ 3 tầng an toàn hiệp nghị ( SP3 ) diễn biến vì ISO tiêu chuẩn internet tầng an toàn hiệp nghị ( NLSP ).^[10]

Từ 1992 năm đến 1995 năm, có ba cái nghiên cứu tiểu tổ đối IP tầng mã hóa phân biệt tiến hành rồi độc lập nghiên cứu:

1. 1992 năm,Nước Mỹ hải quân nghiên cứu phòng thí nghiệm( NRL ) bắt đầu rồi Simple Internet Protocol Plus ( SIPP ) hạng mục tới tiến hành IP mã hóa hiệp nghị nghiên cứu.
2. 1993 năm,Columbia đại học SunOSCùngAT&TBell phòng thí nghiệm, bắt đầu từ JohnIoanndis đám người nghiên cứu phát minh thực nghiệm tính phần mềm IP mã hóa hiệp nghị (swIPe).
3. 1993 năm, ở Nhà Trắng tin tức đường cao tốc hạng mục duy trì hạ, Trusted Information Systems ( TIS ) nhà khoa học từ sùng vĩ ( Wei Xu )^[11]Nghiên cứu cùng khai phá đời thứ nhất phần mềm IPSEC hiệp nghị, nó mã hóa là ở BSD 4.1 nội hạch trung hoàn thành, duy trì x86 cùng SUNOS CPU giá cấu, đồng thời khai phá phần cứng an toàn 3DES mã hóa kỹ thuật, cũng vì số liệu mã hóa tiêu chuẩn khai phá thiết bị điều khiển trình tự. Đến 1994 năm 12 nguyệt, TIS tuyên bố từ DARPA tài trợ mở ra nguyên số hiệu “Còng tay tường phòng cháy” sản phẩm, này VPN tốc độ vượt qua T1, lần đầu dùng IPSec VPN thực hiện nước Mỹ đồ vật bờ biển an toàn liên tiếp, cũng là trong lịch sử cái thứ nhất IPSec thương dùng sản phẩm.^[12]
4. Ở nước Mỹ quốc phòng bộ cao cấp nghiên cứu kế hoạch cục ( DARPA ) giúp đỡ nghiên cứu công tác hạ, 1996 năm, NRL vì IPsec khai phá IETF tiêu chuẩn theo dõi quy phạm ( rfc1825 đến rfc1827 ), nó mã hóa là ở BSD 4.4 nội hạch trung, đồng thời duy trì x86 cùng SPARC CPU giá cấu^[13].

Internet công trình nhiệm vụ tổ ( IETF ) với 1992 năm thành lập IP an toàn công tác tổ, lấy quy phạm đối IPsec công khai hiệp nghị, 1995 năm công tác tổ thành viên có TIS,Cisco,FTP, Checkpoint chờ năm cái xí nghiệp tạo thành, lần đầu hợp tác hiệp thương cải tiến NRL khởi thảo IPsec hiệp nghị tiêu chuẩn, cùng với quy phạmCiscoCùng TIS cung cấp IPsec mở ra nguyên số hiệu, từ nay về sau, tuyên bố RFC-1825 cùng RFC-1827, NRL ở 1996 năm USENIX hội nghị luận văn tập trung tiến hành rồi miêu tả, từ Viện công nghệ Massachusetts tại tuyến cung cấp, cũng trở thành đại đa số mới bắt đầu thương nghiệp thực hiện cơ sở.^[14]

Thiết kế ý đồ

IPsec bị thiết kế dùng để cung cấp ( 1 ) nhập khẩu đối nhập khẩuThông tín an toàn,Tại đây cơ chế hạ, phân tổ thông tín an toàn tính từ đơn cái tiết điểm cung cấp cấp nhiều đài máy móc ( thậm chí có thể là toàn bộMạng cục bộ); ( 2 ) đoan đến đoan phân tổ thông tín an toàn, từ làm điểm cuối máy tính hoàn thành an toàn thao tác. Kể trên tùy ý một loại hình thức đều có thể dùng để xây dựngGiả thuyết chuyên dụng võng( VPN ), mà đây cũng là IPsec chính yếu sử dụng chi nhất. Hẳn là chú ý chính là, kể trên hai loại thao tác hình thức ở an toàn thực hiện phương diện có rất lớn khác biệt.

Internet trong phạm vi đoan đến đoan thông tín an toàn phát triển so đoán trước muốn thong thả^{[ nơi phát ra thỉnh cầu ]},Trong đó bộ phận nguyên nhân, là bởi vì này không đủ phổ biến hoặc là nói không bị phổ biến tín nhiệm.Công chìa khóa cơ sở phương tiệnCó thể có thể hình thành (DNSSECLúc ban đầu chính là vì thế sinh ra ), một bộ phận là bởi vì rất nhiều người dùng không thể đầy đủ mà nhận rõ bọn họ nhu cầu cập nhưng dùng lựa chọn, dẫn tới này làm ở trong chứa vật áp đặt đến chủ bán sản phẩm trung ( này cũng chắc chắn đem được đến rộng khắp chọn dùng ); một khác bộ phận khả năng cho là doInternet hưởng ứngThoái hóa ( hoặc nói mong muốn thoái hóa ), tựa nhưChào hàng tin tứcTràn ngập mà mang đến giải thông tổn thất giống nhau.

IPsec cùng với nó internet an toàn hiệp nghị đối lập

IPsec hiệp nghị công tác ởOSI mô hìnhTầng thứ ba, làm này ở đơn độc sử dụng khi thích với bảo hộ căn cứ vàoTCPHoặcUDPHiệp nghị ( nhưÁo mưa tiếp tử tầng(SSL) liền không thể bảo hộ UDP tầng thông tín lưu ). Này liền ý nghĩa, cùng truyền tầng hoặc càng cao tầng hiệp nghị so sánh với, IPsec hiệp nghị cần thiết xử lý đáng tin cậy tính cùng phân vùng vấn đề, này đồng thời cũng gia tăng rồi nó phức tạp tính cùng xử lý chi tiêu. Tương đối mà nói,SSL/TLSDựa vào càng cao tầngTCP( OSI tầng thứ tư ) tới quản lý đáng tin cậy tính cùng phân vùng.

Kỹ thuật chi tiết

Chứng thực đầu ( AH )

Chứng thực đầu( Authentication Header,AH) bị dùng để bảo đảm bị truyền phân tổ hoàn chỉnh tính cùng đáng tin cậy tính. Ngoài ra, nó còn bảo hộ không chịuTrọng phóng công kích.Chứng thực đầu ý đồ bảo hộ IP số liệu báo sở hữu tự đoạn, những cái đó ở truyền IP phân tổ trong quá trình muốn phát sinh biến hóa tự đoạn cũng chỉ có thể bị bài trừ bên ngoài. Đương chứng thực đầu sử dụng phi đối xứng con số ký tên thuật toán ( như RSA ) khi, có thể cung cấp không thể phủ nhận tính (RFC 1826)^[15].

Chứng thực đầu phân tổ đồ kỳ:

Vị chếch đi	Byte	0	1	2	3
Vị chếch đi	Vị	0 1 2 3 4 5 6 7	0 1 2 3 4 5 6 7	0 1 2 3 4 5 6 7	0 1 2 3 4 5 6 7
0		Tiếp theo cái đầu	Sức chịu đựng chiều dài	Giữ lại
32		An toàn tham số hướng dẫn tra cứu ( SPI )
64		Danh sách hào
96+		Chứng thực số liệu ( có thể biến đổi chiều dài )

Tự đoạn hàm nghĩa:

Tiếp theo cái đầu: Đánh dấu bị truyền tống số liệu tương ứng hiệp nghị.
Sức chịu đựng chiều dài: Chứng thực đầu bao lớn nhỏ.
Giữ lại: Vì tương lai ứng dụng giữ lại ( trước mắt đều trí vì 0 ).
An toàn tham số hướng dẫn tra cứu: Cùng IP địa chỉ cùng dùng để đánh dấu an toàn tham số.
Danh sách hào: Đơn điệu tăng lên trị số, dùng để phòng ngừa trọng phóng công kích.
Chứng thực số liệu: Bao hàm chứng thực trước mặt bao sở cần thiết số liệu.

Phong trang an toàn sức chịu đựng ( ESP )

Phong trang an toàn sức chịu đựng( Encapsulating Security Payload,ESP) hiệp nghị đối phân tổ cung cấp nguyên đáng tin cậy tính, hoàn chỉnh tính cùng bảo mật tính duy trì. Cùng AH đầu bất đồng chính là, IP phân tổ phần đầu không bị bao gồm ở bên trong.

ESP phân tổ đồ kỳ:

Vị chếch đi	Byte	0								1								2								3
Vị chếch đi	Vị	0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7	0	1	2	3	4	5	6	7
0		An toàn tham số danh sách ( SPI )
32		Danh sách hào
64+		Sức chịu đựng * ( có thể biến đổi chiều dài )
										Bỏ thêm vào ( 0-255 byte )
																		Bỏ thêm vào chiều dài								Tiếp theo cái đầu
		Chứng thực số liệu ( có thể biến đổi chiều dài )

Tự đoạn hàm nghĩa:

An toàn tham số hướng dẫn tra cứu: Cùng IP địa chỉ cùng dùng để đánh dấu an toàn tham số
Danh sách hào: Đơn điệu tăng lên trị số, dùng để phòng ngừa trọng phóng công kích.
Sức chịu đựng số liệu: Nếu không sử dụng ESP mã hóa công năng, tắc sức chịu đựng số liệu vực nội dung là “Tiếp theo cái đầu” sở chỉ thị số liệu; nếu sử dụng ESP mã hóa công năng, tắc sử dụng mã hóa sức chịu đựng số liệu cùng ESP đuôi bộ số liệu đoạt được mật văn làm payload data.
Bỏ thêm vào: Nào đó khối mã hóa thuật toán dùng này đem số liệu bỏ thêm vào đến khối chiều dài.
Bỏ thêm vào chiều dài: Lấy vị vì đơn vị bỏ thêm vào số liệu chiều dài.
Tiếp theo cái đầu: Đánh dấu sức chịu đựng trung phong trang số liệu tương ứng hiệp nghị.
Chứng thực số liệu: Lại gọi là hoàn chỉnh tính kiểm tra giá trị ( ICV ). Bao hàm chứng thực trước mặt bao sở cần thiết số liệu.

An toàn liên hệ ( SA )

Thực hiện

FreeS/WANHạng mục đã khai phá một cáiKhai nguyên GNU/LinuxTác nghiệp hệ thống hạ IPsec thực hiện. Free S/WAN hạng mục khai phá ở 2004 thâm niên bị bỏ dở.Openswan,strongSwanCùnglibreswanLà Free S/WAN kéo dài.

Đến nay đã có rất nhiều IPsec hiệp nghị cùngISAKMP／IKEHiệp nghị thực hiện. Chúng nó bao gồm:

NRL IPsec,Thuộc về nguyên hình một loại
OpenBSD,Số hiệu nguyên vớiNRL IPsec
Mac OS X,Bao hàmKame IPsecSố hiệu
Cisco IOS
Microsoft Windows
SSH Sentinel( hiện làmSafeNetMột bộ phận ) cung cấp công cụ bao
Solaris
FreeBSD
NetBSD
Android
iOS

Tham kiến

Tin tức an toàn

Tham khảo văn hiến

^Thayer, R.; Doraswamy, N.; Glenn, R..IP Security Document Roadmap.IETF.November 1998.
doi:10.17487/RFC2411
.RFC 2411.
^Hoffman, P..Cryptographic Suites for IPsec.IETF.December 2005.
doi:10.17487/RFC4308
.RFC 4308.
^Kent, S.; Atkinson, R..IP Authentication Header.IETF.November 1998.
doi:10.17487/RFC2402
.RFC 2402.
^Kent, S..IP Authentication Header.IETF.December 2005.
doi:10.17487/RFC4302
.RFC 4302.
^Kent, S.; Atkinson, R..IP Encapsulating Security Payload (ESP).IETF.November 1998.
doi:10.17487/RFC2406
.RFC 2406.
^TheInternet Key Exchange(IKE),RFC 2409,§1 Abstract
^RFC 4301
^RFC 4309
^"IPv6 Node Requirements", E. Jankiewicz, J. Loughney, T. Narten (December 2011)
^Network Encryption - history and patents.[2022-01-18].( nguyên thủy nội dungLưu trữVới 2014-09-03 ).
^Trusted Information Systems.( nguyên thủy nội dungLưu trữVới 2020-06-21 ).
^The history of VPN creation.( nguyên thủy nội dungLưu trữVới 2020-09-29 ).
^"https:// usenix.org/legacy/publications/library/proceedings/sd96/atkinson.html(Giao diện lưu trữ sao lưu,Tồn vớiInternet hồ sơ quán) "
^IETF IP Security Protocol (ipsec) Working group History.( nguyên thủy nội dungLưu trữVới 2019-09-13 ).
^RFC 1826

Phần ngoài liên tiếp

Máy tính hệ thống an toàn
IPsec tóm tắt^{[Vĩnh cửu mất đi hiệu lực liên kết]}
IETF IPsec công tác tổ.
Free S/WAN hạng mục chủ trang(Giao diện lưu trữ sao lưu,Tồn vớiInternet hồ sơ quán).
Openswan hạng mục chủ trang(Giao diện lưu trữ sao lưu,Tồn vớiInternet hồ sơ quán).
strongSwan hạng mục chủ trang(Giao diện lưu trữ sao lưu,Tồn vớiInternet hồ sơ quán).
VPN xã đoàn(Giao diện lưu trữ sao lưu,Tồn vớiInternet hồ sơ quán).
A long thread on the [email protected]Về hay không muốn đem chữ cái S viết hoa, RFC hồ sơ viết rất rõ ràng, hẳn là IPsec.

IPsec tương quan RFC hồ sơ

RFC 2401: IP hiệp nghị an toàn giá cấu
RFC 2402: Chứng thực đầu
RFC 2406: Phong trang an toàn sức chịu đựng
RFC 2407: ISAKMP IPsec giải thích vực ( IPsec DoI )
RFC 2408: Võng lộ an toàn liên hệ cùng kim chìa khóa quản lý hiệp định( ISAKMP )
RFC 2409: Internet chìa khóa bí mật trao đổi( IKE )

[rfc2411-1] Thayer, R.; Doraswamy, N.; Glenn, R..IP Security Document Roadmap.IETF.November 1998.
doi:10.17487/RFC2411
.RFC 2411.

[rfc4308-2] Hoffman, P..Cryptographic Suites for IPsec.IETF.December 2005.
doi:10.17487/RFC4308
.RFC 4308.

[rfc2402-3] Kent, S.; Atkinson, R..IP Authentication Header.IETF.November 1998.
doi:10.17487/RFC2402
.RFC 2402.

[rfc4302-4] Kent, S..IP Authentication Header.IETF.December 2005.
doi:10.17487/RFC4302
.RFC 4302.

[rfc2406-5] Kent, S.; Atkinson, R..IP Encapsulating Security Payload (ESP).IETF.November 1998.
doi:10.17487/RFC2406
.RFC 2406.

[rfc2409_sec1-6] TheInternet Key Exchange(IKE),RFC 2409,§1 Abstract

[rfc4301-7] RFC 4301

[rfc4309-8] RFC 4309

[rfc6434-9] "IPv6 Node Requirements", E. Jankiewicz, J. Loughney, T. Narten (December 2011)

[10] Network Encryption - history and patents.[2022-01-18].( nguyên thủy nội dungLưu trữVới 2014-09-03 ).

[11] Trusted Information Systems.( nguyên thủy nội dungLưu trữVới 2020-06-21 ).

[12] The history of VPN creation.( nguyên thủy nội dungLưu trữVới 2020-09-29 ).

[13] "https:// usenix.org/legacy/publications/library/proceedings/sd96/atkinson.html(Giao diện lưu trữ sao lưu,Tồn vớiInternet hồ sơ quán) "

[14] IETF IP Security Protocol (ipsec) Working group History.( nguyên thủy nội dungLưu trữVới 2019-09-13 ).

[rfc1826-15] RFC 1826

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

Internet an toàn hiệp nghị(Tiếng Anh:Internet security)
Chìa khóa bí mật quản lý
Kerberos X.509 XKMS(Tiếng Anh:XKMS)
Ứng dụng tầng
S/MIME PGP Sender ID DKIM SPF PEM(Tiếng Anh:Privacy-enhanced Electronic Mail) MOSS(Tiếng Anh:MIME Object Security Services) TLS/SSL PCT(Tiếng Anh:Private Communications Technology)
Vực danh hệ thống
DANE(Tiếng Anh:DNS-based Authentication of Named Entities) DNSSEC DNS over HTTPS DNS over TLS DNS over QUIC DNSCrypt CAA
Internet tầng
IPsec(IKE) L2TP OpenVPN PPTP
Tra Luận Biên