| 枫林在线论坛>>信息安全 [管理模式] [快速回复] [推荐给朋友] |
| [82651] 主题: ipsec(安全IP)7 |
| 作者: qmzh. |
标题:  ipsec(安全IP)7[转载]
|
|
| 昵称: qmzh. |
来自: 202.112.*.* 
|
|
| 经验值: 0 | 发贴时间: 2003年08月07日 00:12:14 | |
| 等级: 新手上路 | 长度: 2218字 | |
|
发信人:qmzh@smth.org (一个人的战争),信区:cn.bbs.comp.security 标 题:ipsec(安全IP)7 发信站:BBS 水木清华站 转信站:LeafOK!news.zixia.net!maily.cic.tsinghua.edu.cn!SMTH 封装安全载荷 ESP(Encapsulating Security Payload )属于Ipsec 的一种协议,可用于确保IP 数 据包 的机密(未被别人看过)、数据的完整性以及对数据源的身份验证。此外,它也要负责 对重 播攻击的抵抗。具体做法是在IP 头(以及任何IP 选项)之后,并在要保护的数据之前 ,插 入一个新头,亦即ESP 头。受保护的数据可以是一个上层协议,或者是整个IP 数据报。 最 后 ,还要在最后追加一个ESP 尾。ESP 是一种新的IP 协议,对ESP 数据包的标识是通过I P 头 的协议字段来进行的。假如它的值为50 ,就表明这是一个ESP 包,而且紧接在IP 头后 面的 是一个ESP 头。在RFC2406文件中,对ESP 进行了详细的定义。此外,RFC1827 还定义了 一 个 早期版本的ESP 。该版本的ESP 没有提供对数据完整性的支持,Ipsec 工作组现在强烈 反对 继续使用它。以RFC1827为基础,目前已有几套具体的实施方案。但它们都会被最新的E SP 定 义所取代。由于ESP 同时提供了机密性以及身份验证机制,所以在其SA 中必须同时定义 两 套 算法—用来确保机密性的算法叫作一个cIPher(加密器),而负责身份验证的叫作auth enti cator(验证器)。每个ESP SA 都至少有一个加密器和一个验证器。我们亦可定义NuLL 加 密 器或NULL 验证器,分别令ESP 不作加密和不作验证(NULL 是“空”的意思)。但在单 独一 个ESPSA 内,假如同时定义了一个NULL加密器和一个NULL 验证器,却是非法的。因为这 样 做 不仅为系统带来了无谓的负担,也毫无安全保证可言。在此要特别强调一点,假如拿一 种安 全协议来做不安全的事情,甚至比一开始就不用安全协议还要糟!因为这可能造成安全 的假 象,松懈人的警惕性。ESP 具有安全保密特性,所以千万不要以明显不安全的形式使用 。ES P 头并未加密,但ESP 尾的一部分却进行了加密。然而,要使一个接收端能对包进行正 常处 理,使用明文便已足够了。由于采用了SPI ,同时这个包的IP 头还附有目标IP 地址, 所以 为标识一个SA ,它必须采用明文形式。除此以外,序列号和验证数据也必须是明文,不 可 加 密。这是由ESP 包的指定处理顺序所决定的:首先查验序列号,然后查验数据的完整性 ,最 后对数据进行解密。由于解密放在最后一步进行,所以序列号和验证数据自 |
|
|
========== * * * * * ==========
|
 Top
|
||