鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 病毒查杀 > >

防火墙及其他- 4

来源:互联网 作者:佚名 时间:2015-10-08 09:41
Internet层的安全性 对Internet层的安全协议进行标准化的想法早就有了。在过去十年里 已经提 出了一些方案。例如 “安全协议3号(SP3)”就是美国国家安全局以及标准技 术协会作为“安全数据网络系统(SDNS)”的一部分而制定的。“网络层安全协 议(NLSP)”是由


Internet层的安全性 

对Internet层的安全协议进行标准化的想法早就有了。在过去十年里 已经提 
出了一些方案。例如 “安全协议3号(SP3)”就是美国国家安全局以及标准技 
术协会作为“安全数据网络系统(SDNS)”的一部分而制定的。“网络层安全协 
议(NLSP)”是由国际标准化组织为“无连接网络协议(CLNP)”制定的安全协议 
标准。“集成化NLSP(I-NLSP)”是美国国家科技研究所提出的包括IP和CLNP在 
内的统一安全机制。SwIPe是另一个Intenet层的安全协议 由Ioannidis和Blaze 
提出并实现原型。所有这些提案的共同点多于不同点。事实上 他们用的都是 
IP封装技术。其本质是 纯文本的包被加密 封装在外层的IP报头里 用来对 
加密的包进行Internet上的路由选择。到达另一端时 外层的IP报头被拆开 
报文被解密 然后送到收报地点。 

Internet工程特遣组(IETF)已经特许Internet协议安全协议(IPSEC)工作组对 
IP安全协议(IPSP)和对应的Internet密钥管理协议(IKMP)进行标准化工作。 

IPSP的主要目的是使需要安全措施的用户能够使用相应的加密安全体制。该体 
制不仅能在目前通行的IP(IPv4)下工作 也能在IP的新版本(IPng或IPv6)下工 
作。该体制应该是与算法无关的 即使加密算法替换了 也不对其他部分的实 
现产生影响。此外 该体制必须能实行多种安全政策 但要避免给不使用该体 
制的人造成不利影响。按照这些要求 IPSEC工作组制订了一个规范: 认证头 
(Authentication Header AH)和封装安全有效负荷(Encapsulating Security 
Payload ESP)。简言之 AH提供IP包的真实性和完整性 ESP提供机要内容。 

IP AH指一段消息认证代码(Message Authentication Code MAC) 在发送IP 
包之前 它已经被事先计算好。发送方用一个加密密钥算出AH 接收方用同一 
或另一密钥对之进行验证。如果收发双方使用的是单钥体制 那它们就使用同 
一密钥; 如果收发双方使用的是公钥体制 那它们就使用不同的密钥。在后一 
种情形 AH体制能额外地提供不可否认的服务。事实上 有些在传输中可变的 
域 如IPv4中的time-to-live域或IPv6中的hop limit域 都是在AH的计算中 
必须略过不计的。RFC 1828首次规定了加封状态下AH的计算和验证中要采用带 
密钥的MD5算法。而与此同时 MD5和加封状态都被批评为加密强度太弱 并有 
替换的方案提出。 

IP ESP的基本想法是整个IP包进行封装 或者只对ESP内上层协议的数据(运输 
状态)进行封装 并对ESP的绝大部分数据进行加密。在管道状态下 为当前已 
加密的ESP附加了一个新的IP头(纯文本) 它可以用来对IP包在Internet上作 
路由选择。接收方把这个头取掉 再对ESP进行解密 处理并取掉ESP头 再对 
原来的IP包或更高层协议的数据就象普通的IP包那样进行处理。RFC 1827中对 
ESP的格式作了规定 RFC 1829中规定了在密码块链接(CBC)状态下ESP加密和 
解密要使用数据加密标准(DES)。虽然其他算法和状态也是可以使用的 但一 
些国家对此类产品的进出口控制也是不能不考虑的因素。有些国家甚至连私用 
加密都要限制。 

AH与ESP体制可以合用 也可以分用。不管怎么用 都逃不脱传输分析的攻击。 
我们不太清楚在Internet层上 是否真有经济有效的对抗传输分析的手段 不 
过 Internet用户里 真正把传输分析当回事儿的也是寥寥无几。

网友评论
<