Network Security – Network Layer

网络层安全控制经常用于确保通信的安全,特别是在因特网等共享网络上,因为它们可以一劳永逸地保护许多应用。

在前几章中,我们讨论了许多实时安全议定书的演变,以确保网络安全的基本原则,如隐私、原籍认证、信息完整性和不拒绝。

大部分这些议定书仍然集中在SI礼宾的较高层次上,以弥补标准互联网议定书中固有的缺乏安全。 虽然这些方法很有价值,但不能轻易加以普及,以便加以应用。 例如,特别制定特别安全法,以确保诸如吉大港定居和移民归化局等申请的安全。 但还有一些其他申请也需要安全通信。

这一需要导致在IP层面制定安全解决办法,以便所有更高级别的议定书都能利用这一解决办法。 1992年,互联网工程工作队开始界定“IPsec”标准。

在本章中,我们将讨论如何利用这一非常受欢迎的一套IPsec议定书在网络层面实现安全。

Security in Network Layer

为提供网络安全而制定的任何计划都需要在下文图表中描述的礼宾栏中的某些层次实施——

为确保网络层面的安全而制定的民众框架是《因特网议定书》安全。

Features of IPsec

IPsec并非仅仅与作为运输议定书的TCP合作。 它与联合国开发计划署合作,以及除IP以外的任何其他议定书,如ICMP、OSPF等。

IPsec保护向IP层提出的整个包装,包括高层头盔。

由于高层头目隐藏着港口号码,交通分析更为困难。

IPsec从一个网络实体到另一个网络实体,而不是从申请程序到申请程序。 因此,可以在不需要改动个人用户电脑/应用程序的情况下采用安全。

IPsec虽然被广泛用来提供网络实体之间的安全通信,但也可以提供东道方之间的安全。

IPsec的最常见用途是提供虚拟私人网络,在两个地点之间(门对门道),或在遥远用户与企业网络之间(门对门)。

Security Functions

警察署提供的重要安全职能如下:

保密

能够传递信号灯以加密信息。

防止第三方偷窃。

来源认证和数据完整性。

提供保证,被确认为包装头盔来源的当事一方实际发送了收到的包装。

确认包装没有改变或以其他方式改变。

主要管理。

允许安全交换钥匙。

防止某些类型的安全攻击,如再起攻击。

Virtual Private Network

理想的情况是,任何机构都想要自己的私人通信网络来确保安全。 然而,在地理分散的地区建立和维持这种私人网络可能非常昂贵。 这需要管理复杂的通信连接基础设施、路由器、国家定位仪等。

IPsec为这类机构提供了实施虚拟私人网络的便利机制。 互联网技术允许通过在进入公共互联网之前对交通进行加密,从逻辑上将其与其他交通相分离,将机构间交通从公共互联网上发送。 缩略语

Overview of IPsec

IPsec是一个框架/程序,在IP层面提供安全保障。

Origin

1990年代初,很少有机构使用互联网,主要是用于学术目的。 但是,由于网络扩大,以及若干组织利用网络进行通信和其他目的,互联网的发展成指数。

随着互联网的大规模增长,加上《国际公路货运公约/国际公路货运公约议定书》固有的安全弱点,人们感到需要一个能够在因特网上提供网络安全的技术。 1994年,因特网建筑委员会发表了题为“因特网建筑安全”的报告。 它确定了安全机制的关键领域。

国际不动产业协会将认证和加密列为知识产权下一代知识产权的基本安全特征。 所幸的是,这些安保能力的定义是,可以与目前的IPv4和假冒的IPv6共同实施。

安全框架在几个“要求发表意见”中界定了IPsec。 一些区域渔委会具体规定了议定书的某些部分,而另一些则涉及整个解决办法。

Operations Within IPsec

警察分遣队可视为有两处单独行动,在协同工作时提供全套安保服务。 这两项行动是IPsec通信和互联网钥匙交换。

IPsec 通信

它通常与标准的IPsec功能有关。 它涉及cap、加密、洗衣IP数据表和处理所有包装过程。

它负责根据在沟通各方之间建立的现有安全协会(SA)管理来文。

它采用诸如Austhentication Header(AH)和简化特殊产品(ESP)等安全程序。

IPsec通信没有参与钥匙的建立或其管理。

IPsec通信业务本身通常称为IPsec。

互联网钥匙交换(IKE)

IKE是用于IPsec的自动关键管理协议。

从技术上讲,关键管理对于IPsec通信并不重要,关键内容可以人工管理。 然而,大型网络并不需要人工的关键管理。

IKE负责创建IPsec的钥匙,并在关键建立过程中提供认证。 虽然IPsec可用于任何其他关键管理协议,但IKE却被缺席使用。

IKE界定了两项议定书(Oakley和SKEME),将使用已经界定的关键管理框架因特网安全协会关键管理议定书。

国际AKMP不是IPsec的特例,而是为任何议定书建立SA的框架。

本章主要讨论IPsec通信以及为实现安全而使用的相关议定书。

IPsec 通信 Modes

IPsec 通信 has two modes of functioning; transport and tunnel modes. These modes can be used in combination or used inspanidually depending upon the type of communication desired.

Transport Mode

IPsec并不包含从上层收到的包装。

原有的IP负责人得到保留,数据根据上层议定书规定的原始属性转交。

以下图表显示礼宾栏中的数据流。

运输模式的局限性是无法提供网关服务。 它保留在以下图像中描述的点对点通信。

Tunnel Mode

这种IPsec模式与其他安全部门一道提供资本化服务。

在隧道模式操作中,在适用安全协议之前,从上层整块包装都被封起来。 增加了新的IP负责人。

以下图表显示礼宾栏中的数据流。

隧道模式通常与网关活动有关。 资本通过单一网关提供多次会议的能力。

典型的隧道模式通信如以下图表所示。

就终点而言,它们有直接的运输层连接。 从一个系统向关口发送的数据图被封起来,然后转交边远关。 遥远的相关网关从数据中排出,然后将数据输入内部网络的终点。

利用IPsec,在网关和个人终端系统之间也可以建立隧道模式。

IPsec Protocols

计生联利用安全议定书提供理想的安保服务。 这些议定书是IPsec行动的核心,其他一切都旨在支持IPsec的该议定书。

通讯实体之间的安全协会由所采用的安全议定书设立和维持。

IPsec(Athentication Header)和Encapsulating Security Payload(ESP)规定了两项安全议定书。

Authentication Header

AH议定书提供了数据完整性和原产地认证服务。 它选择性地满足了信息的抗拒。 但是,它不提供任何形式的保密。

AH是一种程序,通过增加一张头盔来认证数据表的所有内容或部分内容。 头盔是根据数据表中的数值计算的。 计算时所使用的数据表的哪些部分以及标题的位置取决于模式合作(通道或运输)。

《AH议定书》的实施非常简单。 它可以被认为类似于计算检查或对发现错误进行儿童权利委员会检查所用的算法。

AH背后的概念是一样的,但AH不使用简单的算法,而是使用特殊的洗衣算法和只为通信方所知的秘密钥匙。 建立了两个装置之间的安全协会,具体规定了这些细节。

AH进程进入以下阶段。

当从高级礼宾部门收到IP包时,IPsec从包装上的现有信息中确定相关的安全协会;例如IP地址(来源和目的地)。

从SA来看,一旦确定安全协议是AH,就计算了AH负责人的参数。 AH负责人由以下参数组成:

标题领域具体规定了AH头盔后的包装。 定期参数指数是从通信当事人之间现有的SA获得的。

计算和插入序号。 这些数字提供了抗拒再次攻击的任择能力。

认证数据根据通信方式的不同计算。

在运输方式中,以下图表说明了认证数据和最后IP包装的吸收。 在最初的IP负责人中,仅将注册编号改为51,以表示应用AH。

在隧道模式中,上述过程按以下图示。

Encapsulation Security Protocol (ESP)

环保署提供保密、廉正、原产地认证和选择性再感抵制等安全服务。 所提供的一套服务取决于在安全协会成立时选定的选择。

在ESP中,用于加密和生成认证器的算法由创建SA的特性确定。

ESP进程如下。 头两个步骤与上文所述的AH进程相似。

一旦确定ESP涉及,ESP包装的田地即计算出来。 ESP的外地安排按以下图表说明。

运输模式中的加密和认证程序在以下图表中作了说明。

就隧道模式而言,加密和认证程序在以下图表中作了描述。

虽然认证和保密是ESP提供的主要服务,但两者都是任择性的。 从技术上讲,我们可以在没有认证的情况下使用NUL加密。 然而,在实践中,必须实施其中一项措施,以便有效地使用ESP。

基本概念是当人们想要认证和加密时使用ESP,并在有人想要在无加密的情况下扩大认证时使用AH。

Security Associations in IPsec

安全协会是IPsec通信的基础。 SA的特征是:

在发送数据之前,发送实体与接收实体之间建立了虚拟联系,称为“安全协会”。

IPsec为网络加密和认证提供了许多选择。 每个IPsec连接可提供加密、完整性、真实性或所有三个服务。 在确定安全部门时,两个IPsec同级实体必须确定哪一种算法(例如,DES或3DES用于加密;MD5或SHA-1用于廉正)。 在决定算法后,这两个装置必须共享会议钥匙。

SA是上述通信参数的一套,它为建立IPsec会议提供了两个或两个以上系统之间的关系。

SA是简单的,因此需要两个SA,用于双向通信。

安全参数指数在安全议定书负责人中确定。

发送和接收实体都保持关于SA的国家信息。 这与TCP终端点相似,后者也保持国家信息。 IPsec与TCP等联系。

Parameters of SA

任何SA都由以下三个参数独特确定:

安全参数指数。

这是对SA的32倍值。 它用于区分在同一目的地终止的不同SA公司和使用相同的IPsec议定书。

IPsec的每包裹都有一个含有SPI的头盔。 消费物价指数用于向一家农业公司绘制即将到来的包装图。

消费物价指数是发价人随机抽出的,以向受款人确定受款人。

。 它可以是终端路由器的IP地址。

安全议定书> 它表明协会是阿拉伯卫生协会还是欧洲卫生联合会。

以下图表显示参与IPsec通信的两名航道之间的SA例。

Security Administrative Databases

在IPsec,有两个数据库控制IPsec数据表的处理。 一个是安全协会数据库,另一个是安全政策数据库。 使用IPsec的每个通信终端点都应具有逻辑上分离的SAD和SPD。

Security Association Database

在IPsec通信中,终点站在安全协会数据库中拥有南非州。 SAD数据库的每个SA条目包含9个参数,见下表:

Sr.No.	Parameters & Description
1	进口通信。 这是AH或ESP负责人提供的32倍序列号。
2	规定使用特定SA防止进一步通信的选择旗
3	32-bit anti-replaydow 用于确定甲型六氯环己烷或甲型六氯环己烷包装是否是一种再作用
4	时间到南非仍然活跃
5	Algorithm - AH 在AH中使用的和相关的关键
6	Algorithm - ESP Auth 用于认证ESP负责人部分
7	Algorithm - ESP 加密 在ESP及其相关关键信息的加密中使用
8	IPsec Approach 运输或隧道模式
9	Path MTU(PMTU) 任何观测到的道路最大传输单位(以避免碎裂)

SAD的所有SA条目都按照三个SA参数编制索引:Destination IP Address, Security Protocol Identifier和SPI。

Security Popcy Database

SPD用于处理离去包装。 它有助于决定应当使用SAD条目。 如果没有SAD入境,SPD就被用来制造新的入境点。

任何特别民主党入境都将包含:

活跃的SA站在SAD。

选择领域——从上层进入的包裹中选取的田地,用于决定知识产权的适用。 挑选人员可以包括源头和目的地地址、相关港口号码、应用识别器、程序等。

即将推出的IP数据表从SPD输入到特定SA,以获得编码参数。 登出的IPsec数据表直接使用SPI/DEST IP/《议定书》三倍,并从中提取相关的SAD条目。

住房和财产局还可以规定绕过IPsec的交通。 如果所决定的行动是启动SA程序,那么SPD可被视为一种包装过滤器。

Summary

IPsec是一套确保网络连接的议定书。 这是一种复杂的机制,因为它不是简单地界定具体的加密算法和认证功能,而是提供了一个框架,可以实施两种通信目的商定的任何内容。

认证主任(AH)和保有权安全有效载荷(ESP)是IPsec使用的两项主要通信协议。 虽然AH只有认证,但ESP可以加密和认证通过链接传送的数据。

运输模式在两个终点之间提供了安全的联系,而没有改变IP的头盔。 隧道 模式概括了整个有效载荷IP包装。 它增加了新的IP负责人。 后者被用于形成一种传统信使,因为它在不信任的互联网上提供了虚拟的安全通道。

建立IPsec联系涉及各种加密选择。 认证通常建立在诸如MD5或SHA-1等加密带上。 加密算法为DES、3DES、Blowfish和AES。 其他算法也是可能的。

传递终点都需要了解洗刷或加密中使用的秘密价值。 手册的关键要求手工输入这两个目的的秘密价值,这些数值一般是由一些离班机制所传达的,而国际电算中心(因特网钥匙交换)是在线进行这一工作的先进机制。

Previous Page Print Page Next Page   Advertisements