| 枫林在线论坛精华区>>信息安全 |
| [82651] 主题: ipsec(安全IP)7 |
| 作者: qmzh. (qmzh.) | ||
| 标题: ipsec(安全IP)7[转载] | ||
| 来自: 202.112.*.* | ||
| 发贴时间: 2003年08月07日 00:12:14 | ||
| 长度: 2218字 | ||
|
发信人:qmzh@smth.org (一个人的战争),信区:cn.bbs.comp.security 标 题:ipsec(安全IP)7 发信站:BBS 水木清华站 转信站:LeafOK!news.zixia.net!maily.cic.tsinghua.edu.cn!SMTH 封装安全载荷 ESP(Encapsulating Security Payload )属于Ipsec 的一种协议, 可用于确保IP 数 据包 的机密(未被别人看过)、数据的完整性以及对数据源的身份验证。此外 ,它也要负责 对重 播攻击的抵抗。具体做法是在IP 头(以及任何IP 选项)之后,并在要保 护的数据之前 ,插 入一个新头,亦即ESP 头。受保护的数据可以是一个上层协议,或者是整 个IP 数据报。 最 后 ,还要在最后追加一个ESP 尾。ESP 是一种新的IP 协议,对ESP 数据包的 标识是通过I P 头 的协议字段来进行的。假如它的值为50 ,就表明这是一个ESP 包,而且紧 接在IP 头后 面的 是一个ESP 头。在RFC2406文件中,对ESP 进行了详细的定义。此外,RFC 1827 还定义了 一 个 早期版本的ESP 。该版本的ESP 没有提供对数据完整性的支持,Ipsec 工 作组现在强烈 反对 继续使用它。以RFC1827为基础,目前已有几套具体的实施方案。但它们都 会被最新的E SP 定 义所取代。由于ESP 同时提供了机密性以及身份验证机制,所以在其SA 中 必须同时定义 两 套 算法—用来确保机密性的算法叫作一个cIPher(加密器),而负责身份验 证的叫作auth enti cator(验证器)。每个ESP SA 都至少有一个加密器和一个验证器。我们 亦可定义NuLL 加 密 器或NULL 验证器,分别令ESP 不作加密和不作验证(NULL 是“空”的意 思)。但在单 独一 个ESPSA 内,假如同时定义了一个NULL加密器和一个NULL 验证器,却是非 法的。因为这 样 做 不仅为系统带来了无谓的负担,也毫无安全保证可言。在此要特别强调一 点,假如拿一 种安 全协议来做不安全的事情,甚至比一开始就不用安全协议还要糟!因为这 可能造成安全 的假 象,松懈人的警惕性。ESP 具有安全保密特性,所以千万不要以明显不安 全的形式使用 。ES P 头并未加密,但ESP 尾的一部分却进行了加密。然而,要使一个接收端 能对包进行正 常处 理,使用明文便已足够了。由于采用了SPI ,同时这个包的IP 头还附有目 标IP 地址, 所以 为标识一个SA ,它必须采用明文形式。除此以外,序列号和验证数据也必 须是明文,不 可 加 密。这是由ESP 包的指定处理顺序所决定的:首先查验序列号,然后查验 数据的完整性 ,最 后对数据进行解密。由于解密放在最后一步进行,所以序列号和验证数据 自 |
||
|
========== * * * * * ==========
|
| 返回 |