Loading AI tools
来自维基百科,自由的百科全书
網際網路安全協定(英語:Internet Protocol Security,縮寫:IPsec)是一個協定套件,透過對IP協定的封包進行加密和認證來保護IP協定的網路傳輸協定族(一些相互關聯的協定的集合)。
IPsec的源始編碼是在IPv4的環境中於1994年開發,第一版IPsec協定在RFC 2401-2409中定義。在2005年第二版標準文件發布,新的文件定義在RFC 4301和RFC 4309中[7][8]。在IPv4中IPsec的使用是一個可選項,在IPv6 RFC 6434中為必選的內容 [9],這樣做的目的,是為了隨著 IPv6的進一步流行,IPsec可以得到更為廣泛的使用。
從1920-70年代初開始,美國進階研究專案局贊助了一系列實驗性的ARPANET加密裝置,起初用於本地ARPANET封包加密,隨後又用於TCP/IP封包加密。
從1986年到1991年,美國國家安全局在其安全資料網路系統(SDN)計劃下贊助了網際網路安全協定的開發,包括摩托羅拉在內的各種供應商聚集在一起,於1988年生產了一種網路加密裝置,這項工作於1988年由NIST公開發表,其中第3層的安全協定(SP3)演變為ISO標準的網路層安全協定(NLSP)。[10]
從1992年到1995年,有三個研究小組對IP層加密分別進行了獨立研究:
網際網路工程任務組(IETF)於1992年成立了IP安全工作群組,以規範對 IPsec 的公開協定,1995年工作群組成員有 TIS、Cisco、FTP、Checkpoint 等五個企業組成,首次合作協商改進了 NRL 起草的 IPsec 協定標準,以及規範了 Cisco 和 TIS 提供的 IPsec 開放原始碼,此後,發布了RFC-1825和RFC-1827,NRL在1996年 USENIX 會議論文集中進行了描述了,由麻省理工學院線上提供,並成為大多數初始商業實現的基礎。[14]
IPsec被設計用來提供(1)入口對入口通訊安全,在此機制下,封包通訊的安全性由單個節點提供給多台機器(甚至可以是整個區域網路);(2)端到端封包通訊安全,由作為端點的電腦完成安全操作。上述的任意一種模式都可以用來構建虛擬私人網路(VPN),而這也是IPsec最主要的用途之一。應該注意的是,上述兩種操作模式在安全的實現方面有著很大差別。
網際網路範圍內端到端通訊安全的發展比預料的要緩慢[來源請求],其中部分原因,是因為其不夠普遍或者說不被普遍信任。公鑰基礎設施能夠得以形成(DNSSEC最初就是為此產生的),一部分是因為許多使用者不能充分地認清他們的需求及可用的選項,導致其作為內含物強加到賣主的產品中(這也必將得到廣泛採用);另一部分可能歸因於網路回應的退化(或說預期退化),就像兜售資訊的充斥而帶來的頻寬損失一樣。
IPsec協定工作在OSI模型的第三層,使其在單獨使用時適於保護基於TCP或UDP的協定(如安全套接子層(SSL)就不能保護UDP層的通訊流)。這就意味著,與傳輸層或更高層的協定相比,IPsec協定必須處理可靠性和分片的問題,這同時也增加了它的複雜性和處理開銷。相對而言,SSL/TLS依靠更高層的TCP(OSI的第四層)來管理可靠性和分片。
 | 此條目需要更新。 (2020年5月22日) |
認證頭(Authentication Header,AH)被用來保證被傳輸封包的完整性和可靠性。此外,它還保護不受重放攻擊。認證頭試圖保護IP資料報的所有欄位,那些在傳輸IP封包的過程中要發生變化的欄位就只能被排除在外。當認證頭使用非對稱數位簽章演算法(如RSA)時,可以提供不可否認性(RFC 1826)[15]。
認證頭封包圖示:
| 位偏移 | 位元組 | 0 | 1 | 2 | 3 |
|---|---|---|---|---|---|
| 位 | 0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | |
| 0 | 下一個頭 | 載荷長度 | 保留 | ||
| 32 | 安全參數索引(SPI) | ||||
| 64 | 序列號 | ||||
| 96+ | 認證資料(可變長度) | ||||
欄位含義:
封裝安全載荷(Encapsulating Security Payload,ESP)協定對封包提供了源可靠性、完整性和保密性的支援。與AH頭不同的是,IP封包頭部不被包括在內。
ESP封包圖示:
| 位偏移 | 位元組 | 0 | 1 | 2 | 3 | ||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 位 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | |
| 0 | 安全參數序列(SPI) | ||||||||||||||||||||||||||||||||
| 32 | 序列號 | ||||||||||||||||||||||||||||||||
| 64+ | 載荷*(可變長度) | ||||||||||||||||||||||||||||||||
| 填充(0-255位元組) | |||||||||||||||||||||||||||||||||
| 填充長度 | 下一個頭 | ||||||||||||||||||||||||||||||||
| 認證資料(可變長度) | |||||||||||||||||||||||||||||||||
欄位含義:
FreeS/WAN專案已經開發了一個開源的GNU/Linux作業系統下的IPsec實現。Free S/WAN專案的開發在2004年時被中止。Openswan、strongSwan和libreswan是Free S/WAN延續。
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.
