IPSec在WindWos2000中的实现与分析
吕来
【摘 要】IPSec对数据包具有强大的保护功能.IPSec所具有的加密、完整性、认证、反重放等特性,可以防范各种安全威胁.遵循IPSec使用协议,运用预先配置的IPSec策略,将其设置在Windows2000中并进行安全性分析,就可以发挥其保护功能的管理特性.
【期刊名称】《黄河水利职业技术学院学报》 【年(卷),期】2004(016)004 【总页数】2页(P25-26)
【关键词】IPSec;网络安全;数据保护 【作 者】吕来
【作者单位】黄河水利职业技术学院,河南,开封,475001 【正文语种】中 文 【中图分类】工业技术
第 16 卷第 4 期 2004 年 10 月 黄河水利职业技术学院学报飞
Vol.16No.4Oct.2004Journalof YellowRiver Conservancy TechnicalInstitute IPSec 在 Windwos2000 中的实现与分析吕来(黄河水利职业技术学院,河南开封 475001 )摘 要: IPSec 对数据包具有强大的保护功能 。 IPSec 所具有的加密、完整性、认证、反重放等特性,可以防范各种安全威胁 。 遵循 IPSec 使用协议,运用预先配置的 IPSec 策略,将其设置在 Win-dows2000 中并进行安全性分析 ,
就可以发挥其保护功能的管理特性 。关键词:IPSec ; 网络安全 ; 数据保护中图分类号: TP309文献标识码: B文章编号: 1008 - 486X (2004 )04002503 0引论 在企业内部网络以及 lntemet 上的通信一般情况下没有得到保护,然而在网络中 到处充满着“好奇者着你。为了使你的权益不受损害,必须对你传输的数据进行保护 。你可以对每一种服务采取不同的保护措施,例如, Web 事 务处理可以使用 SSL(Secure SocketsLayer,安全套接字层) 协 议,身份认证可以采用 Kerberos 协议 。 但是有些协议目前还没( I )1 JD 密(Encryption ) 。 数据包在进行传输时进行了加密,提高了安全性。( 2 ) 完整性( Integrity ) 。 数据包在传输之前对其进行数字签名 ,如果传输过程中被修改了,则签名将不匹配,数据包将丢失 。 (3 )认证( Authentication ) 。 每个数据包都有凭证信息,在整个传输过程中都使用凭证 ,而不仅仅在建立连接时使用凭有好的办法进行保护,例如, Ftp (文件传输协议)和 Telnet 协 证。议,数据在互联网上传输以明文形式进行,用户名和密码暴露 (4 )反重放(Anti - replay ) 。 使用 TPSec 时,每个数据包都有一个与认iiE过程相关的惟一编号,该编号不能被数据包的 发送者或接收者重新使用 。 因此如果中 间数据包被捕获,他人 无法进行重放攻击。在外 。所以对应用层的每一科I协议分别采取不同的保护措施 不但麻烦,有时也难以实现。 因此,人们考虑在网络层( IP 层) 对数据进行加密处理, TPSec 就应运而生了 。l IPSec 工作原理3 IPSec 中使用的协议IPSec 协议在 TCP/IP 协议找的底层使用了认证和加密, IPSec 使用 AH (Auther】ticationHeader)协议和 ESP 在协议的底层加密对于上层来说是透明的 。 由于 IPSec 协议使
(EncapsulationSecurityPayload )协议处理认证 、 加密 以及反重 用的加密和认证方法根据目前的标准来说是不可能被破坏 放事直,在 IPSec 中的认证或完整性是通过 HMAC ( Hash Mes- 的,所以它提供了很强的数据包保护功能。 IPSec 的保护范围非常广泛,可以对系统中所有的 IP 数据流进行保护,详细情况见图 l 。
客户 服务器应用层 传输层 网络层 数据链路层 物理患应用层 传输层 网络层图例|未1J日密数据|因墅军团图 l TCP/IP 协议梭2IPSec 的特性 IPSec 提供了以下特性来防范各种安全威胁 :收稿日期: 2004 一 03 -14
sageAuthenticationCode )的数字签署过程来获得的 。3.IAH 协议 AH 协议通过一个数字签署过程来为整个数据包(包括 IP报头)提供认证、完整性和反重放功能。 AH 不提供机密性,数 据是可以读取的,可以通过签名防止数据包被修改。 I A H 数据包如图 2(a )所示 。被签署|原始的印报辜 I API胳ee3i穷;二i 明P/UDE ffi.此j数据i\\s){a)A H 数据包原始的 IESPIPSee lP 报快| ? 披头被签署 (b)ESP 数据包 图 2 AH 数据包和 ESP 擞据包作者简介: 吕来( 1965 - ),男,河南开封人,高级讲师,从事高校计算机专业教学与管理工作 。25 第16卷第 4 期2004 年 10 月黄河水利职业技术学院学报Vol.16No.4 Oct.2004 Journalof YellowRiver Conservancy TechnicalInstitute 摘要:IPSec 对数据包具有强大的保护功能 。 IPSec 所具有的加密、完整性、认证、反重放等特性,文章编号: 1008 - 486X (2004 )04002503 0 引论在企业内部网络以及 lntemet 上的通信一般情况下没有你可以对每一种服务采取不同的保护措施,例如, Web 事务处理可以使用 SSL(Secure SocketsLayer,安全套接字层) 协议,身份认证可以采用 Kerberos 协议 。 但是有些协议目前还没(I) 1JD密(Encryption ) 。 数据包在进行传输时进行了加密,2)完整性( Integrity ) 。 数据包在传输之前对其进行数字丢失 。(3)认证( Authentication ) 。 每个数据包都有凭证信息,在有一个与认iiE过程相关的惟一编号,该编号不能被数据包的发送者或接收者重新使用 。 因此如果中 间数据包被捕获,他人无法进行重放攻击。所以对应用层的每一科I协议分别采取不同的保护措施不但麻烦,有时也难以实现。 因此,人们考虑在网络层( IP 层)对数据进行加密处理, TPSec 就应运而生了 。IPSec 协议在 TCP/IP 协议找的底层使用了认证和加密, IPSec 使用 AH (Auther】
IPSec在WindWos2000中的实现与分析
