虚拟专网的加密算法说明

一、IPSec认证

IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。AH本身其实并不支持任何形式的加密,它不能保证通过Internet发送的数据的可信程度。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。

AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。消息文摘5算法(MD5)是一个单向数学函数。当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时,MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。

二、IPSec加密

封包安全协议(ESP)包头提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的:隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。

IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准(DES)是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的,最初是用于商业应用。到现在所有DES专利的保护期都已经到期了,因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式(CBC)的DES作为缺省的算法。DES-CBC通过对组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。DES-CBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组,以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此,它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。 文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 虚拟专网的加密算法说明

    一.IPSec认证 IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制.其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机.用户.网络等).AH本身其实并不支持任何形式的加密,它不能保证通过Internet发送的数据的可信程度.AH只是在加密的出口.进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性.当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务.AH使用的包头放在标准的IPv4和IPv6

  • 浅谈 IPv6 基本技术原理和特点

    IPv6是"互联网协议第六版"的缩写.IPv6是由IETF设计的下一代互联网协议,目的是取代现有的互联网协议第四版(IPv4).IPv4的设计思想成功地造就了目前的国际互联网,其核心价值体现在:简单.灵活和开放性.但随着新应用的不断涌现,传统的IPv4协议已经难以支持互联网的进一步扩张和新业务的特性,比如实时应用和服务质量保证等.其不足主要体现在以下几方面: 1.地址资源即将枯竭:IPv4提供的IP地址位数是32位,也即1亿个左右的地址.随着连接到Internet上的主机数目的迅速增加

  • SmoothWall 防火墙软路由安装+配置详解

    一.前言:本来搜索DRL但是看到没有什么关于SW更好的教程,为了方便大家所以作了这个教程. 1.感谢ahui兄的软件简介:SmoothWall是欧洲成功的Open Source项目之一,它可以帮助你把一台已经淘汰的386,486机器变成一台功能强大,稳定的防火抢路由器!它已经被超过300,000个用户,21 个国家使用!SmoothWall同时支持ISDN,ASDL/Cable和多网卡等网络设备,最令人不可思议的是所有这些都可以在5分钟之内配置完成! 基于Web的管理和支持SSH,DHCP,完整

  • IP的出路-MPLS简介

    随着Internet的蓬勃发展,人们对应用也提出了更高的需求.由于Internet缺乏有效的流量和网络带宽管理手段,网络经常会发生拥塞.无法提供服务质量(QoS)保证,使得很多应用如语音和视频等,对于目前的IP技术来说是力不从心.而新兴的多协议标记交换技术(MPLS)有望解决这一问题. MPLS的工作原理按照当前的定义,MPLS是基于标记的IP路由选择方法.这些标记可以被用来代表逐跳式或者显式路由,并指明服务质量(QoS).虚拟专网以及影响一种特定类型的流量(或一个特殊用户的流量)在网络上的传输

  • 基于路由器的运政网VPN解决方案

    新乡市运政处及其相应的下属机构分布在新乡市四区八县,采用各自为政.分片负责的方式管理所属片区的运输市场. 近几年来,随着社会经济的不断发展及运输市场的快速增长,跨区的人员流动和车辆交易不断增多,管理信息量大大增加,分片管理的方式不再适合跨区域管理和信息共享的要求.为了解决这个问题,实现市.县.区联网以达到信息共享,我们结合新乡市运管处运政管理系统的要求及我公司的网络情况,提出了基于路由器的运政网VPN(虚拟专用网)解决方案. 1 VPN(虚拟专用网) VPN(虚拟专用网)指的是以公用开放网络(如

  • 选定虚拟主机 性能凸显优势

    2007年中国虚机市场的收入规模就已达到5.9亿元人民币,市场发展潜力无限.伴随着企业信息化的发展普及,越来越多的域名主机服务商参与其中. 中国的电子商务时代已真正来临,企业真正意识到对主机的需求,这必然导致该市场的迅猛增长,对其行业来说,各服务商都应紧抓这种变化带来的机遇,同时迎来的更将是一场严峻挑战. 众所周知,网站内容一般存放在主机空间之中,但并不是越大越好,只有满足网站定位的主机才是最合适的主机!选择虚拟主机服务商,要擦亮眼睛,货比三家.先看实力,是否权威认证?有无正规的ICP经营许可证

  • 个人FTP建站域名解析serv-u常见问题解决方法之完全解决方案第1/2页

    个人FTP建站&域名解析之完全解决方案(超级经典)[图文]  整合改编各论坛上的有关ftp组建和域名解析的精华内容,  主要内容来自新动感论坛  所有ftp软件下载请到射手网  =========================================  一.前言 1.什么是内网 内网的计算机以NAT(网络地址转换)协议,通过一个公共的网关访问因特网.内网的计算机可向因特网上的其它计算机发送连接请求,但因特网上的其它计算机无法向内网的计算机发送连接请求,所以无法用通常的方法去建立FTP服

  • 用一个路由器完成多个路由器的功能

    随着技术的发展,路由器的速度.抗攻击性和效率变得越来越高,但是路由器的基本结构--单片电路却从没有改变过.单片电路结构使用单一的处理器来执行所有的路由计算.这种结构已经成了系统的瓶颈.解决这个问题的可行方案之一就是多路由技术(Multirouter). 多路由技术可以在一个物理路由器上实现同时为多个用户服务,即用一个物理路由器来完成多个路由器的功能,并且这些路由器的运行都是自治.独立和可以控制的. 传统的路由器使用集中计算的结构体系,用单一的处理器来运行路由计算.错误处理和路由器的管理功能.但是

  • 65xx系列交换机配置Native IOS

    65xx系列交换机配置(Native IOS) 1. 6509介绍  Cisco Catalyst 6500系列交换机提供3插槽.6插槽.9插槽和13插槽的机箱,以及多种集成式服务模块,包括数千兆位网络安全性.内容交换.语音和网络分析模块. Catalyst 6500系列中的所有型号都使用了统一的模块和操作系统软件,形成了能够适应未来发展的体系结构,由于能提供操作一致性,因而能提高IT基础设施的利用率,并增加投资回报.从48端口到576端口的10/100/1000以太网布线室到能够支持192个1

  • 系统安全之加密与解密的应用技巧与使用方法

    进入信息和网络化的时代以来,计算机正在我们的工作和生活中扮演着日益重要的角色.越来越多的用户通过计算机来获取信息.处理信息,同时将自己最重要的信息以数据文件的形式保存在计算机中.有人形容网络好比是一片最自由的天地,在这里你可以尽情发挥自己的想象力,打造一片完全属于自己的小世界,但是如果我们的网络中缺少最起码的安全手段,自由又从何谈起呢?因此加密作为网络系统安全的重要手段之一,被业界广泛认可并采用.而一旦忘记了密码怎么办?当然我们可以通过解除信息密码的方法来解决难题.所以能不能熟练的掌握网络加密和

随机推荐