IPsec
标准现状
编辑IPsec
历史概要
编辑
从1920-70
从1986
从1992
- 1. 1992
年 ,美國 海軍 研究 實驗 室 (NRL)开始了 Simple Internet Protocol Plus(SIPP)项目来 进行IP加 密 协议的 研究 。 - 2. 1993
年 ,哥伦比 亚大学 SunOS和 AT&T贝尔实验室 ,开始由 JohnIoanndis等 人 研 发实验性软件IP加 密 协议 (swIPe)。 - 3. 1993
年 ,在 白 宫信息 高速 公 路 项目的 支持 下 ,Trusted Information Systems(TIS)科学 家 徐 崇 伟(Wei Xu)[11]研究 和 开发了 第 一 代 软件 IPSEC 协议,它的编码是 在 BSD 4.1内 核 中 完成 的 ,支持 x86和 SUNOS CPU架 构,同 时开发了硬 件 安全 3DES的 加 密 技 术,并为数 据 加 密 标准开发了 设备驱动程 序 。到 1994年 12月,TIS发布了 由 DARPA赞助的 开放源 代 码的“手 铐防火 墙”产品,其VPN速度 超 过T1,首 次 用 IPSec VPN 实现了 美国 东西海岸 安全 链接,也是历史上 第 一 个 IPSec商用 产品。[12] - 4.
在 美国 国防 部 高 级研究 计划局 (DARPA)资助的 研究 工作 下 ,1996年 ,NRL为IPsec开发了 IETF标准跟踪规范(rfc1825到 rfc1827),它的编码是 在 BSD 4.4内 核 中 ,同 时支持 x86和 SPARC CPU架 构[13] 。
互联网工
设计意 图
编辑
IPsec
IPsec与 其它互联网安全 协议的 对比
编辑
IPsec协议
技 术细节
编辑
此條 |
认证头(AH)
编辑认证头(Authentication Header,AH)
认证头分组图
0 | 1 | 2 | 3 | ||
---|---|---|---|---|---|
0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | 0 1 2 3 4 5 6 7 | ||
0 | 载荷长度 | ||||
32 | |||||
64 | |||||
96+ | 认证 |
下 一 个头:标识被 传送数 据 所属 的 协议。- 载荷长度:认证头包
的 大小 。 保留 :为将来 的 应用保留 (目前 都 置 为0)。安全 参 数 索引 :与 IP地 址 一同用来标识安全参数。序列 号 :单调递增的 数 值,用 来 防止 重 放 攻 击。- 认证
数 据 :包含 了 认证当 前 包 所 必须的 数 据 。
封 装 安全 载荷(ESP)
编辑
ESP
0 | 1 | 2 | 3 | ||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 0 | 1 | 2 | 3 | 4 | 5 | 6 | 7 | ||
0 | |||||||||||||||||||||||||||||||||
32 | |||||||||||||||||||||||||||||||||
64+ | 载荷*( | ||||||||||||||||||||||||||||||||
认证 |
安全 参 数 索引 :与 IP地 址 一同用来标识安全参数序列 号 :单调递增的 数 值,用 来 防止 重 放 攻 击。- 载荷
数 据 :如果没 使用 ESP的 加 密 功 能 ,则载荷 数 据 域 的 内容 是 “下 一 个头”所 指示 的 数 据 ;如果使用 了 ESP的 加 密 功 能 ,则使用 加 密 载荷数 据 和 ESP尾 部数 据 所得 的 密 文 作 为payload data. 填 充 :某 些块加 密 算法 用 此将数 据 填 充 至 块的长度。填 充 长度:以位为单位 的 填 充 数 据 的 长度。下 一 个头:标识载荷中 封 装 的 数 据 所属 的 协议。- 认证
数 据 :又 叫 做完整 性 校 验值(ICV)。包含 了 认证当 前 包 所 必须的 数 据 。
安全 關聯 (SA)
编辑
实现
编辑FreeS/WAN项目
- NRL IPsec,
属 于原型 的 一 种 - OpenBSD,
代 码源于NRL IPsec - Mac OS X,
包含 了 Kame IPsec的 代 码 - Cisco IOS
- Microsoft Windows
- SSH Sentinel(现作为SafeNet
的 一 部分 )提供 了 工具 包 - Solaris
- FreeBSD
- NetBSD
- Android
- iOS
參 見
编辑
参考 文献
编辑
- ^ Thayer, R.; Doraswamy, N.; Glenn, R.. IP Security Document Roadmap. IETF. November 1998. . RFC 2411.
- ^ Hoffman, P.. Cryptographic Suites for IPsec. IETF. December 2005. . RFC 4308.
- ^ Kent, S.; Atkinson, R.. IP Authentication Header. IETF. November 1998. . RFC 2402.
- ^ Kent, S.. IP Authentication Header. IETF. December 2005. . RFC 4302.
- ^ Kent, S.; Atkinson, R.. IP Encapsulating Security Payload (ESP). IETF. November 1998. . RFC 2406.
- ^ The Internet Key Exchange (IKE), RFC 2409, §1 Abstract
- ^ RFC 4301
- ^ RFC 4309
- ^ "IPv6 Node Requirements", E. Jankiewicz, J. Loughney, T. Narten (December 2011)
- ^ Network Encryption - history and patents. [2022-01-18]. (
原始 内容 存 档于2014-09-03). - ^ Trusted Information Systems. (
原始 内容 存 档于2020-06-21). - ^ The history of VPN creation. (
原始 内容 存 档于2020-09-29). - ^ "https://www.usenix.org/legacy/publications/library/proceedings/sd96/atkinson.html (页面
存 档备份,存 于互联网档案 馆)" - ^ IETF IP Security Protocol (ipsec) Working group History. (
原始 内容 存 档于2019-09-13). - ^ RFC 1826
外部 链接
编辑
- 计算
机 系 统安全 - IPsec簡介[
永久 失效 連結 ] - IETF
的 IPsec工作 组。 - Free S/WAN项目
主 页(页面存 档备份,存 于互联网档案 馆)。 - Openswan项目
主 页(页面存 档备份,存 于互联网档案 馆)。 - strongSwan项目
主 页(页面存 档备份,存 于互联网档案 馆)。 - VPN
社 团(页面存 档备份,存 于互联网档案 馆)。 - A long thread on the ipsec@lists.tislabs.com关于
是 否 要 将 字母 S大 写 ,RFC文 档写的 很清楚 ,应该是 IPsec。