freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

企業(yè)vpn的接入規(guī)劃與設(shè)計畢業(yè)設(shè)計論文(編輯修改稿)

2024-08-16 08:47 本頁面
 

【文章內(nèi)容簡介】 部分放置這些加密的數(shù)據(jù)來提供機密性和完整性。根據(jù)用戶安全要求,這個機制既可以用于加密一個傳輸層的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密整個的 IP 數(shù)據(jù)報。封裝受保護(hù)數(shù)據(jù)是非常必要的,這樣就可以為整個原始數(shù)據(jù)報提供機密性。ESP頭可以放置在IP頭之后、上層協(xié)議頭之前(傳送層),或者在被封裝的IP頭之前(隧道模式)。IANA分配給ESP一個協(xié)議數(shù)值50,在ESP頭前的協(xié)議頭總是在“next head”字段(IPv6)或“協(xié)議”(IP v4)字段里包含該值50。ESP包含一個非加密協(xié)議頭,后面是加密數(shù)據(jù)。該加密數(shù)據(jù)既包括了受保護(hù)的 ESP 頭字段也包括了受保護(hù)的用戶數(shù)據(jù),這個用戶數(shù)據(jù)可以是整個IP數(shù)據(jù)報,也可以是IP的上層協(xié)議幀(如:TCP 或 UDP)。ESP 提供機密性、數(shù)據(jù)源認(rèn)證、無連接的完整性、抗重播服務(wù)(一種部分序列完整性的形式) 和有限信息流機密性。所提供服務(wù)集由安全連接(SA)建立時選擇的選項和實施的布置來決定,機密性的選擇與所有其他服務(wù)相獨立。但是,使用機密性服務(wù)而不帶有完整性/認(rèn)證服務(wù)(在 ESP 或者單獨在 AH 中)可能使傳輸受到某種形式的攻擊以破壞機密性服務(wù)。數(shù)據(jù)源驗證和無連接的完整性是相互關(guān)聯(lián)的服務(wù),它們作為一個選項與機密性 (可選擇的)結(jié)合提供給用戶。只有選擇數(shù)據(jù)源認(rèn)證時才可以選擇抗重播服務(wù),由接收方單獨決定抗重播服務(wù)的選擇。[3] AH(驗證頭)驗證頭(AH)協(xié)議用于為IP數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗證和一些有限的抗重播服務(wù),AH不提供對通信數(shù)據(jù)的加密服務(wù),與ESP協(xié)議相比,AH不提供對通信數(shù)據(jù)的加密服務(wù),但能比ESP提供更加廣的數(shù)據(jù)驗證服務(wù)。AH是另一個IP協(xié)議,它分配到的數(shù)是51。在IPv6的情況下,下一個頭字段的值由擴(kuò)展頭的存在來決定。如果沒有擴(kuò)展頭,IPv6頭中的下一個頭字段將是51。如果AH頭之前有擴(kuò)展頭,緊靠在AH頭前面的擴(kuò)展頭中的下一個頭字段就會被設(shè)成51。將AH頭插入IPv6的規(guī)則與ESP插入規(guī)則類似。AH和ESP保護(hù)的數(shù)據(jù)相同時,AH頭會一直插在ESP頭之后。AH頭比ESP頭簡單得多,因為它沒有提供機密性。由于不需要填充和一個填充長度指示器,因此也不存在尾。另外,也不需要一個初始化向量。 SA(安全聯(lián)盟)SA是一種安全關(guān)聯(lián),SA 對兩臺計算機之間的策略協(xié)議進(jìn)行編碼,指定它們將使用哪些算法和什么樣的密鑰長度,以及實際的密鑰本身。安全關(guān)聯(lián)SA(Security Association)是單向的,在兩個使用 IPSec的實體(主機或路由器)間建立的邏輯連接,定義了實體間如何使用安全服務(wù)(如加密)進(jìn)行通信。它由下列元素組成:①安全參數(shù)索引SPI;②IP目的地址;③安全協(xié)議。(1)SA是一個單向的邏輯連接,也就是說,在一次通信中,IPSec 需要建立兩個SA,一個用于入站通信,另一個用于出站通信。若某臺主機,如文件服務(wù)器或遠(yuǎn)程訪問服務(wù)器,需要同時與多臺客戶機通信,則該服務(wù)器需要與每臺客戶機分別建立不同的SA。每個SA用唯一的SPI索引標(biāo)識,當(dāng)處理接收數(shù)據(jù)包時,服務(wù)器根據(jù)SPI值來決定該使用哪種SA。 (2)第一階段SA(主模式SA,為建立信道而進(jìn)行的安全關(guān)聯(lián))IKE建立SA分兩個階段。第一階段,協(xié)商創(chuàng)建一個通信信道(IKE SA),并對該信道進(jìn)行認(rèn)證,為雙方進(jìn)一步的IKE通信提供機密性、數(shù)據(jù)完整性以及數(shù)據(jù)源認(rèn)證服務(wù);第二階段,使用已建立的IKE SA建立IPSec SA。分兩個階段來完成這些服務(wù)有助于提高密鑰交換的速度。 第一階段協(xié)商(主模式協(xié)商)步驟:①策略協(xié)商,在這一步中,就四個強制性參數(shù)值進(jìn)行協(xié)商:1)加密算法:選擇DES或3DES;2)hash算法:選擇MD5或SHA;3)認(rèn)證方法:選擇證書認(rèn)證、預(yù)置共享密鑰認(rèn)證或Kerberos v5認(rèn)證;4)DiffieHellman組的選擇②DH交換雖然名為“密鑰交換”,但事實上在任何時候,兩臺通信主機之間都不會交換真正的密鑰,它們之間交換的只是一些DH算法生成共享密鑰所需要的基本材料信息。DH交換,可以是公開的,也可以受保護(hù)。在彼此交換過密鑰生成材料后,兩端主機可以各自生成出完全一樣的共享“主密鑰”,保護(hù)緊接其后的認(rèn)證過程。③認(rèn)證 DH交換需要得到進(jìn)一步認(rèn)證,如果認(rèn)證不成功,通信將無法繼續(xù)下去。“主密鑰”結(jié)合在第一步中確定的協(xié)商算法,對通信實體和通信信道進(jìn)行認(rèn)證。在這一步中,整個待認(rèn)證的實體載荷,包括實體類型、端口號和協(xié)議,均由前一步生成的“主密鑰”提供機密性和完整性保證。(3)第二階段SA(快速模式SA,為數(shù)據(jù)傳輸而建立的安全關(guān)聯(lián))這一階段協(xié)商建立IPSec SA,為數(shù)據(jù)交換提供IPSec服務(wù)。第二階段協(xié)商消息受第一階段SA保護(hù),任何沒有第一階段SA保護(hù)的消息將被拒收。第二階段協(xié)商(快速模式協(xié)商)步驟:①策略協(xié)商,雙方交換保護(hù)需求:使用哪種IPSec協(xié)議:AH或ESP 使用哪種hash算法:MD5或SHA 是否要求加密,若是,選擇加密算法:3DES或DES 在上述三方面達(dá)成一致后,將建立起兩個SA,分別用于入站和出站通信。②會話密鑰材料刷新或交換 在這一步中,將生成加密IP數(shù)據(jù)包的會話密鑰。生成會話密鑰所使用的材料可以和生成第一階段SA中主密鑰的相同,也可以不同。如果不做特殊要求,只需要刷新材料后,生成新密鑰即可。若要求使用不同的材料,則在密鑰生成之前,首先進(jìn)行第二輪的DH交換。③SA和密鑰連同SPI,遞交給IPSec驅(qū)動程序。 第二階段協(xié)商過程與第一階段協(xié)商過程類似,不同之處在于:在第二階段中,如果響應(yīng)超時,則自動嘗試重新進(jìn)行第一階段SA協(xié)商。 第一階段SA建立起安全通信信道后保存在高速緩存中,在此基礎(chǔ)上可以建立多個第二階段SA協(xié)商,從而提高整個建立SA過程的速度。只要第一階段SA不超時,就不必重復(fù)第一階段的協(xié)商和認(rèn)證。允許建立的第二階段SA的個數(shù)由IPSec策略屬性決定。④SA生命期 第一階段SA有一個缺省有效時間,如果SA超時,或主密鑰和會話密鑰中任何一個生命期時間到,都要向?qū)Ψ桨l(fā)送第一階段SA刪除消息,通知對方第一階段SA已經(jīng)過期。之后需要重新進(jìn)行SA協(xié)商。第二階段SA的有效時間由IPSec驅(qū)動程序決定。[4] IKE(Internet密鑰交換)Internet密鑰交換協(xié)議(IKE)是用于交換和管理在VPN中使用的加密密鑰的,IKE屬于一種混合型協(xié)議,由Internet安全關(guān)聯(lián)和密鑰管理協(xié)議(ISAKMP)和兩種密鑰交換協(xié)議OAKLEY與SKEME組成。IKE創(chuàng)建在由ISAKMP定義的框架上,沿用了OAKLEY的密鑰交換模式以及SKEME的共享和密鑰更新技術(shù),還定義了它自己的兩種密鑰交換方式:主要模式和積極模式。 IPSec的兩種模式 傳送模式傳送模式加密的部份較少,沒有額外的IP報頭,工作效率相對更好,但安全性相對于隧道模式會有所降低。 傳送模式下,源主機和目的地主機必須直接執(zhí)行所有密碼操作。加密數(shù)據(jù)是通過使用L2TP(第二層隧道協(xié)議)而生成的單一隧道來發(fā)送的。數(shù)據(jù)(密碼文件)則是由源主機生成并由目的地主機檢索的。圖3–1|傳輸模式 通道模式通道模式可以在兩個Security Gateway間建立一個安全隧道,經(jīng)由這兩個Gateway Proxy的傳送均在這個通道中進(jìn)行。通道模式下的IPSec報文要進(jìn)行分段和重組操作,并且可能要再經(jīng)過多個安全網(wǎng)關(guān)才能到達(dá)安全網(wǎng)關(guān)后面的目的主機。通道模式下,除了源主機和目的地主機之外,特殊的網(wǎng)關(guān)也將執(zhí)行密碼操作。在這種模式里,許多隧道在 網(wǎng)關(guān)之間是以系列的形式生成的,從而可以實現(xiàn)網(wǎng)關(guān)對網(wǎng)關(guān)安全。[5]圖3–2傳輸模式 IPSec VPN兩個階段的協(xié)商過程IPSec VPN隧道的建立過程可以分為二個階段:第一階段二種模式: 主模式或主動模式第二階段:快速模式第一階段有三個任務(wù)必須完成:⑴、協(xié)商一系列算法和參數(shù)(這些算法和參數(shù)用于保護(hù)隧道建立過程中的數(shù)據(jù))。⑵、必須計算出二邊使用的加密KEY值,例如,二邊使用3DES算法密,3DES算法則需要一個密碼,這個密碼二端必須一樣,但又不能在鏈路上傳遞。⑶、對等體的驗證,如何才能知道對端就是我要與之通信的對端。這里驗證有三種方法:預(yù)共享,數(shù)字簽名,加密臨時值。這一系列過程都是IKE這個協(xié)議來實現(xiàn),IKE這個協(xié)議也存
點擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1