Ipsec

Bách khoa toàn thư mở Wikipedia
Bước tới: menu, tìm kiếm

IPSEC

Tập các dịch vụ an ninh được đề xuất bao gồm điều khiển truy nhập, tính toàn vẹn không theo thông, nhận thực số liệu gốc, bảo vệ chống phát lại (một dạng của tính toàn vẹn trình dự), bảo mật (mã hóa)và bảo mật luồng lưu lượng hạn chế. Các dịch vụ này được cung cấp tại lớp IP để đảm bảo bảo vệ cho các giao thức IP và (hoặc) các lớp trên. Các dịch vụ này đạt được bằng cách sử dụng hai giao thức an ninh lưu lượng, tiêu đề nhận thức-AH (Authetication Header), đóng bao tải trọng an ninh – ESP (Encapsulating Security Payload) và sử dụng các thủ tục, các giao thức quản lý khóa. AH được sử dụng để nhận thực rằng máy đầu cuối là máy mà người sử dụng mong đợi. Nó cũng sử dụng một kỹ thuật tóm tắt (digest) để kiểm tra số liệu nhận được có giống như số liệu được phát. Nếu sử dụng các số trình tự, ta có thể ngăn chặn các cuộc tấn công bằng cách phát lại (chẳng hạn, khi một người nào đó lệnh 5000 bản photo cuốn sách nao đó của họ cho một người khác) thì ESP được sử dụng để đảm bảo an ninh bổ sung bằng cách mã hóa. Các cơ chế này được thiết kế để không phụ thuộc vào giải thuật. Tính mô – đun này, cho phép chọn các tập giải thuật khác nhau mà không ảnh hưởng đến các phần khác của thực hiện. Thí dụ, các cộng đồng khác nhau có thể chọn các giải thuật khác nhau (tạo ra các tập khác nhau) nếu cần. Một tập các giải thuật mặc định được quy định để tạo điều kiện cho tính tương tác trong Internet toàn cầu. Việc sử dụng một cơ sở hạ tầng mà các chứng nhận là chìa khóa dẫn đến sự thành công của IPSec. IPSec hoạt động ở lớp mạng cho phép giảm nhẹ việc xây dựng các mạng riêng ảo (VPN) cho phép người sử dụng kết nối một cách an toàn trên mạng Iternet tiêu chuẩn đến các mạng riêng của họ, hãng là không cần sử dụng một ngân hàng các mô-đem để quay số vào mạng IPSec cũng được sử dụng để cho phép các hãng xây dựng các mạng giữa họ và các đối tác kinh doanh quan trọng. VPN cho phép các hãng xây dựng các mạng riêng mà không cần tạo lập các mạng vật lý riênng thông qua các đường thuê riêng đắt tiền hoặc các kết nối quay số tốc độ chậm. Các VPN có thể được xây dựng mà không đòi hỏi bất kỳ thay đổi nào đối với các máy đầu cuối, các cổng an ninh có thể được đặt tại đầu vào hoặc đầu ra của các mạng để chặn số liệu giữa các trang Web và đặt chúng vào một đường hầm IPSec. Việc sử dụng IPSec có triển vọng sẽ phát triển dần dần nhất là khi điểm yếu chính của nó là tốc độ xử lý chậm sẽ được khắc phục và chức năng của nó sẽ có ở phần cứng chứ không phải ohần mềm. Cuối cùng, hầu hết các nguồn thông tin về IPSec đều nhấn mạnh cách thức các nhà cung cấp mạng có thể sử dụng IPSec để liên kết an ninh vào mạng cho người sử dụng mạng, cũng cần lưu ý có thể sử dụng IPSec hoàn toàn đầu cuối - đầu cuối giữa các máy mà không cần quan hệ tin cậy, hiểu biết và cộng tác với mạng.