SSLとIPSecの比較
SSLとIPSecの比較
自分でコンパイルした非オリジナルコンテンツこの記事は、。学習目的のためにのみ。脚注のテキストを参照してください。
SSLおよびIPSecネットワークセキュリティ技術が広く使われている2つです。
0.5ソフトウェアハードウェア
VPN接続(サイトサイト)に適したネットワークのIPSecのネットワークは、広く展開ルータVPNを使用していました。
広くネットワークセキュリティ、トランザクションおよびリモートコントロールで使用されるモバイルユーザのリモートアクセス(クライアントサイト)、より適しSSL。
IPSecVPNユーザーは、多くの場合、適切なクライアントソフトウェアを持っている必要があります。
クライアントのブラウザをインストールすることなく、通常SSLVPN。
IPSecのベンダー(5協調を参照)の両端に同一のソフトウェアを必要とし、ネットワーク外部エンタープライズ・アプリケーションの構築に資するものです。各ノードは、構成と操作のコストを増大させる、特定のデバイスからの通信、及びアクセスを管理するように構成する必要があります。
SSLは、構成および動作コストを削減し、中央ノードとゲートウェイ機器、メンテナンスフリーのクライアント、低いが必要なクライアントデバイスを維持する必要性、異なる場所でのマルチユーザーアクセスに企業を可能にします。
1.認証アルゴリズム
| テクノロジー | サポートされている認証アルゴリズム |
|---|---|
| IPSecの | デジタル署名、鍵アルゴリズム |
| SSL | デジタル署名 |
2.認証方法
IPSecは、認証方式をサポートし、SSLは、いくつかの異なる認証方式をサポートしています。
IPSecは双方向認証を使用し、SSLは、一方向/双方向認証を使用しています。
| テクノロジー | 認証方法 | 検証アルゴリズム |
| IPSecの | ピア認証 | 主なデジタル署名アルゴリズム |
| SSL | サーバー側の認証 | RSAアルゴリズム(クエリ/レスポンス) |
| DSAデジタル署名アルゴリズム | ||
| クライアント認証 | RSA / DSAデジタル署名アルゴリズム |
3.基本的なプロトコル
IPSecは、そのIP通信プロトコルスイートを確保および中心としてネットワーク層に提供するためのネットワーク層です。UDP層でフェーズ1つのネゴシエーションは、ポート500を使用するには、再送タイマが保持されます。複数のユーザーが2つのエンドポイント間で同じトンネルを使用することができ、オーバーヘッド必要単一の接続の確立によって減少させることができます。
SSLを中心としてアプリケーション層にHTTP通信ソケット層を保護するためのプロトコルです。TCP層で交渉ハンドシェイク契約は、使用ポートは、用途に応じて変えることができます。あなたは別のチャネルと互いに独立して各ユーザのキー、お互いを割り当てる必要があります。
サーバー側では、IPSecとSSLは、特定のポートにバインドする必要があります。
クライアントでは、IPSecは、特定のポートにバインドする必要があり、SSLにはありません。
UDPは、データの損失を引き起こす可能性や信頼性の低いUDPトランスポート回避するためには、伝送中に改ざんされて:
新しいTCP、UDPおよびTCPのサポートアプリケーションを追加するIPSecのオリジナルのパケットのヘッダーを。
SSLはTCPアプリケーションをサポートしているTCP層、上で動作します。
4.暗号化操作コマンド
IPSecは、データを暗号化し、次に暗号化されたデータのためのメッセージ認証コードMACを生成します。
MACプレーンテキストを作成してデータを暗号化するSSL。
すべてのIPSecの復号化を実行する前に、MACを確認してください。
SSLは、最初のパケットを復号化した後、MACを検証します。
5.共同
いくつかの点でのIPSecベンダーは良く、状況に応じて適切な変更を行う必要が統一されていません。
6.オーバーヘッド
IPSecは、追加のオーバーヘッドが生じる、元のパケットにヘッダを付加します。具体的な費用は以下のとおりです。
| 合意 | モード | オーバーヘッド(バイト) |
| IPSecトンネル | ESP | 32 |
| ESP&AH | 44 | |
| IPSecの交通 | ESP | 36 |
| ESP&AH | 48 | |
| SSL | HMAC-MD5 | 21 |
| HMAC-SHA1 | 25 |
7.ハンドシェイクのために必要な時間
2048 RSA鍵交換メカニズムに基づいたIPSecハンドシェーク時間、1536 DH交換アルゴリズム。
| モードの種類 | 所要時間ハンドシェイク(ミリ秒) |
|---|---|
| マスターモード(PSK認証アルゴリズム) | 97 |
| 詳細モード(PSK認証アルゴリズム) | 56 |
| マスタモード(RSAデジタル署名) | 170 |
RSA鍵交換メカニズムに基づいて、SSLハンドシェイク時間は、2048年、およびDH交換アルゴリズムの768に基づきます。
| モードの種類 | 所要時間ハンドシェイク(ミリ秒) |
|---|---|
| サーバー側の認証 | 41.7 |
| クライアント認証 | 74.8 |
| サーバー側の認証(DHアルゴリズム) | 66.1 |
| クライアント認証(DHアルゴリズム) | 118.6 |
クライアント認証を使用して1536 DHアルゴリズムは、768が非常に遅いと比較して、1648msを必要とします。
8.圧縮アルゴリズム
IPsecがのIPCompプロトコルによって圧縮されています。
SSLは、小さな面積、OpenSSLサポート圧縮で圧縮を使用しています。
低帯域幅環境のトポロジー、圧縮の使用は、IPSecとSSLスループット向上しました。
スループットが低下した場合を除き、高帯域幅環境トポロジー、圧縮の使用はIPSec 3DESでは、SSLはまだスループットが増加しています。
変化のスループットに影響を与える要因は次のとおり合意のレベルは、各プロトコルオーバーヘッド生成、圧縮、暗号化および伝送速度。
[1] 、IPSecとSSL [J]コンピューター知識と技術、2011年、7の江雅雪の比較分析(5):. 1208年から1210年
[2] のIPSec VPNとSSL VPN固有の違いは何ですか