因特网协议安全IPSec IETF定义一种***标准的安全框架结构,通信双方在IP层通过加密、完整性校验、数据源认证等方式,可以用来保证IP数据报文在 *** 上传输的机密性、完整性和防重放;目前IPSec最主要的应用是构造虚拟专用网(VPN);企业***分支机构可以通过使用IPSec VPN建立安全传输通道,接入到企业总部 ***。
文章插图
--私密性:指对数据进行加密保护,用密文的形式传送数据 。
--完整性:指对接收的数据进行散列计算,以判定报文是否被篡改 。
--防重放:指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包 。
--防抵赖:指基于签名及签名验证,可以判断数据的发送方是真实存在的用户 。
VPN技术的分类:
1、Peer-to-Peer VPN:例如MPLS-VPN,大部分配置在运营商的PE(Provider Edge)路由器上做,在内网CE(Customer Edge)路由器上做少量配置即可;此种是运营商提供的VPN解决方案,需要向运营商申请,费用较高 。
2、Overlay VPN:例如GRE-VPN和IPsec-VPN;GRE-VPN可以支持任何路由选择协议和任意类型的数据流量;IPsec-VPN只能支持IPv4、路由器两端的参数需要完全匹配且只能支持单播流量;目前在两者基础上还有一种GRE over IPSec VPN,数据先通过GRE封装再通过IPSec进行封装,既保证了数据的兼容性又能保障了数据的安全性,是目前比较完善的VPN解决方案 。
3、IPsec-VPN可分为Site-to-Site VPN和Remote-Access VPN 。
--Site-to-Site VPN;一般部署在两个办公场点的边界路由器上 。
--Remote-Access VPN/拨号VPN;一般用于实现单个PC和公司内网之间的通信;需要结合客户端软件使用(easy-vpn) 。
?散列算法:散列函数HASH哈希计算,进行数据帧的完整性校验
计算 *** 一:CRC(32bit)循环冗余校验 (Layer2的FCS校验)
计算 *** 二:MD5 (128bit) SHA-1(160bit) SHA-2(256bit)
计算 *** 三:HMAC散列信息验证码,原始数据+散列算法+(密钥/签名)
HASH的特点:1.不定长输入,定长输出 2.雪崩效应 3.计算不可逆
HMAC(HASH Message Authentication Code):散列信息认证码,用于保证流量的完整性,基于DATA和KEY进行计算;一般的HASH算法只针对DATA进行计算
MD5输出为128位,SHA-1的输出为160位,SHA-2输出为256位,但是IPSec只能携带前96位,存在着很大的漏洞 。
?加密算法:对称加密、非对称加密、数字签名和DH算法
1、对称加密:使用一把相同的密钥对数据进行加密和解密;加密速度快,报文紧凑,可以用于大流量数据的加密;如DES、3DES、AES(256bit以上);
2.1、非对称加密:使用一对密钥对数据进行加密和解密,使用公钥对数据集进行加密,使用私钥对数据进行解密;加密速度慢,密文不紧凑,通常只用于数据签名或加密一些小文件;如RSA、ECC(1024bit以上);
2.2、数字签名:私钥加密,公钥解密;先对完整数据数据做HMAC计算,再使用私钥进行加密,用于防数据篡改和用户身份认证;
3、DH算法:不用交互密钥本身,通过交互密钥的材料,生成一把相同的密钥;还可以周期性生成新的密钥并自动更换密钥 。
文章插图
IPSec架构:
文章插图
IPSec体系结构主要由IKE/SA、AH和ESP协议套件组成 。
?IKE协议:包含三个协议的主要功能,用来完成之一阶段的自动协商加密算法、散列算法和设备身份认证;包含协商参数;产生KEY、交换KEY、更新KEY;对双方进行身份认证;对密钥进行管理;组成协议如下:
1.ISAKMP;定义了信息交换的体系结构/格式;基于UDP,源目端口都是500
2.SKEME;实现公钥加密认证的机制
3.Oakley;提供在两个IPsec对等体间达成相同加密密钥的基于模式的机制
?安全联盟SA:指的一组对等体之间用来保护流量手段的 ***,定义了IPSec通信对等体间使用的数据封装模式、认证和加密算法、密钥等参数;SA是单向的,两个对等体之间的双向通信至少需要两个SA,如果两个对等体希望同时使用AH和ESP安全协议来进行通信,则对等体针对每一种安全协议都需要协商一对SA 。SA由一个三元组来唯一标识,包括安全参数索引SPI、目的IP地址、安全协议 。
?IKE动态协商方式:只需要通信对等体间配置好IKE协商参数,由IKE自动协商来创建和维护SA,动态协商方式建立安全联盟相对简单些;对于中、大型的动态 *** 环境中,推荐使用IKE协商建立SA 。
推荐阅读
- 党组织与入党申请人谈话内容
- 寄怎么组词 冀怎么组词
- 电脑关闭自动更新的方法 电脑怎么关闭自动更新
- 冲压模具维修知识 「冲压模具组装基本知识」
- 溢的组词有什么 溢的组词
- Md5是什么?MD5怎么校验?Md5校验工具怎么用,天涯明月刀更新时提示,更新包MD5校验失败,这个怎么解决啊?
- 更新后王者荣耀里的游戏助手在哪里滑出来?
- 小米系统更新后后台管理在哪里
- 如何在英语课堂中进行小组合作
- 看似水火不容,实则互相吸引的3组星座