我是靠谱客的博主 慈祥老师,最近开发中收集的这篇文章主要介绍IPsec,觉得挺不错的,现在分享给大家,希望可以做个参考。

概述

ipsec框架包含一套协议:

1、封装协议:AH 51 不支持加密 只支持认证 支持数据完整性
ESP 50 支持加密 支持认证但是认证强度没有AH强
(lcv字段就是哈希值)
2、密钥交换协议:IKE 生成key 用的是DH
UDP500端口

封装方式:

1、隧道模式:通信点不等于加密点
2、传输模式:通信点等于加密点(一般用于局域网)

保证数据安全:

1、数据机密性(加密算法)
2、数据完整性(散列算法)
3、数据的不可否认性(设备验证)
4、防重放(通过AH和ESP报头里面有LCV字段来实现)

加密算法:就是一种数学算法

	对称加密:加密和解密key是相同的常用的有DES、3DES、AES(AES最安全,需要设备支持) 加密速度快,可以用硬件实现、可以达到线速。缺点是密码管理复杂。
非对称加密:加解密key不同,缺点是加密速度慢,常用算法有RSA、DSA、DH。公私钥全世界唯一一对,不可逆推。
数字签名:私钥加密 (哈希值)公钥解密。

散列算法:HMAC、MD5、SHA 保证数据完整性 计算后,结果是定长的字符串,不可逆推。

IKE:DH算法
私钥A→参数→公钥B=key1 私钥B→参数→公钥A=key2 key1=key2

设备验证:
1、证书(设备多一般用证书)
2、预共享对称密钥(两边密码配置为相同的密码,ip+主机名+密码 组成一个哈希值发给对方)两边相同就通过。
3、预共享非对称密钥
SA(安全联盟)

ipsec工作流程:

	首先:感兴趣流量通过设备,触发IKE协商,通过高级ACL来实现,感兴趣的加密传,不感兴趣的正常传。
第一阶段:是为了保护第二阶段的协商报文(IKE双向的SA)
两种模式:
MM主模式:六个报文。1、2包用来协商安全策略(明文),3、4用来进行DH密钥交换(明文),5、6做设备验证(密文)在安全的通道中进行设备验证。设备验证通过进入第二个阶段。
AM积极模式:三个报文。
第二阶段:为了保护数据,三个报文都是密文(IPSEC 单向 SA),QM快速模式,协商采用的封装协议。
封装方式:ESP加密算法、认证算法,通过后,开始加密后续的数据流量。

最后

以上就是慈祥老师为你收集整理的IPsec的全部内容,希望文章能够帮你解决IPsec所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(44)

评论列表共有 0 条评论

立即
投稿
返回
顶部