1.IPsec有關的幾個重要概念。
IKE: Internet Key Exchange protocol的縮寫,用於在Internet上安全的交互密鑰的一種協議。
IKE綜合了三大協議:ISAKMP(Internet Security Association and Key Management Protocol)、Oakley協議和SKEME協議。ISAKMP主要定義了IKE伙伴(IKE Peer)之間合作關系(IKE SA,跟IPSec SA類似)的建立過程。Oakley協議和SKEME協議的核心是DH(Diffie-Hellman)算法,主要用於在Internet上安全地分發密鑰、驗證身份,以保證數據傳輸的安全性。
SA: Security Association,安全聯盟。所謂安全聯盟,就是雙方協商出來用於加解密和認證等相關的一組數據,包括算法、密鑰材料等信息。
DH算法:DH是一種確保對稱式密鑰安全穿越不安全網絡的方法。就是使用DH算法來保障安全密鑰的傳送。
在DH算法中,對稱密鑰是沒有在網絡中傳輸的,他是通過初始化發送一個偌大的整數,生成一個隨機數和自己的私鑰,在使用數學算法生成一個公鑰,然后再次交換公鑰,然后再次使用第五部的計算最后算出K的值即對稱密鑰。
鑒別頭(AH):用於驗證數據包的安全協議。
封裝安全有效載荷(ESP): 用於加密和驗證數據包的安全協議;可與AH配合工作也可以單獨工作。
加密算法:ESP所使用的加密算法。
驗證算法:AH或ESP用來驗證對方的驗證算法。
密鑰管理:密鑰管理的一組方案,其中IKE(Internet密鑰交換協議)是缺省的密鑰自動交換協議。
完美向前保密(PFS):指定完美向前保密組,附加一次DH運算,更難破解密鑰。
Security Parameters Index (SPI,安全參數索引):為數據包識別安全關聯,決定了SA。
Sequence Number(序列號)從1開始的32位單增序列號,不允許重復,唯一地標識了每一個發送數據包,為安全關聯提供反重播保護。
感興趣流(即報文中的IDci –> IDcr)、SA(dh-group、加解密算法及老化時間)和密鑰材料(KE)
| 模式 |
IPSEC加密的封裝模式,目前只支持隧道(tunnel)模式 |
PKI(Public Key Infrastructure)正是一個基於公鑰密碼學理論來實現信息安全服務的基礎框架,數字證書是其核心組成部分,而IKE借用了PKI中的證書機制來進行對等體的身份認證。
2.IPsec能夠干什么?主要提供什么服務?
1.IPsec是用來通過端對端的安全性來提供主動的保護以防止專用網絡與 Internet 的攻擊。用於保護敏感信息在Internet上傳輸的安全性。它在網絡層對IP數據包進行加密和認證。作用於OSI七層模型的第三層網絡層。典型運用是VPN。
2.IPsec提供了以下網絡安全服務,這些安全服務是可選的:
數據的機密性:IPsec的發送方對發給對端的數據進行加密。
數據的完整性:IPsec的接收方對接收到的數據進行驗證以保證數據在傳送的過程中沒有被修改。
數據來源的認證:IPsec接收方驗證數據的起源。
抗重播:IPsec的接收方可以檢測到重播的IP包並且丟棄。
<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">