1.IPsec有关的几个重要概念。
IKE: Internet Key Exchange protocol的缩写,用于在Internet上安全的交互密钥的一种协议。
IKE综合了三大协议:ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议。ISAKMP主要定义了IKE伙伴(IKE Peer)之间合作关系(IKE SA,跟IPSec SA类似)的建立过程。Oakley协议和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
SA: Security Association,安全联盟。所谓安全联盟,就是双方协商出来用于加解密和认证等相关的一组数据,包括算法、密钥材料等信息。
DH算法:DH是一种确保对称式密钥安全穿越不安全网络的方法。就是使用DH算法来保障安全密钥的传送。
在DH算法中,对称密钥是没有在网络中传输的,他是通过初始化发送一个偌大的整数,生成一个随机数和自己的私钥,在使用数学算法生成一个公钥,然后再次交换公钥,然后再次使用第五部的计算最后算出K的值即对称密钥。
鉴别头(AH):用于验证数据包的安全协议。
封装安全有效载荷(ESP): 用于加密和验证数据包的安全协议;可与AH配合工作也可以单独工作。
加密算法:ESP所使用的加密算法。
验证算法:AH或ESP用来验证对方的验证算法。
密钥管理:密钥管理的一组方案,其中IKE(Internet密钥交换协议)是缺省的密钥自动交换协议。
完美向前保密(PFS):指定完美向前保密组,附加一次DH运算,更难破解密钥。
Security Parameters Index (SPI,安全参数索引):为数据包识别安全关联,决定了SA。
Sequence Number(序列号)从1开始的32位单增序列号,不允许重复,唯一地标识了每一个发送数据包,为安全关联提供反重播保护。
感兴趣流(即报文中的IDci –> IDcr)、SA(dh-group、加解密算法及老化时间)和密钥材料(KE)
|
模式 |
IPSEC加密的封装模式,目前只支持隧道(tunnel)模式 |
PKI(Public Key Infrastructure)正是一个基于公钥密码学理论来实现信息安全服务的基础框架,数字证书是其核心组成部分,而IKE借用了PKI中的证书机制来进行对等体的身份认证。
2.IPsec能够干什么?主要提供什么服务?
1.IPsec是用来通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。用于保护敏感信息在Internet上传输的安全性。它在网络层对IP数据包进行加密和认证。作用于OSI七层模型的第三层网络层。典型运用是VPN。
2.IPsec提供了以下网络安全服务,这些安全服务是可选的:
数据的机密性:IPsec的发送方对发给对端的数据进行加密。
数据的完整性:IPsec的接收方对接收到的数据进行验证以保证数据在传送的过程中没有被修改。
数据来源的认证:IPsec接收方验证数据的起源。
抗重播:IPsec的接收方可以检测到重播的IP包并且丢弃。
<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">