1、AH:是报文验证头协议,主要提供数据源验证、数据完整性校验和防报文重放功能。
2、ESP:封装安全载荷协议,除了具有AH所有功能之外,还可以提供对IP报文的加密功能。
3、AH可以单独使用也可以同时使用
4、IPSEC提供的安全服务需要用到密钥交换协议(IKE),提供自动协商交换密钥和维护安全联盟服务,
简化IPSEC使用和管理
加密算法:
DES/3DES/AES
对称加密算法:块加密、流加密
非对称加密算法
密钥交换
数据报文验证:
HMAC
MD5/SHA1
数据流:一组具有某些特征的集合
源地址/掩码、目的地址/掩码、IP报文中封装上层协议的协议号、源端口号、目的端口号等
如果加密密钥和解密密钥相同,就称为对称加密,由于对称加密运算速度快,故IPSEC采用对称加密算法来加密数据
如果加密密钥和解密密钥不相同,就称为非对称加密
对称加密算法:DES/3DES/AES
*****问题*********
使用对称加密,密钥可能被窃听
使用非对称加密,加密复杂,效率低影响传输速度
*****解决方案*********
通过非对称加密算法加密对称加密算法的密钥
然后再用对称加密算法加密实际要传输的数据
身份认证方式:
预共享密钥 Pre-shared key
数字签名 RSA Signature
RSA密钥对:一个公钥,一个私钥
IPSEC框架:
安全协议:ESP/AH
加密:DES/3DES/AES
数据摘要:MD5/SHA
对称密钥交换;DH1/DH2
IPSec SA
由一个(SPI/IP目的地址/安全协议标识符)三元组唯一标识组成
每个SA都是单向的,具有生存周期
手工建立或者是IKE协商生成
AH协议在IPV4的网络并不适应,因为它会把整个IP的头部和数据部分做认证,IP数据部分的服务类型字段、标志
、分片偏移、TTL、校验和这些不会被认证,但是源IP会。 而在IPV4网络中,大量的NAT和PAT设备存在,
源地址改变很常见,容易导致结果不匹配。IPSEC功能原本属于IPV6,后来挪到IPV4
ESP只对payload到next header做加密,认证是SPI到NEXT HEADER/SPI/SEQ/IV,也就是ESP头部信息,是不被加密
传输模式:一般用于局域网
隧道模式:一般用于私网
SA是单向的:A与B通信
SA(OUT):处理出去的数据包——-加密
SA(IN):处理进入的数据包——-解密
主机A的SA(OUT)和主机B的SA(IN)将共享相同的加密参数(比如密钥)
SA还是协议相关的,每种协议都有一个SA,如果主机A/B同时通过AH和ESP进行安全通信,那么每个主机都会针对
每一个协议构建一个独立的SA
IKE协商建立的SA生存周期有两种方式定义:
1、基于时间的生存周期,定义了SA建立到失效时间
2、基于流量的生存周期,定义了SA允许处理的最大流量
生存周期到达指定的时间或者流量,SA就会失效,失效前,会建立新的SA,在旧的SA失效前,继续使用旧的。
通过对身份的认证保证数据的真实性,常用的包括:预共享密钥和数字签名
预共享密钥:双方在配置时手工输入相同的密钥
DH算法:用于密钥交换,叫做密钥交换算法,不用于加密和解密
哈希算法(也称为信息-摘要算法):
把对一个信息的摘要称为该消息的指纹或数字签名。数字签名是保证信息的完整性和不可否认性的方法。
数据的完整性是指信宿接收到的消息一定是信源发送的信息,而中间绝无任何更改;信息的不可否认性
是指信源不能否认曾经发送过的信息。
建立IKE
阶段一:
1、协商建立IKE安全通道所使用的参数(包括:加密算法、哈希算法、DH算法、身份认证方法、存活时间)
(DES/MD5/DH1/Pre-share/lifetime)该集合称为IKE policy
2、交换对称密钥
3、双方身份认证
4、建立IKE安全通道
阶段二
协商IPSEC安全参数(加密算法、哈希算法、安全协议、封装模式、存活时间)
(DES/MD5/ESP/传输或者隧道/存活时间)