IPsec知识点
2021-09-07 14:07:36 3 举报AI智能生成
登录查看完整内容
IPsec知识点整理
作者其他创作
大纲/内容
IPsec
工作模式
传输模式
仅对数据载荷进行封装,IP包头不会封装,故IP包头不被保护
隧道模式
连同IP包头以及数据载荷一同封装,IP包头被保护
安全协议
AH(Authentication Header,认证头)安全协议,能扛重发和数据校验,IP协议号51。
它会对原始数据载荷进行离散运算生成验证字段加入AH头
它会对连同原始IP包头和原始数据载荷进行离散运算生成验证字段加入AH头
ESP(Encapsulating Security Payload,封装安全载荷)安全协议,比AH多一个加密数据,IP协议号50。
它会对原始数据载荷进行加密并添加ESP头尾以及验证信息
它会连同IP包头和原始数据载荷进行加密并添加ESP头尾以及验证信息
加密算法
对称加密
1.加密效率快2.机密性不强
DES
3DES
AES
非对称加密
1.加密效率慢2.机密性较强
DH
RSA
报文验证
摘要算法
MD5
SHA
IKE(网际密钥交换)
应用层协议,使用UDP,协议号为500。为SA提供服务
IKE的两个协商阶段
阶段1
IKE Policy
策略号
对称加密算法
Hash算法
离散算法
DH算法
非对称加密算法
身份确认方法
Pre-shared key,预共享密钥
RSA Signature,数字签名
数字证书
包含用户名,用户身份等信息以及公钥
数字签名
使用自己的私钥对数据的HASH进行加密
存活时间
阶段2
建立安全通道
转换集
AH/ESP
封装模式
传输/隧道
建立SA(安全关联,Security Association)
SPI(安全参数索引,Security Parameter Index)
由IKE协商自动分配
发送数据包时,会把SPI插入到IPSec头中
接收到数据包后,根据SPI值查找SAD和SPD,从而获知解密数据包所需的加解密算法、hash算法等。
被用来标记标识路由器与不同对象之间的连接
SPD(安全策略数据库,Security Policy Database)
SPI
加密方式
生存周期
到期后会自动删除
若正在传输数据,系统会在原SA超时之前自动协商建立新的SA,从而保证数据的传输不会因此而中断。
SAD(SA数据库,SA Database)
目的地址
0 条评论
回复 删除
下一页
