IPsec知识点
2021-09-07 14:07:36 3 举报AI智能生成
IPsec知识点整理
作者其他创作
大纲/内容
工作模式<br>
传输模式<br>
仅对数据载荷进行封装,IP包头不会封装,故IP包头不被保护
隧道模式
连同IP包头以及数据载荷一同封装,IP包头被保护
安全协议<br>
AH(Authentication Header,认证头)安全协议,能扛重发和数据校验,IP协议号51。
传输模式
它会对原始数据载荷进行离散运算生成验证字段加入AH头
隧道模式
它会对连同原始IP包头和原始数据载荷进行离散运算生成验证字段加入AH头
ESP(Encapsulating Security Payload,封装安全载荷)安全协议,比AH多一个加密数据,IP协议号50。
传输模式
它会对原始数据载荷进行加密并添加ESP头尾以及验证信息
隧道模式
它会连同IP包头和原始数据载荷进行加密并添加ESP头尾以及验证信息
加密算法
对称加密<br>
1.加密效率快<br>2.机密性不强
DES
3DES
AES
非对称加密
1.加密效率慢<br>2.机密性较强
DH
RSA<br>
报文验证
摘要算法<br>
MD5
SHA<br>
IKE(网际密钥交换)
应用层协议,使用UDP,协议号为500。为SA提供服务
IKE的两个协商阶段
阶段1
IKE Policy<br>
策略号<br>
加密算法
对称加密算法
Hash算法
离散算法
DH算法
非对称加密算法
身份确认方法
Pre-shared key,预共享密钥
RSA Signature,数字签名
数字证书
包含用户名,用户身份等信息以及公钥
数字签名<br>
使用自己的私钥对数据的HASH进行加密
存活时间
阶段2
建立安全通道<br>
转换集
加密算法
对称加密算法
Hash算法
离散算法
安全协议
AH/ESP<br>
封装模式
传输/隧道
存活时间
建立SA(安全关联,Security Association)<br>
SPI(安全参数索引,Security Parameter Index)
由IKE协商自动分配
发送数据包时,会把SPI插入到IPSec头中
接收到数据包后,根据SPI值查找SAD和SPD,从而获知解密数据包所需的加解密算法、hash算法等。
被用来标记标识路由器与不同对象之间的连接
SPD(安全策略数据库,Security Policy Database)
SPI
加密方式
Hash算法
封装模式
生存周期
到期后会自动删除
若正在传输数据,系统会在原SA超时之前自动协商建立新的SA,从而保证数据的传输不会因此而中断。
SAD(SA数据库,SA Database)
SPI
目的地址
安全协议
0 条评论
下一页
