目录
[①ISAKMP(Internet Security Association and Key Management Protocol)互联网安全关联和密钥管理协议](#①ISAKMP(Internet Security Association and Key Management Protocol)互联网安全关联和密钥管理协议)
[②、隧道模式(常用) 一方是私有ip](#②、隧道模式(常用) 一方是私有ip)
虚拟专用网络(英文:Virtual Private Network)。是在一个公有的、不安全的网络中,创建虚拟专用网络。像一个隧道一样连接两端,在隧道内的信息都是经过加密和互相验证的。以保证数据的保密性、完整性和可用性。常见的有IPsec协议、PPTP协议、OpenVPN协议、SSTP协议等。
例子:
明文为 :2
使用加密算法为 :乘方
公钥为:3
此时:密文为:8
注:该例子仅展示加密概念
一、加密算法
对称式加密算法
用同一把钥匙进行加密和解密,适合对大量数据进行处理。
非对称式加密算法
用一把钥匙进行加密(公钥),另一把钥匙进行解密(私钥)。公钥允许在公共网络进行传输,私钥仅本地保存。适合对少量数据进行处理。
可以将两者结合使用。使用对称式加密算法加密数据部分,使用非对称式加密算法加密对称式加密算法的秘钥部分。
传输时有三部分:1、对称式加密算法加密数据部分 2、对称式加密算法的秘钥部分 3、非对称式加密算法公钥
二、验证算法
Hash验证算法:用于判断数据是否又被篡改的可能,只要其中进行了篡改都可以被校验出来
常见的有 md5 sha-512,为了增加数据安全性还会搭配使用加盐(salt)技术
这里只学习比较基础和常用的IPsec协议,在一般的路由器和防火墙上都可以进行部署。是站点到站点的,可以实现机密性(加密算法)、完整性(hash算法)、源认证(ca证书)、防重放攻击
三、IPsec协议
重点是IKE和ESP协议
1.IKE协议(密钥交换协议)
负责建立和维护SA,主要的功能有:协商协议参数、对等体身份验证、协商密钥、对密钥的管理。
IKE协议的核心和 基础是 互联网安全关联和密钥管理协议(ISAKMP)
①**ISAKMP(Internet Security Association and Key Management Protocol)互联网安全关联和密钥管理协议**
ISAKMP 是一个协议框架,主要用于在IPsec体系结构中建立、协商、修改和删除安全关联(SA)的过程,并定义了交换密钥生成和认证数据的载荷格式。
②安全关联(SA)也可以叫 安全联盟
简单来说是两个对等体之间对某些要素的约定,例如使用哪一种协议(AH、ESP、AH和ESP结合使用)、协议的封装模式(传输模式、隧道模式)、加密算法(DES、3DES和AES)、密钥、以及密钥的生存周期等等。
SA是单向的。在两个对等体之间的双向通信,至少需要两个SA来分别对两个方向的数据流进行安全保护。
SA由三元组进行标识,安全参数索引(SPI)、目的地ip地址、安全协议号(AH或ESP)
③IKE协议具体步骤
步骤1,当PC-A发送数据包到PC-B。
步骤(2、3、4)都完成后,IPsec隧道建立成功。
步骤5 当无数据传输 或 超过隧道生存时间 ,IPsec隧道拆除
其中比较重要的事步骤2、步骤3,将对两个步骤进行详细分解
步骤2
该步骤结束,产出IKE SA
步骤3
该步骤结束,产出IPsec SAs
2.ESP协议(负载安全封装协议)
实际保护流量的安全协议
支持验证算法 和 加密算法
注:AH仅支持验证算法,不支持加密算法
注:该图中的 数据包 结构为 IPsec协议的隧道模式
3.IPsec协议有几种不同的封装模式:
①、传输模式(只适合点到点)双方都有公网ip 且 没有IP地址转换
②、隧道模式(常用) 支持私有ip 和 IP地址转换
