IPSEC原理及組成

2021-08-08 13:30:21 字數 2780 閱讀 7139

1.ip

sec介紹

ipsecurity

是一套完整的加密系統

ipsec-vpn提供三個特性:

authentication  每乙個ip包的認證

data integrity  驗證資料完整性,保證在傳輸過程中沒有被人為改動

confidentiality(私密性)資料報的加密

2.ipsec組成

ipsec協議集包括三個協議:

①internet keyexchange(ike)密匙交換協議

在兩個對等體之間建立一條遂道來完成金鑰交換,協商完成再用下面的方法封裝資料。

ike動態的,週期性的在兩個peer之間更新金鑰

②encapsulating secutitypayload(esp)封裝安全負載

可以對資料報認證,加密,封裝,ip中協議號-50,通常使用3des來進行加密

③authentication header(ah)

只提供認證,封裝,不提供加密,明文傳送,ip中協議號-51

ike原理①組成

由三個不同的協議組成:

isakmp:定義了資訊交換的體系結構,也就是格式

skeme:實現公鑰加密認證的機制

oakley:提供在兩個ipsec對等體間達成相同加密金鑰的基本模式的機制

isakmp基於udp,源目埠都是500

安全聯盟(securityassociation,簡稱sa)

sa是兩個通訊實體經協商建立起來的一種協定,它們決定了用來保護資料報安全的ipsec協議、轉碼方式、金鑰、以及金鑰的有效存在時間等等。任何ipsec實施方案始終會構建乙個sa資料庫(sadb),由它來維護ipsec協議,用來保障資料報安全。

sa是單向的:如果兩個主機(比如a和b)正在通過esp進行安全通訊,那麼主機a就需要有乙個sa,即sa(out),用來處理外發的資料報,另外還需要有乙個不同的sa,即sa(in)用來處理進入的資料報。主機a的sa(out)和主機b的sa(in)將共享相同的加密引數(比如金鑰)。

sa還要根據協議來區分,如果兩個主機間同時使用esp和ah,對於esp和ah會生成不同的sa。

sa分為兩種:

ike(isakmp)sa    協商對ike資料流進行加密以及對對等體進行驗證的演算法(對金鑰的加密和

peer

的認證)

ipsec sa           協商對對等體之間的ip資料流進行加密的演算法

對等體之間的ike sa只能有乙個

對等體之間的ipsec sa可以有多個

site-to-site ipsecvpn的協商過程,分兩個階段

要想在兩個站點之間安全的傳輸ip資料流,它們之間必須要先進行協商,協商它們之間所採用的加密演算法,封裝技術以及金鑰。

階段一:在兩個對等體裝置之間建立乙個安全的管理連線。沒有實際的資料通過這個連線。這個管理連線是用來保護第二階段協商過程的。

階段二:當對等體之間有了安全的管理連線之後,它們就可以接著協商用於構建安全資料連線的安全引數,這個協商過程是安全的,加密的。協商完成後,將在兩個站點間形成安全的資料連線。使用者就可以利用這些安全的資料連線來傳輸自已的資料了。

第一階段:建立isakmpsa協商的是以下資訊:

1、對等體之間採用何種方式做認證,是預共享金鑰還是數字證書。

2、雙方使用哪種加密演算法(

des、

3des

)3、雙方使用哪種hmac方式,是md5還是sha

4、雙方使用哪種diffie-hellman金鑰組

5、使用哪種協商模式(主模式或主動模式)

6、協商sa的生存期

第二階段:建立ipsecsa協商的是以下資訊:

1、雙方使用哪種封裝技術,ah還是esp

2、雙方使用哪種加密演算法

3、雙方使用哪種hmac方式,是md5還是sha

4、使用哪種傳輸模式,是隧道模式還是傳輸模式

5、協商sa的生存期

為什麼需要兩個

sa,它們之間的關係是怎樣的?

第乙個隧道

isakmp sa

是用於保護後續的再次協商,

第二次隧道協商的引數是在完全加密的環境下進行的,之後得到的

ipsecsa

才真正為資料做加密!

第一階段策略集物件導向是第二階段的協商包,第二階段的轉換集物件導向是最終的資料報。

esp概述encapsulationsecurity payload

,用於實現資料機密性以及完整性校驗。

分裝安全

有效負載,

esp有兩種模式

傳輸模式:只加密

ip頭部以上的資料,對

ip頭部不進行加密(適用於

gre(通用路由協議)

over

ipsec

)加密地點即通訊地點

隧道模式:加密原有資料報,再加入新的頭部

加密地點非通訊地點

.ah概述

authenticationheader

,認證頭部,用於實現完整性校驗

組成原理大綱

在這裡就組成原理的考點來進行解析一下。計算機系統概述一章幾乎沒有出綜合應用題的可能,大部分知識點只要了解就可以了。計算機發展歷程 了解 計算機系統的層次結構 計算機硬體的基本組成 計算機軟體的分類 計算機的工作過程 了解 計算機的效能指標 吞吐量等 要注意,這些概念在後續章節中會經常出現,需要熟練掌...

硬碟組成原理

資料的寫入其實是在碟片上面,碟片上面又可分出扇區和柱面兩種單位,其中扇區每個為512bytes那麼大。磁碟的第乙個扇區主要記錄了兩個重要的資訊,分別是 主引導扇區 mbr 可以安裝引導引導程式的地方,有446bytes 分割槽表 記錄整個硬碟分割槽的狀態,有64bytes。在分割槽表所在的64byt...

組成原理 概念

b x位結構 b x位機 字長為x位等常見說法,與x位結構的含義相同 描述了乙個cup具有下面幾方面的結構特性 運算器一次最多可以處理x位的資料 暫存器的最大寬度為x位 暫存器和運算器之間的通路為x位。對於x位cpu,能一次性處理 傳輸 暫時儲存x位的位址 對於16位結構的8086cpu,如果位址從...