因特网协议安全IPSec IETF定义一种***标准的安全框架结构 , 通信双方在IP层通过加密、完整性校验、数据源认证等方式,可以用来保证IP数据报文在 *** 上传输的机密性、完整性和防重放;目前IPSec最主要的应用是构造虚拟专用网(VPN);企业***分支机构可以通过使用IPSec VPN建立安全传输通道,接入到企业总部 ***。
--私密性:指对数据进行加密保护,用密文的形式传送数据 。
--完整性:指对接收的数据进行散列计算 , 以判定报文是否被篡改 。
--防重放:指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包 。
--防抵赖:指基于签名及签名验证 , 可以判断数据的发送方是真实存在的用户 。
VPN技术的分类:
1、Peer-to-Peer VPN:例如MPLS-VPN,大部分配置在运营商的PE(Provider Edge)路由器上做,在内网CE(Customer Edge)路由器上做少量配置即可;此种是运营商提供的VPN解决方案,需要向运营商申请,费用较高 。
2、Overlay VPN:例如GRE-VPN和IPsec-VPN;GRE-VPN可以支持任何路由选择协议和任意类型的数据流量;IPsec-VPN只能支持IPv4、路由器两端的参数需要完全匹配且只能支持单播流量;目前在两者基础上还有一种GRE over IPSec VPN,数据先通过GRE封装再通过IPSec进行封装,既保证了数据的兼容性又能保障了数据的安全性,是目前比较完善的VPN解决方案 。
3、IPsec-VPN可分为Site-to-Site VPN和Remote-Access VPN 。
--Site-to-Site VPN;一般部署在两个办公场点的边界路由器上 。
--Remote-Access VPN/拨号VPN;一般用于实现单个PC和公司内网之间的通信;需要结合客户端软件使用(easy-vpn) 。
?散列算法:散列函数HASH哈希计算,进行数据帧的完整性校验
计算 *** 一:CRC(32bit)循环冗余校验 (Layer2的FCS校验)
计算 *** 二:MD5 (128bit) SHA-1(160bit) SHA-2(256bit)
计算 *** 三:HMAC散列信息验证码,原始数据+散列算法+(密钥/签名)
HASH的特点:1.不定长输入 , 定长输出 2.雪崩效应 3.计算不可逆
HMAC(HASH Message Authentication Code):散列信息认证码,用于保证流量的完整性,基于DATA和KEY进行计算;一般的HASH算法只针对DATA进行计算
MD5输出为128位,SHA-1的输出为160位,SHA-2输出为256位,但是IPSec只能携带前96位,存在着很大的漏洞 。
?加密算法:对称加密、非对称加密、数字签名和DH算法
1、对称加密:使用一把相同的密钥对数据进行加密和解密;加密速度快,报文紧凑,可以用于大流量数据的加密;如DES、3DES、AES(256bit以上);
2.1、非对称加密:使用一对密钥对数据进行加密和解密,使用公钥对数据集进行加密,使用私钥对数据进行解密;加密速度慢 , 密文不紧凑,通常只用于数据签名或加密一些小文件;如RSA、ECC(1024bit以上);
2.2、数字签名:私钥加密,公钥解密;先对完整数据数据做HMAC计算,再使用私钥进行加密,用于防数据篡改和用户身份认证;
3、DH算法:不用交互密钥本身,通过交互密钥的材料,生成一把相同的密钥;还可以周期性生成新的密钥并自动更换密钥 。
IPSec架构:
IPSec体系结构主要由IKE/SA、AH和ESP协议套件组成 。
推荐阅读
- 元素周期表第七周期排满了吗?
- 如何屏蔽苹果手机更新系统?
- 持续更新中 三江社区新冠疫苗接种通知
- 持续更新中 绵阳新冠疫苗接种地点汇总
- 持续更新中 绵阳西山社区卫生服务中心到苗通知
- 元素周期表的族怎么分 元素周期表16个族分别是什么
- 持续更新 佛山吸入式新冠疫苗最新消息
- 如何判断原子半径大小 元素周期表中如何判断原子半径大小
- 和平精英更新不了怎么办呢? 和平精英更新不了怎么办呢苹果
- ios16.1beta4更新了啥ios16.1beta4更新内容功能介绍