VPN部分知识点复习总结.docVIP

IKE（密匙管理技术）第一阶段有两种协商模式 Best Effort 尽力而为 Main Mode 【main：主要 mode：模式】主模式 Aggressive Mode 野蛮模式 第二阶段只有一种协商模式 Quick Mode 【第二阶段则利用第一阶段协商的安全联盟来保护信息，并为IPSec等安全协议进行安全联盟的协商；即IPSec SA的协商快速模式】 IKE认证方式只存在于第一阶段 认证方式共分为三种 ~PSK（即pre-shuared key) 预共享密匙 ~数字签名（RSA SIGNATURE） ~公匙加密 【IKE的核心是DH算法】 IKE的益处： (不用在加密映射中手工配置IP sce安全参数。 【 第三层隧道协议有GRE、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 】 (能够制定SA协议的寿命。 ( 能够随时更该加密密匙。 ④能够防止进行重发布。 ⑤支持CA认证，以管理，拓展。 ⑥动态验证对等体的身份。 【IKE的核心是DH算法】 IKE可以使用的技术包括：MD5、SHA-1、DES、3DES。 CA（身份认证技术）： CA(Certificate?Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构； CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理； CA必须是各行业各部门及公众共同信任的、认可的、权威的、不参与交易的第三方网上身份认证机构； CA是PKI的核心组成部分。 CA提供的安全技术对网上的数据、信息发送方、接收方进行身份确认，以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。 交易信息的保密性? 交易信息的不可修改性? 交易者身份的确定性? 交易的不可抵赖性 【数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即要在Internet上解决“我是谁”的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格； 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件； 最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名； 一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息】 IPSec协议 IPSec（网络安全协议）协议是一个协议集而不是一个单个的协议； IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构； 自1995年IPSec的研究工作开始以来，IETF组织已经积累了大量的标准文件集（RFC）。 IPSec协议包括AH（认证头标）协议、ESP（封装安全净载）协议、密钥管理协议（IKE协议）和用于网络验证及加密的一些算法等；IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源验证、数据加密等网络安全服务。 【AH相当于一个数据或者文件传输时的保护层，他不对数据本身进行加密，AH协议提供数据的认证服务； 保证数据在传输过程中没有被改变或破坏，数据的顺序也没有很 大变化；其使用的包头号放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP、ESP等）之间；国际IANA机构分配给AH 的协议号为51】┑ ↓↓↓ │同时使用AH和ESP时 │先对报文进行AH封装 │再对报文进行ESP封装 │AH和ESP联合使用的方式为： │封装之后的报文从内到外的 │依次顺序为IP报文、ESP头