- 1、本文档共45页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
精品
IPSec VPN详解
1. IPSec 概述
IPSec(ip security) 是一种开放标准的框架结构, 特定的通信方之间在 IP 层通过加密和
数据摘要 (hash) 等手段,来保证数据包在 Internet 网上传输时的私密性 (confidentiality) 、
完整性 (data integrity) 和真实性 (origin authentication) 。
IPSec 只能工作在 IP 层,要求 乘客协议 和 承载协议 都是 IP 协议
1.1. 通过加密保证数据的私密性
★私密性:防止信息泄漏给未经授权的个人
★通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性
1.2. 对数据进行 hash 运算来保证完整性
★完整性:数据没有被非法篡改
- 可编辑 -
精品
★通过对数据进行 hash 运算,产生类似于指纹的数据摘要,以保证数据的完整性
对数据和密钥一起进行 hash 运算
★攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的攻击行为。
★通过把数据和密钥一起进行 hash 运算,可以有效抵御上述攻击。
DH 算法的基本原理
- 可编辑 -
精品
1.3. 通过身份认证保证数据的真实性
★真实性:数据确实是由特定的对端发出
★通过身份认证可以保证数据的真实性。常用的身份认证方式包括:
Pre-shared key ,预共享密钥
RSA Signature ,数字签名
1.3.1. 预共享密钥
预共享密钥,是指通信双方在配置时手工输入相同的密钥。
- 可编辑 -
精品
- 可编辑 -
精品
1.3.2. 数字证书
★RSA 密钥对,一个是可以向大家公开的公钥,另一个是只有自己知道的私钥。
★用公钥加密过的数据只有对应的私钥才能解开,反之亦然。
★数字证书中存储了公钥,以及用户名等身份信息。
- 可编辑 -
精品
2. IPSec 框架结构
2.1. IPSec 安全协议
IPSec 安全协议描述了如何利用加密和 hash 来保护数据安全
★AH (Authentication Header) 网络认证协议 ,只能进行数据摘要 (hash) ,不能实现数
据加密
ah-md5-hmac 、ah-sha-hmac
★ESP (Encapsulating Security Payload) 封装安全载荷协议 ,能够进行数据加密和数据
摘要 (hash)
esp-des 、esp-3des 、esp-md5-hmac 、esp-sha-hmac
- 可编辑 -
精品
2.2. IPSec 封装模式
IPSec 支持两种封装模式:传输模式和隧道模式
◆传输模式:不改变原有的 IP 包头,通常用于主机与主机之间。
◆隧道模式
文档评论(0)