IPSecVPN详解(深入浅出简单易懂)讲解.pdf

精品 IPSec VPN详解 1. IPSec 概述 IPSec(ip security) 是一种开放标准的框架结构， 特定的通信方之间在 IP 层通过加密和 数据摘要 (hash) 等手段，来保证数据包在 Internet 网上传输时的私密性 (confidentiality) 、 完整性 (data integrity) 和真实性 (origin authentication) 。 IPSec 只能工作在 IP 层，要求 乘客协议 和 承载协议 都是 IP 协议 1.1. 通过加密保证数据的私密性 ★私密性：防止信息泄漏给未经授权的个人 ★通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性 1.2. 对数据进行 hash 运算来保证完整性 ★完整性：数据没有被非法篡改 - 可编辑 - 精品 ★通过对数据进行 hash 运算，产生类似于指纹的数据摘要，以保证数据的完整性 对数据和密钥一起进行 hash 运算 ★攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。 ★通过把数据和密钥一起进行 hash 运算，可以有效抵御上述攻击。 DH 算法的基本原理 - 可编辑 - 精品 1.3. 通过身份认证保证数据的真实性 ★真实性：数据确实是由特定的对端发出 ★通过身份认证可以保证数据的真实性。常用的身份认证方式包括： Pre-shared key ，预共享密钥 RSA Signature ，数字签名 1.3.1. 预共享密钥 预共享密钥，是指通信双方在配置时手工输入相同的密钥。 - 可编辑 - 精品 - 可编辑 - 精品 1.3.2. 数字证书 ★RSA 密钥对，一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。 ★用公钥加密过的数据只有对应的私钥才能解开，反之亦然。 ★数字证书中存储了公钥，以及用户名等身份信息。 - 可编辑 - 精品 2. IPSec 框架结构 2.1. IPSec 安全协议 IPSec 安全协议描述了如何利用加密和 hash 来保护数据安全 ★AH (Authentication Header) 网络认证协议 ,只能进行数据摘要 (hash) ，不能实现数 据加密 ah-md5-hmac 、ah-sha-hmac ★ESP (Encapsulating Security Payload) 封装安全载荷协议 ,能够进行数据加密和数据 摘要 (hash) esp-des 、esp-3des 、esp-md5-hmac 、esp-sha-hmac - 可编辑 - 精品 2.2. IPSec 封装模式 IPSec 支持两种封装模式：传输模式和隧道模式 ◆传输模式：不改变原有的 IP 包头，通常用于主机与主机之间。 ◆隧道模式