IPSec协议框架

发布时间:2021-01-11作者:小编阅读:0

IPSec是一种开放标准的框架结构,特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。

IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议

IPSec协议框架

通过加密保证数据的私密性

1、私密性:防止信息泄漏给未经授权的个人

2、通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性

IPSec协议框架

对称加密

1、如果加密密钥与解密密钥相同,就称为对称加密

2、由于对称加密的运算速度快,所以IPSec使用对称加密算法来加密数据

对数据进行hash运算来保证完整性

1、完整性:数据没有被非法篡改

2、通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整性

IPSec协议框架

对数据和密钥一起进行hash运算

1、攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的攻击行为。

2、通过把数据和密钥一起进行hash运算,可以有效抵御上述攻击。

IPSec协议框架

DH算法的基本原理

IPSec协议框架

通过身份认证保证数据的真实性

1、真实性:数据确实是由特定的对端发出

2、通过身份认证可以保证数据的真实性。常用的身份认证方式包括:

Pre-shared key,预共享密钥

RSA Signature,数字签名

预共享密钥

预共享密钥,是指通信双方在配置时手工输入相同的密钥。

IPSec协议框架

数字证书

1、RSA密钥对,一个是可以向大家公开的公钥,另一个是只有自己知道的私钥。

2、用公钥加密过的数据只有对应的私钥才能解开,反之亦然。

3、数字证书中存储了公钥,以及用户名等身份信息。

数字签名认证

IPSec协议框架

IPSec框架结构

IPSec协议框架

IPSec安全协议

IPSec安全协议描述了如何利用加密和hash来保护数据安全

1、AH (Authentication Header)

只能进行数据摘要(hash) ,不能实现数据加密

ah-md5-hmac、ah-sha-hmac

2、ESP (Encapsulating Security Payload)

能够进行数据加密和数据摘要(hash)

esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、

IPSec支持两种封装模式:传输模式和隧道模式

传输模式:不改变原有的IP包头,通常用于主机与主机之间。

IPSec封装模式

IPSec支持两种封装模式:传输模式和隧道模式

传输模式:不改变原有的IP包头,通常用于主机与主机之间。

IPSec协议框架

隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。

IPSec协议框架

IPSec与NAT

AH模式无法与NAT一起运行

AH对包括IP地址在内的整个IP包进行hash运算,而NAT会改变IP地址,从而破坏AH的hash值。

IPSec协议框架

ESP模式下:

只进行地址映射时,ESP可与它一起工作。

进行端口映射时,需要修改端口,而ESP已经对端口号进行了加密和/或hash,所以将无法进行。

IPSec协议框架

启用IPSec NAT穿越后,会在ESP头前增加一个UDP头,就可以进行端口映射。

IPSec协议框架

以上就是IPSec协议框架的介绍,

如果你还有其他问题,欢迎进行咨询探讨,希望我们的专业的解决方案,可以解决你目前遇到的这些问题。


免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,请联系站长邮箱:shawn.lee@eliancloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:IPSec协议框架

TAG标签:企业专线

地址:https://www.elinkcloud.cn/article/20210111155536.html

上一篇:混合云迁移策略的五个关键因素
下一篇:云计算提升IDC间网络联接能力
在线客服

微信扫码咨询

返回顶部