IPSec基础—预共享密钥与数字证书的区别

最新推荐文章于 2024-02-21 12:00:00 发布
最新推荐文章于 2024-02-21 12:00:00 发布
阅读量6.3k 收藏 10
点赞数 3
分类专栏: # HCIE安全 文章标签: 数字证书 预共享密钥 ipsec 安全 ike
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W_TF2017/article/details/110057618
版权
数字证书是Internet上的身份验证工具,由证书授权中心发行,用于证明网络身份。IPsec身份认证包括预共享密钥、公钥加密和数字签名三种方式。预共享密钥适用于小型且安全性要求不高的网络,而数字证书则提供更高的安全性,适用于对安全有较高要求的场景。IPsec的主模式和野蛮模式在身份验证过程中有所不同,主模式提供了更强的加密和身份验证,但设置更为复杂。
摘要由CSDN通过智能技术生成

数字证书原理简介

IPsec 的密钥管理协议IKE RFC标准中对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法:预共享密钥,公钥加密,数字签名。

数字证书称为数字标识 (Digital Certificate ,Digital ID)。它提供了一种在 Internet 上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日常生活中的身份证相似。数字证书它是由一个由权威机构即CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在交往中用它来识别对方的身份。在网上进行电子商务活动时,交易双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关交易操作。通俗地讲,数字证书就是个人或单位在 Internet上的身份证。比较专业的数字证书定义是,数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循相关国际标准。有了数字证书,我们在网络上就可以畅通无阻。

预共享密钥与数字证书的区别

IPsec 对参与通讯的各方安全网关(或安全路由器)身份认证有3种方法:预共享密钥,公钥加密,数字签名。

区别: 预共享密钥的认证方式,认证密钥易泄露。使用数字证书的认证,能够更有效保障身份认证的安全性。

各自适用的场景:

预共享密钥方式:预共享密钥身份验证要求在协商密钥前预先把参与通讯的各方安全网关对应的密钥先保存在安全网关上,在IP地址不固定的情况下只能采取所有的安全网关都用相同的密钥,这显然只能适合小型且对安全性要求不高的网络。共享密钥优点是软件实现起来比较容易,配置简单,且设备投资比较小。

数字证书方式:公钥加密身份验证利用非对称加密算法验证设备的身份,要求协商密钥前预先把参与通讯的各方对应的公钥配置到安全网关上,安全性有很大的提高,但管理起来还是不方便。

IPSec主模式和野蛮模式的区别

主模式和野蛮模式的区别

-WFlySky
关注
专栏目录
IPSEC CA证书配置(附CA服务器)
悦分享
10-10 854
IPSec V.P.N点到多点场景中,进行身份认证时如果使用共享密钥方式,总部和每个分部之间形成的对等体都要配置共享密钥。如果所有对等体都使用同一个密钥,存在安全风险,而每个对等体都使用不同的密钥,又不便于管理和维护。为了解决上述问题,可以使用证书认证。IKE通过借用了PKI中的证书机制来进行对等体的身份认证,不必再为每个对等体配置单独的密钥,降低管理成本。证书导入:使用设备的密钥及必要信息到CA颁发证书,并将成对的证书导入到设备;
锐捷网络—VPN功能—IPSEC 基础配置—基于数字证书IPSec动态隧道(主模式)
君逍遥o
09-05 661
若总公司和分公司各自的内网要能够互相共享资料,且希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,且分支机构采用ADSL拨号(公网IP地址不固定)的方式上互联网,总部和分支机构采用数字证书分别验证对方的合法性,此时您可以在总公司的网络设备上启用基于数字证书的动态IPSec VPN,分公司的网络设备上启用基于数字证书的静态IPSec VPN。
设备验证的三种方式——共享对称密钥共享非对称密钥数字证书的操作过程;用户...
weixin_33921089的博客
09-19 1337
设备验证的三种方式——共享对称密钥共享非对称密钥数字证书的操作过程;用户 一、设备验证 共享对称密钥 带外方式共享,存储在设备本地 如:源-A 目的-B L2L ×××管理连接建立策略10: authen pre group 2 enc des hash sha crypto isakmp key cisco123 addres...
秘钥和证书
喵喵的技术博客
10-17 3229
早期的网络通信是明文通信,即传递的消息均未加密,又因为网络通信的本质是通过广播实现的数据包传递,因此只要能够在网络节点进行监听就很容易获取传递消息中未加密的敏感信息,比如用于身份认证的用户名密码,并且即使认证信息进行了加密,因为消息传递的整个过程没有加密处理,所以也很容易实现中间人攻击,因此明文通信的方式已经在实际环境中逐渐被淘汰,取而代之的就是秘钥加密技术,秘钥的设计和产生算法涉及深奥的密码学,...
IPsec IKEv1 协商(共享密钥认证,数字签名认证,公钥认证)
qq_47529104的博客
04-04 5070
主模式(共享密钥身份认证) 主模式阶段一 (SA的协商) HDR, SA --> Ci SAi <-- HDR, SA Ci Cr SAr HDR就是指协议的首部,其中SA就是通信双方协商的安全联盟,我比较喜欢叫它安全套件,因为SA就是多个安全内容的集合,Ci,Cr就是通...
HCIE-Security Day30:IPSec:实验(五)配置基于路由的IPSec PN(采用共享密钥认证)
小梁的博客
03-21 5209
IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。 此前使用的都是acl方式定义的感兴趣流。 还有一种方式是路由方式。 通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由到ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。 简化配置:不需使用acl定义流量特征 支持动态路...
防火墙—IPSec VPN(共享密钥-单子网)
weixin_44080599的博客
05-31 1838
奇安信防火墙 IPSEC VPN 详解
防火墙—IPSec VPN(共享密钥-多子网)
weixin_44080599的博客
06-01 1083
奇安信防火墙 IPSEC VPN 详解
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、共享密钥
小梁的博客
03-31 4317
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPSec中的IKE安全联盟与密钥管理
同时,IKE还支持共享密钥数字证书等多种认证方式,以适应不同的安全需求和环境。 在IPSec配置中,IKE通常分为两个阶段:IKE Phase 1(建立安全通道)和IKE Phase 2(建立IPSec SA)。Phase 1主要用于双方的身份...
理解IPsecIKE:配置与安全机制解析
IKE安全机制包括共享密钥数字证书等认证方式,以及对等身份验证和主模式/快速模式的协商过程。主模式用于初始协商,建立长期的共享密钥,而快速模式则用于快速建立和更新SA,适应变化的网络环境。 配置IKE时...
Java安全——密钥和证书
最新发布
m0_59598029的博客
02-21 1898
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
IPSec共享密钥实验配置
m0_49864110的博客
05-21 980
黑色是FW1和FW2相同的配置 绿色是FW1的配置 蓝色是FW2的配置 基础配置-配置接口IP地址、安全区域、路由 配置接口IP地址 interface GigabitEthernet1/0/0 ip address 10.0.11.254 255.255.255.0 ip address 10.0.22.254 255.255.255.0 interface GigabitEthernet1/0/1 ip address 13.0.0.1 255.255.255.0......
华为IPsec共享密钥配置命令汇总
qq_47529104的博客
05-01 3072
IKE协商对象创建 ike proposal xx //创建ike协商 authentication-method xx //设置认证方式 authentication-algorithm xx //设置认证算法,主要使用MAC进行认证 encryption-algorithm xx //设置加密算法 dh xx //设置DH算法 推荐使用DH14 sa duration xx //设置IKE SA的生成周期 prf xxx //设置伪随机函数 sha2-512>sha2-384...
基于“共享密钥”认证的Ipsec 的传输模式
weixin_34268753的博客
12-11 480
基于“共享密钥”认证的Ipsec 的传输模式 配置请参考附件 转载于:https://blog.51cto.com/youmo6900/452973
采用共享密钥的点对点ipsec ×××.docx
weixin_33767813的博客
09-07 271
拓扑图如下:R1上的基本配置 Router(config)#no ip do lo 关闭域名解析 Router(config)#line con 0 console口配置 Router(config-line)#logg s 开启日志同步 Router(config-line)#no exec-t 关闭超时 ...
IPsec+共享密钥的lKE主模式
zero_number的博客
10-21 1493
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
密钥,证书,签名相关概念
henrydlwang的博客
08-25 4112
一直以来对加密的相关概念都很模糊,今天上网搜了资料,整理下相关概念: 1、密钥:是一种参数,在加密和解密算法进行加解密时需要使用的一种参数。分为对称加密和非对称加密。对称加密就是相同的密钥进行加解密。非对称加密有一对密钥,分为共钥和私钥,共钥可以对外公开,私钥有私人持有;用其中一个密钥加密后,另一个密钥可以解密。目前比较流行的开源的对称加密算法有:DES(数据加密标准)、TripleDES(三重
HTTPS数字证书的8大好处
wenwen9961的博客
05-16 506
启用HTTPS加密后,会对企业的域名,企业信息等做验证,用户访问时即可通过证书获知信息,避免受骗。客户访问HTTPS加密的网站,传输的数据都是加密传输,最大限度的防止中间人的攻击,数据的完整性可以得到有效保证,同时数据也是真实有效的,避免了企业和客户遭受损失。网站的可信度提升,也必将带来更多的客户访问量,网站流量也会呈现 上升趋势,随之而来也将会是用户在线交易量的上涨,从而给企业带来更多的收益。目前通用的浏览器对使用HTTPS协议的网站提升了优化排名,使用HTTPS协议的网站在搜索结果中的排名会更高。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值