Cisco ❀ IPsec中加密算法-Diffie-Hellman算法的介绍

最新推荐文章于 2024-01-28 14:40:32 发布
最新推荐文章于 2024-01-28 14:40:32 发布
阅读量907 收藏 1
点赞数 3
分类专栏: Network 文章标签: Diffie-Hellman 算法 IKE数据安全 IPsec VPN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42197548/article/details/94322263
版权

IKE如何进行密钥安全的保证,Diffie-Hellman算法的介绍

虽然 IKE 使用了认证来保证会话一定是来自合法的对等体,但是单靠认证也无 法保证密钥的安全,因为数据还是有可能被第三者截获,所以 IKE 还必须有一套机 制来保证密钥的安全,因为只要密钥泄露,就全玩完了。在密钥方面,IKE 使用了 称为 Diffie-Hellman 的算法在 VPN 对等体之间建立安全的密钥用来加密数据, Diffie-Hellman 使用了极为复杂的数学算法,最后将在 VPN 对等体之间计算出只有它 们自己才知道的密钥,即使他们的会话被第三者监控,也无法推算出密钥。

1、算法介绍
Diffie-Hellman:一种确保共享KEY安全穿越不安全网络的方法,它是OAKLEY的一个组成部分。Whitefield与Martin Hellman在1976年提出了一个奇妙的密钥交换协议,称为Diffie-Hellman密钥交换协议/算法(Diffie-Hellman Key Exchange/Agreement Algorithm).这个机制的巧妙在于需要安全通信的双方可以用这个方法确定对称密钥。然后可以用这个密钥进行加密和解密。但是注意,这个密钥交换协议/算法只能用于密钥的交换,而不能进行消息的加密和解密。双方确定要用的密钥后,要使用其他对称密钥操作加密算法实现加密和解密消息。

2、算法原理描述
基于原根的定义及性质,可以定义Diffie-Hellman密钥交换算法.该算法描述如下:

  1. 有两个全局公开的参数,一个素数q和一个整数a,a是q的一个原根.
  2. 假设用户A和B希望交换一个密钥,用户A选择一个作为私有密钥的随机数XA(XA<q),并计算公开密钥YA=a^XA mod q。A对XA的值保密存放而使YA能被B公开获得。类似地,用户B选择一个私有的随机数XB<q,并计算公开密钥YB=a^XB mod q。B对XB的值保密存放而使YB能被A公开获得.
  3. 用户A产生共享秘密密钥的计算方式是K = (YB)^XA mod q.同样,用户B产生共享秘密密钥的计算是K = (YA)^XB mod q.这两个计算产生相同的结果: K = (YB)^XA mod q = (a^XB mod q)^XA mod q = (aXB)XA mod q (根据取模运算规则得到) = a^(XBXA) mod q = (aXA)XB mod q = (a^XA mod q)^XB mod q = (YA)^XB mod q 因此相当于双方已经交换了一个相同的秘密密钥.
  4. 因为XA和XB是保密的,一个敌对方可以利用的参数只有q,a,YA和YB.因而敌对方被迫取离散对数来确定密钥.例如,要获取用户B的秘密密钥,敌对方必须先计算 XB = inda,q(YB) 然后再使用用户B采用的同样方法计算其秘密密钥K. Diffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数却很困难.对于大的素数,计算出离散对数几乎是不可能的. 下面给出例子.密钥交换基于素数q = 97和97的一个原根a = 5.A和B分别选择私有密钥XA = 36和XB = 58.每人计算其公开密钥 YA = 5^36 = 50 mod 97 YB = 5^58 = 44 mod 97 在他们相互获取了公开密钥之后,各自通过计算得到双方共享的秘密密钥如下: K = (YB)^XA mod 97 = 44^36 = 75 mod 97 K = (YA)^XB mod 97 = 50^58 = 75 mod 97 从|50,44|出发,攻击者要计算出75很不容易。

3、算法的缺点
然而,该技术也存在许多不足: 没有提供双方身份的任何信息. 它是计算密集性的,因此容易遭受阻塞性攻击,即对手请求大量的密钥.受攻击者花费了相对多的计算资源来求解无用的幂系数而不是在做真正的工作. 没办法防止重演攻击. 容易遭受中间人的攻击.第三方C在和A通信时扮演B;和B通信时扮演A.A和B都与C协商了一个密钥,然后C就可以监听和传递通信量.中间人的攻击按如下进行: B在给A的报文中发送他的公开密钥. C截获并解析该报文.C将B的公开密钥保存下来并给A发送报文,该报文具有B的用户ID但使用C的公开密钥YC,仍按照好像是来自B的样子被发送出去.A收到C的报文后,将YC和B的用户ID存储在一块.类似地,C使用YC向B发送好像来自A的报文. B基于私有密钥XB和YC计算秘密密钥K1.A基于私有密钥XA和YC计算秘密密钥K2.C使用私有密钥XC和YB计算K1,并使用XC和YA计算K2. 从现在开始,C就可以转发A发给B的报文或转发B发给A的报文,在途中根据需要修改它们的密文.使得A和B都不知道他们在和C共享通信。

4、发展与优化
Oakley算法是对Diffie-Hellman密钥交换算法的优化,它保留了后者的优点,同时克服了其弱点. Oakley算法具有五个重要特征: 它采用称为cookie程序的机制来对抗阻塞攻击. 它使得双方能够协商一个全局参数集合. 它使用了现时来保证抵抗重演攻击. 它能够交换Diffie-Hellman公开密钥. 它对Diffie-Hellman交换进行鉴别以对抗中间人的攻击。

创作者:Eric· Charles

无糖可乐没有灵魂
关注
专栏目录
思科CISCO ASA 5555防火墙如何新增一条Ipsec隧道至深信服防火墙
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
03-17 282
(第一阶段,协商IKE
学习IPSec笔记总结(一)---------IPSec的基础知识
Zero_Knight的博客
03-05 5561
IPSecVPN(Internet Protocl Security):是一组基于网络层的,应用密码学的安全通信协议族。与TCP/IP协议簇一样,IPSec不是指具体的哪个协议,而是一个开放的协议簇。 IPSec协议的设计目标:是在IPV4和IPV6环境为网络层流量提供灵活的安全服务(综合了密码技术,和协议安全机制) IPSec PVN:是基于IPSec协议簇构建的在IP层实现的数据安全虚...
cisco ipsec动态加密配置
weixin_34378969的博客
04-23 662
Cisco路由器配置IPSCE动态加密 实验环境: A公司总部路由器A要和分支机构路由器B进行×××通信,采用三层IPSEC-×××,现由于分支机构采用DLINK ×××设备,无法设置IP,总部决定部署动态IPSEC加密,现拓扑如下:1.1.1.0/24模拟总部内部网络网段,2.2.2.0/24模拟分支机构内部网络网段。 1、总部配置: interface ...
Diffie-Hellman加密算法
irencewh的专栏
01-04 2328
http://www.jiamisoft.com/blog/index.php/3165-diffie-hellmanjiamisuanfa.html Diffie-Hellman加密算法 作者:xiaoge 发布于:2013-02-26 16:42  文章来源:夏冰加密软件技术博客    [导读] Diffie-Hellman加密算法在于需要安全通信的双方可以用这个
加密算法
qq_36673066的博客
08-14 458
加密算法: 对称加密:加密时用什么密钥解密时用同样的密钥,加密/解密速度特别快 对称加密算法:DES,3DES,AES 非对称加密:加密时用一种密钥,解密时用另一种密钥(密钥对,私钥/公钥)加密/解密速度慢 非对称加密算法:RSA,椭圆曲线 128位完整性算法:查看数据是否被改的 哈希算法:md5/sna 解析128位完整性算法 何为Diffie-Hellman算法? 何为数字证书...
Diffie-Hellman密钥交换
weixin_66955118的博客
01-13 495
Diffie-Hellman密钥交换
Diffie-Hellman密钥是如何交换的
qq_40870418的博客
12-18 1万+
Diffie-Hellman密钥交换(DH)[1]是一种在公共信道上安全交换加密密钥的方法,也是Ralph Merkle最初设计并以Whitfield Diffie和Martin Hellman命名的第一个公钥协议之一。[1] [2] DH是在密码领域实现的公钥交换最早的实际例子之一。 传统上,双方之间的安全加密通信要求他们首先通过一些安全的物理信道交换密钥,例如由可信赖的信使传送的
IPSEC安全传输总结------何为安全?如何保障企业的数据流安全传递?
ZhangPengFeiToWinner的博客
11-27 1万+
IPSEC(IP Secure) VPN:做一个安全的隧道。 什么是安全? 安全的黄金三角(机密性、完整性、认证&amp;lt;即合法性&amp;gt;) 另外还需要防止的一些不安全因素:防重放攻击、防间人攻击。 1&amp;gt; 机密性:对原始的数据进行改头换面,出来数据所发出的源和他要去往的目的地,其他人一概不能识别该数据。 实现机密性对应的两种算法: 对称加密算法:对于数据的加、解密使用的是同一把密钥。 ...
ipsec.conf(5) - Linux man pag 文翻译
bbjj的博客
05-09 1967
ipsec.conf(5) - Linux man page ****英文网址:https://linux.die.net/man/5/ipsec.conf Name (名称) ipsec.conf - IPsec配置和连接 Description (描述) 可自行配置的ipsec.conf文件为Openswan IPsec子系统指定了大多数配置和控制信息。(重大的例外是有关身份验证...
IPsec
IT界的无名小卒
02-28 949
上一篇文,向大家介绍VPN的类型和功能,其讲到了IPsecVPN加密模式。那么本文我们就来看一下IPsec是怎么对VPN数据进行加密的。本文内容同样摘自Cisco安全培训。 IPsec 技术 IPsec 是一种 IETF 标准 (RFC 2401-2412),定义了如何通过 IP 网络保护 VPNIPsec 为源与目的地之间的 IP 数据包提供保护和认证。IPsec 可以保护第 4 层至第 7 层的流量。 IPsec 使用 IPsec 框架,可提供以下重要安全功能: 保密性 - IPsec会使用加
防火墙——IKEIPSec2)
m0_49864110的博客
05-17 9112
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1DH算法生成密钥、IKE安全提议算法IPSec安全提议算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
交换机密码破解
qq_13633927的博客
12-16 1461
本文非原创,编写目的纯属是个人笔记,方便回览。   1.断电,按住 MODE 键 重启, 进入底层模式Switch:。   进入后 2. 初始化FLASH 系统文件  switch:flash_init switch: dir flash   --列出flash配置 3.其配置文件叫  config.text 先将它 改名 rename flash:/config...
IPSEC VXN简介
永远是少年
07-07 3145
今天来介绍一下IPSEC VPN的原理和基础知识,主要是面向0基础的同学,本文力图使用最简洁的论述,使同学们大体上对IPSEC VPN有所了解。关于IPSEC VPN的配置实现和其涉及到的各种密码学算法,可以关注哦呜博客的其他文章,相信您能够找到您所需要的内容。 一、IPSEC 概述 IPSEC,Internet Protocol Security,是基于互联网安全传输数据的一组协议的组合。IPSEC本质上只是一组为了实现安全的一组网络协议,但是由于IPSEC支持为数据包加上一层IP头封装,因此实现了私网
IPsec原理+实现 一文全介绍
最新发布
qingwangheni的博客
01-28 2320
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
IPsec技术介绍(转)
热门推荐
Better Me的博客
02-03 3万+
目  录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过程 IKEIPsec的作用 IPsecIKE的关系 IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,
IPSEC详解
qq_45782298的博客
05-05 3万+
1、什么是IPSec IPSec(Internet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一些列协议,它为IP数据包提供了高质量的、基于密码学的安全传输特性。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。 私有性:指对用户数据进行加密,用密文形式进行传送。 完整性:指对接收的数据进行认证,以判定报文是否被篡改。 防重放:指防止恶意用户通过重复发送捕获到的数据包进行攻击
关于IPSec 的分析
嚴 帅的博客
03-05 2497
简介: IPsec是一组基于网络层的,应用密码学的安全通信协议族,它不是具体的哪个协议,而是一个开放的协议族。 作用:在IPv4和IPv6环境为网络层流量提供灵活的安全服务。 IPsec VPN:是基于IPsec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包插入头部来保证OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 VPN只是IPsec协议...
加密流量协议(1)--IPSec协议介绍
zx113187的博客
04-01 1771
互联网安全协议(Internet Protocol Security,IPSec)是一种网络层安全协议,主要用于保护IP通信的机密性、完整性以及身份验证。它是一种公认的安全协议,广泛应用于加密通信与其他安全网络连接,如Cisco VPN、Microsoft DirectAccess等网络服务都是采用的IPsec协议。报文首部认证协议(AH)提供数据完整性校验和身份认证功能,还可以防止重放攻击(Replay Attacks)。封装安全荷载协议(ESP)
ipsec 详解
qq_40390383的博客
09-01 3万+
目录 加密算法 对称加密算法 非对称加密算法 DH算法 RSA 公钥+私钥 (成对出现) IPsec IPSec VPN简介 ipsec的工作模式 IPsec通信协议 1、AH协议(Authentication Header,认证报头) 2、ESP协议 IPSec vpn建立 IKE Ipsec数据传递图 对于ipsec vpn 最重要的是安全 安全 三要素 安...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无糖可乐没有灵魂

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值