数据在公共网络上传输的挑战:1)不加密:明文传递
2)完整性:数据易被篡改
3)对等体认证:易面对中间人攻击
4)anti抵赖:(来自电子商务)
解决的问题:1.对等体认证:数据发送前必须经过认证,是通过数字证书,加密随机数,口令认证
2.数据加密:des、2des、aes
3.数据完整性保护:HMAC、哈希消息、认证码
4.数字签名:防止抵赖,DSA(RSA公司开发)
key:
定义 | 工具,扮演口令 | 明文 |
密文 | ||
变量 | 加密算法 | |
完整性保护 | ||
对称密钥加密算法 des 3des aes 加密解密所用密钥同一把 | 优点:简单高效 | |
缺点:不够安全,key的共享存在风险 | ||
非对称密钥加密算法 RSA→DSA | 公钥:公开交换 | |
私钥:非公开非交换 公钥加密,私钥解密 | 优点:安全可靠 | |
缺点:过于复杂,加密后数据变得庞大 |
数据加密依赖对称密钥加密算法,密钥公开依赖非对称密钥
机制:
对等体认证 | 口令认证 × |
加密随机数/带外 × | |
rsa数字证书(成本高) × | |
密钥产生共享 DH算法 | |
完整性保护算法 | sha 512bit |
hash 128bit |
关键组件:isakmp:isa通讯双方建立了安全连接就叫一个sa成功了,ipsec vpn的sa有两个,一个保护vpn,一个保护数据,
kmp密钥管理协议:是通过ike完成,专门负责产生密钥,共享密钥的互联网密钥交换机制
阶段:阶段1产生和共享vpn自身所需的密钥,阶段2利用阶段1的密钥算出新密钥,用于保护用户数据
Ipsec vpn模式:隧道模式:vpn网关通过一个隧道模式的vpn链接,保护身后所有的通讯数据
传输模式:通讯双方自身建立vpn连接,保护通讯数据
注:两种模式包头区别
隧道模式:新包头目的ip和源ip是vpn对等体地址
传输模式:新包头目的ip和源ip复制了原有ip地址
补:esp和AH解释:都是vpn头部缩写
帧头、包头、段头、数据、帧尾
数据经历了vpn保护后变化如下:
帧头、包头、vpn头、段头、数据、帧尾
esp:封装安全净荷,负责保护数据完整性,同时加密数据
AH:认证头,该头只负责保护数据完整性,不加密数据