1. IPSEC VPN
ipsec是一种基于网络层,应用密码学的安全通信协议族,目的是在网络环境ipv4,ipv6提供灵活的安全传输服务
ipsec vpn 基于ipsec构建在IP层实现的安全虚拟专用网
2. IPSEC的安全服务
1> 机密性
2> 完整性
3> 数据源鉴别
4> 重传保护
5> 不可否认性
3.IP协议的技术协议架构
ipsec有两个安全封装协议
1> ESP
a. 加密算法
b. 鉴别算法
机密性,完整性。可用性
2> AH
a. 鉴别算法
完整性 可用性
b. 密钥管理与分发协议
架构
IKE
a. 协商工作协议以及工作模式 ESP AH
b. 协商加密和鉴别算法
c. 密钥参数的协商--密钥产生算法,密钥有效期,密钥分发者身份认证,密钥长度,认证算法
两种工作模式
a. 传输模式
b. 隧道模式
两个通信协议
a. ESP 封装安全载荷
b. AH 鉴别头
密钥管理协议
a. IKE
阶段1
1. 主模式
2. 野蛮模式
阶段2
1. 快速模式
两个数据库
a. 安全策略数据库 SPD
b. 安全管理数据库 SAD
解释域
负责运行
传输模式
使用场景
主机之间端到端安全通信’
通信问题已经解决,需要IP SEC 解决安全问题
封装结构
隧道模式
使用场景
私网之间的安全通信
通信问题已经解决,需要ipec解决安全问题
封装结构
如果遇到既有安全也有通信问题的场景
a. 用ipsec的隧道模式
b. 用其他隧道协议+ ipsec的传输模式
AH
鉴别头 协议号51
安全服务
数据源认证---通过计算机验证码时加入一共享密钥来实现,和ospf的认证类似
数据抗重放---AH 包头中的序列号
数据完整性---hash算法,校验hash值来实现
没有机密性,没有使用加密算法
传输模式
隧道模式
AH头部结构
做认证时候对于易变值是不做认证的,IP包中TTL和TOS是不参与认证的
ESP
协议号50
安全服务
数据完整性
数据源认证
数据抗重做
数据机密性
数据流保护
传输模式
隧道模式
ESP头部结构
安全联盟
SA----- security association是通信对等体之间对某些要素的约定,通信双方符合SA约定的内容,就可以建立SA
SA的标识:安全参数索引 目的IP地址 安全协议号
有了SA之后对等体就可以进行安全通信了,SA 怎么建立
a. 静态
b. 动态
3421
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
