今天来介绍一下IPSEC VXN的原理和基础知识,主要是面向0基础的同学,本文力图使用最简洁的论述,使同学们大体上对IPSEC VXN有所了解。关于IPSEC VXN的配置实现和其中涉及到的各种密码学算法,可以关注哦呜博客的其他文章,相信您能够找到您所需要的内容。
一、IPSEC 概述
IPSEC,Internet Protocol Security,是基于互联网安全传输数据的一组协议的组合。IPSEC本质上只是一组为了实现安全的一组网络协议,但是由于IPSEC支持为数据包加上一层IP头封装,因此实现了私网目的地址数据包在互联网上的传输,因此就可以利用IPSEC来实现VXN的相关功能。
IPSEC支持以下功能:
1、数据源认证
2、数据加密
3、数据完整性验证
4、抗重放攻击。
二、IPSEC实现
IPSEC包括两种协议,两种模式。
两种协议是指AH(authentication header)认证头协议和ESP(encapsulation security payload)封装安全载荷协议。AH协议可以提供数据来源认证和完整性校验ESP协议除了支持数据来源认证和完整性校验外,还支持数据加密。使用AH协议会产生一个AH头,该AH头会加载到IP头和传输层头之间。而ESP协议会产生ESP头和ESP尾,ESP头插入方式与AH头一致,ESP尾会插入到数据帧尾前。
两种模式是传输模式和隧道模式,在传输模式中,AH头或者ESP头加载到IP头和传输层头之间,而在隧道模式中,AH头和ESP头先加载到IP头前面,然后再在AH头或者是ESP头前面加载上新的AH头或者是ESP头,之后在网络中进行传输。传输模式下和隧道模式下报文封装如下:
三、附录——IPSEC 算法和协议简介
IPSEC本身应用了很多的密码学相关算法,因此在很多大学的课程中,把IPSEC的相关内容作为密码学课程学习的一部分。在本文的最后,简单介绍一下IPSEC中的密码学协议和算法,主要是面向密码学0基础同学,大家有什么想要学习的知识也可以在评论区交流。
(一)加密算法
加密是指将一段明文信息通过某种方式的变换转变成密文信息。这种转换要依托于一个关键信息——密钥。依据现代密码学理论,加密算法的安全性应该全部在密钥上。也就是说,针对目前普遍的商用加密算法,其算法本身是公开的,但是只要加密密钥不对外公开,那么信息传递本身就是安全的。
加密算法根据加解密密钥的不同可以分为对称密码算法和非对称密码算法。在对称密码算法中,加密密钥和解密密钥都是一样的。而在非对称密码算法中,加密密钥和解密密钥又有所不同。对称密码算法的优势在于加解密速度比较快,而非对称加密算法的优势在于基于其特殊的机制,可以实现很多特殊的功能,就必须下面要介绍的数据验证和密钥传输。
典型的对称密码算法有DES、3DES和AES,典型的非对称加密算法有RSA、ECC、Elgamal。
(二)认证算法
就如同在现实场景中,我们使用签名作为一种验证手段,在网络世界里,同样存在一种数字签名技术。在现实世界中,当一个人对一份文件或者协议签名之后,是具有法律效力的,这是因为别人无法伪造他人的签名,而在网络世界中,数字签名具有同样的效果——他人无法伪造。
数字签名通常是基于前面提到的非对称加密算法。在非对称加密算法中,我们把加密用的密钥要做公钥,把解密用的密钥叫做私钥。但是如果我们把公钥和私钥反过来使用,私钥就可以对数据进行签名,公钥可以对数据进行加密。一般情况下,私钥是只有自己才保有的一段信息,而公钥是公开的一段信息。通过私钥进行数字签名后,会生成另一段信息,而其他人因为有着公开发行的公钥,就可以通过公钥验证该信息是否是私钥持有者生成的。而当数据内容发生变化时,通过一定的算法,就可以检测到该变化。
(三)密钥传输协议
密钥传输协议IKE协议,可以在不安全的网络中传输一个密钥。换句话说,假设A要和B通信,那么A和B首先要拥有一个会话密钥,然而如果网络中存在一个窃听者C,C可以获取到A和B所有的信息,那么A和B在传递会话密钥的时候就会被C获知,这样A和B后续的通信就是不安全的了。IKE协议可以使得A和B互相交换一些信息,然后各自算出相同的密钥,而C即使获得了公开的信息,也无法还原出他们的密钥。密钥传输协议用到了较为高深的数学知识,在这里就不过多介绍了。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/118558913
8933
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
