1.什么是数据认证,有什么作用,有哪些实现的技术手段?
数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的安全性、完整性。
使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。 简单来说就是保障你的在网上交易的安全。
预主密钥, 共享密钥,HMAC认证密钥,初始化向量
2.什么是身份认证,有什么作用,有哪些实现的技术手段?
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数
什么是VPN?
VPN使专用网络能够与公共和共享网络的计算资源进行通信。VPN连接由数据加密保护,其中数据通过称为VPN Tunnel的屏蔽路径在设备和网络之间流动,这可确保业务关键型客户数据保留在网络中。
ipsec的安全服务
- 机密性
- 完整性
- 数据源鉴别
- 重传保护
- 不可否认行
IPSEC的技术协议族架构
- ESP
- AH
架构
IKE的作用是什么?
建立安全联盟有俩种,一种是静态,一种是动态。如果需要建立安全联盟的节点较多时静态手工配置将 会非常困难,也容易出错,并且安全低。可以使用动态的方式进行协商来解决,IKE internet key exchange自动协商安全联盟建立密钥交换过程。
ike用途
为ipsec通信双方,动态的建立安全联盟SA,对SA进行管理与维护。
为ipsec生成密钥,提供AH/ESP加解密和验证使用
- 协商封装协议以及工作模式 esp ah
- 协商加密和鉴别算法
- 密钥参数的协商---密钥产生算法、密钥有效期、密钥分发者身份认证、密钥长度、认证算法
- 传输模式
- 隧道模式
- ESP encapsulation security header 封装安全载荷
- AH authenticition header 鉴别头
- 阶段1
- 阶段2
俩个数据库
- 安全策略数据库 SPD
- 安全管理数据库 SAD
解释域
ipsec在NAT环境下会遇到什么问题?
NAT会破坏IPSEC的完整性。
具体场景:当我们ipsec设备没有部署在企业边界,而是部署企业内网时,ipsec的通信地址会被边界 NAT设备做地址转换,这种情况下,需要考虑NAT与IPSEC的兼容性。
ESP头部