返回
IPSec VPN详解(深入浅出简单易懂).doc

IPSec VPN详解(深入浅出简单易懂).doc

ID:20467392

大小:3.39 MB

页数:32页

时间:2018-10-10

IPSec VPN详解(深入浅出简单易懂).doc_第1页
IPSec VPN详解(深入浅出简单易懂).doc_第2页
IPSec VPN详解(深入浅出简单易懂).doc_第3页
IPSec VPN详解(深入浅出简单易懂).doc_第4页
IPSec VPN详解(深入浅出简单易懂).doc_第5页
资源描述:

《IPSec VPN详解(深入浅出简单易懂).doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、IPSecVPN详解1.IPSec概述IPSec(ipsecurity)是一种开放标准的框架结构,特定的通信方之间在IP层通过加密和数据摘要(hash)等手段,来保证数据包在Internet网上传输时的私密性(confidentiality)、完整性(dataintegrity)和真实性(originauthentication)。IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议1.1.通过加密保证数据的私密性★私密性:防止信息泄漏给未经授权的个人★通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性1.2.对数据进行hash运算来保证完整性★完整性:数据没有被非法篡

2、改★通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整性对数据和密钥一起进行hash运算★攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的攻击行为。★通过把数据和密钥一起进行hash运算,可以有效抵御上述攻击。DH算法的基本原理1.1.通过身份认证保证数据的真实性★真实性:数据确实是由特定的对端发出★通过身份认证可以保证数据的真实性。常用的身份认证方式包括:             Pre-sharedkey,预共享密钥             RSASignature,数字签名1.1.1.预共享密钥预共享密钥,是指通信双方在配置时手工输入相同的密钥。

3、1.1.1.数字证书★RSA密钥对,一个是可以向大家公开的公钥,另一个是只有自己知道的私钥。★用公钥加密过的数据只有对应的私钥才能解开,反之亦然。★数字证书中存储了公钥,以及用户名等身份信息。1.IPSec框架结构1.1.IPSec安全协议IPSec安全协议描述了如何利用加密和hash来保护数据安全★AH(AuthenticationHeader)网络认证协议,只能进行数据摘要(hash),不能实现数据加密ah-md5-hmac、ah-sha-hmac★ESP(EncapsulatingSecurityPayload)封装安全载荷协议,能够进行数据加密和数据摘要(hash) esp-des

4、、esp-3des、esp-md5-hmac、esp-sha-hmac1.2.IPSec封装模式IPSec支持两种封装模式:传输模式和隧道模式◆传输模式:不改变原有的IP包头,通常用于主机与主机之间。◆隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。1.IPSec与NAT1.1.AH模式AH模式无法与NAT一起运行,因为AH对包括IP地址在内的整个IP包进行hash运算,而NAT会改变IP地址,从而破坏AH的hash值。1.2.ESP模式◆只进行地址映射时,ESP可与NAT一起工作。◆进行端口映射时,需要修改端口,而ESP已经对端口号进行了加密和/或hash,所以将无法进

5、行。◆启用IPSecNAT穿越后,会在ESP头前增加一个UDP头,就可以进行端口映射。1.IPSec安全通道协商过程◆需要保护的流量流经路由器,触发路由器启动相关的协商过程。◆启动IKE(Internetkeyexchange,密钥管理协议)阶段1,对通信双方进行身份认证,并在两端之间建立一条安全的通道。◆启动IKE阶段2,在上述安全通道上协商IPSec参数。◆按协商好的IPSec参数对数据流进行加密、hash等保护。1.1.IKE密钥交换协议Internet密钥交换(IKE)解决了在不安全的网络环境(如Internet)中安全地建立或更新共享密钥的问题。IKE是非常通用的协议,不仅可为I

6、Psec协商安全关联,而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。一、IKE的作用当应用环境的规模较小时,可以用手工配置SA;当应用环境规模较大、参与的节点位置不固定时,IKE可自动地为参与通信的实体协商SA,并对安全关联库(SAD)维护,保障通信安全。二、IKE的机制IKE属于一种混合型协议,由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式。IKE使用了两个

7、阶段的ISAKMP:第一阶段,协商创建一个通信信道(IKESA),并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务;第二阶段,使用已建立的IKESA建立IPsecSA。 IKE共定义了5种交换。阶段1有两种模式的交换:对身份进行保护的“主模式”交换以及根据基本ISAKMP文档制订的“野蛮模式”交换。阶段2交换使用“快速模式”交换。IKE自己定义了两种交换:1为通信各方间协商一个新的Di

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。