优点:
1.在网络层进行安全加密,便于公司和公司的信息传输的加密构建v*n
2.密钥协商的开销减少,只需要在公司出口的路由器上配置即可,不需要每个用户都做协商。
3.需要改动的应用程序很少,
缺点:
很难解决“抗抵赖”之类的问题。(A冒充B给对端发送数据)
有两个安全协议ESP协议和AH协议,在协议中涉及到加密算法和鉴别算法,在算法中涉及到密钥问题,故有密钥管理。IPsec 支持不同 的用户使用不同的策略。
AH:authentication Header 验证头部
完整性校验算法:MD5、SHA
身份认证:证书、签名、域共享的密码、
ESP:encapsulation security payload 封装安全负载
机密性:数据加密算法:(MD5、RSA、DES)
SA:security association 安全联盟
ISAKMP:定义了密钥管理框架
IKE 是目前正式确定用于IPsec的密钥交换协议(可以看做是ISAKMP的高版本)
两种模式:传输模式和隧道模式
简介:
SPI:security parameter index 安全参数索引
标识此包使用的算法、密钥进行加密处理。
sequence number:序列号
authentication data(variable):可变长度的数据验证
封装后的具体的包格式,IPsec的封装部分就是AH的封装部分。
对于发送出的包的处理构造AH
对于接收到的包的处理
SPI:security parameter index 安全参数索引
标识此包使用的算法、密钥进行加密处理。
sequence number:序列号
payload Data(variable):可变数据的负载部分
authentication data(variable):可变长度的数据验证
padding(0-255bytes):填充数据部分
Pad length:填充信息的长度
Next Header:下一个头部信息
对于发送出去的包的处理
对于接收到的包(inbound Packet)的处理:
SA 与IPsec 系统中实现的两个数据库有关
安全策略数据库(SPD)
安全关联数据库(SAD)
密码和密钥放在这两个数据库中,数据库只有双方知道其他人不知道,在调用的时候通过标号来调用。
R1和R2需要建立IPsec连接,
收发双方需要协商的方式确立安全策略数据库,安全策略中需要指定的身份认证的方法(证书或者是域共享密码),实现IPsec的过程中,既使用AH协议有用ESP协议,确定协议的切换时间,加密的方式是DES,以及切换加密协议的时间。
确立算法和密钥的数据库,
IKE协议
SAKMP:I Internet security association and key management protocol
第一阶段:建立ISAKMP SA —— IKE SA
第二阶段:建立起针对其他安全协议的SA —— IPsec SA
IP安全协议:AH、ESP 数据加密标准: DES,3DES 公共密钥密码协议:Diffie-Hellman(DH) 散列算法(完整性):MD5,SHA-1 公钥加密算法:RSA Internet密钥交换:IKE 证书授权中心:CA