IPSec,对IP数据进行加密或认证,使用IKE协商,使用ESP和AH封装保证数据传输的安全性
IPSec使用三种协议:IKE(互联网密钥交互协议)、ESP(封装安全负载协议)、AH(认证头部)
IPSec ***:作为一种开放标准的框架结构,保证在IP网络上传送数据的安全保密性的三层安全协议体系
IPSec ***如何保证数据传送的安全性:
私密性:使用对称加密算法和非对称加密算法(利用加密算法对数据进行加密)
完整性:使用hash散列函数(用公钥对密文的密钥进行加密)
源认证:数字签名(用私钥进行加密,对方用公钥进行解密)
不可否认性:数字证书(第三方机构颁发)
对称加密算法:DES(56bit)、3DES(168bit)、AES(128 192 256bit)
非对称加密算法:RSA、DH(IPSec)、EC(手机PDA等移动设备)
hash函数:认证算法(MD5(128bit)、SHA(160bit)), 特点:不可逆性、雪崩效应、不等长的输入等长的输出、冲突避免(尽量使用SHA-1)
数字签名:将数据使用hash认证算法计算得到hash值,将hash值使用非对称算法中私钥加密
IKE协议IPsec中的相关参数分为3阶段:
第1阶段:ISAKMP 协商,进行ISAKMP中SA的协商
第1.5阶段:认证(对使用×××用户的身份进行检测,是否授权)
第2阶段:IPSEC SA的协商. 协商IPsec中的相关信息(SA 安全关联信息)
在site-to-site ×××中仅仅包含了第1 和 第2 阶段
在remote-access ×××中包括了所有三个阶段
实施IPSEC ×××:
1.保证路由通信(双方site之间的公有IP地址时是可以互访)
2.定义感兴趣流量(针对某些流量使用IPSEC 传递)
3.IKE 第一阶段,ISAKMP SA协商
4.IKE 第二阶段,IPSEC SA协商
5.将感兴趣流量、ISAKMP IPSEC SA等信息关联至crypto-map,在连接外网 的接口上调用
6.终止IPSEC ×××