IPSec VPN详解
1. IPSec概述
IPSec(ip security)是一种开放标准的框架结构,特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段,来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。 IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议
1.1. 通过加密保证数据的私密性
★私密性:防止信息泄漏给未经授权的个人
★通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性
1.2. 对数据进行hash运算来保证完整性
★完整性:数据没有被非法篡改
★通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整性
对数据和密钥一起进行hash运算
★攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的攻击行为。 ★通过把数据和密钥一起进行hash运算,可以有效抵御上述攻击。
DH算法的基本原理
1.3. 通过身份认证保证数据的真实性
★真实性:数据确实是由特定的对端发出
★通过身份认证可以保证数据的真实性。常用的身份认证方式包括: Pre-shared key,预共享密钥 RSA Signature,数字签名
1.3.1. 预共享密钥
预共享密钥,是指通信双方在配置时手工输入相同的密钥。
1.3.2. 数字证书
★RSA密钥对,一个是可以向大家公开的公钥,另一个是只有自己知道的私钥。 ★用公钥加密过的数据只有对应的私钥才能解开,反之亦然。 ★数字证书中存储了公钥,以及用户名等身份信息。
2. IPSec框架结构
2.1. IPSec安全协议
IPSec安全协议描述了如何利用加密和hash来保护数据安全
★AH (Authentication Header) 网络认证协议,只能进行数据摘要(hash) ,不能实现数据加密
ah-md5-hmac、ah-sha-hmac
★ESP (Encapsulating Security Payload) 封装安全载荷协议,能够进行数据加密和数据摘要(hash)
esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac
2.2. IPSec封装模式
IPSec支持两种封装模式:传输模式和隧道模式
◆传输模式:不改变原有的IP包头,通常用于主机与主机之间。
IPSecVPN详解(深入浅出简单易懂)讲解
