首页 > 其他分享 >ipsec详解

ipsec详解

时间:2022-12-08 16:35:07浏览次数:45  
标签:加密 主机 详解 密钥 ipsec 数据包 加密算法 IPSec

​IPSec(互联网协议安全)是一个安全网络协议套件,用于保护互联网或公共网络传输的数据。IETF在 1990 年代中期开发了 IPSec 协议,它通过 IP网络数据包的身份验证和加密来提供 IP 层的安全性。

信息加密算法

信息加密就是使用加密算法,重新组织信息,常用的加密算法分为两类:对称加密和非对称加密。区别是对称加密的加解密秘钥相同,非对称加密的加解密秘钥不同。

对称加密算法比较

名称 秘钥长度 运算速度 安全性 资源消耗
DES 56位 较快
3DES 112位,168位
AES 128位,192位,256位

非对称加密算法比较

名称 成熟度 安全性 运算速度 资源消耗
RSA
DSA 只能用于数字签名
ECC

对称与非对称加密的比较

名称 秘钥管理 安全性 运算速度
对称算法 比较难,不适合互联网,一般用于内部系统 快好几个数量级(软件加解密速度至少快100倍,每秒可以加解密数M比特数据),适合大数据量的加解密处理
非对称算法 密钥容易管理 慢,适合小数据量加解密或数据签名

 

IPSec简介

IPSec 可为通信两端设备提供安全通道,比如用于两个路由器之间以创建点到点 VPN,以及在防火墙和 Windows 主机之间用于远程访问 VPN等。IPSec可以实现以下四项功能:

数据机密性:IPSec发送方将包加密后再通过网络发送,可以保证在传输过程中,即使数据包遭截取,信息也无法被读取。

数据完整性:IPSec可以验证IPSec发送方发送过来的数据包,以确保数据传输时没有被改变。若数据包遭篡改导致检查不相符,将会被丢弃。

数据认证:IPSec接受方能够鉴别IPSec包的发送起源,此服务依赖数据的完整性。

防重放:确保每个IP包的唯一性,保证信息万一被截取复制后不能再被重新利用,不能重新传输回目的地址。该特性可以防止攻击者截取破译信息后,再用相同的信息包获取非法访问权。

IPSec的构成

IPSec 不是一个协议,而是一套协议,以下构成了 IPSec 套件:

AH协议(认证头协议)

AH(Authentication Header)指一段报文认证代码,确保数据包来自受信任的发送方,且数据没有被篡改,就像日常生活中的外卖封条一样。在发送前,发送方会用一个加密密钥算出AH,接收方用同一或另一密钥对之进行验证。然而,AH并不加密所保护的数据报,无法向攻击者隐藏数据。

 

 

ESP协议 (封装安全负载协议)

ESP(Encapsulating Security Payload)向需要保密的数据包添加自己的标头和尾部,在加密完成后再封装到一个新的IP包中。ESP还向数据报头添加一个序列号,以便接收主机可以确定它没有收到重复的数据包。

SA协议

安全关联(SA)是指用于协商加密密钥和算法的一些协议,提供AH、ESP操作所需的参数。最常见的 SA 协议之一是互联网密钥交换 (IKE)密钥管理协议,协商将在会话过程中使用的加密密钥和算法。

 

 

IPSec 是如何工作的?

IPSec 的工作方式涉及五个关键步骤,如下:

 

 

1、主机识别:主机识别数据包是否需要保护,使用 IPSec 进行传输时,这些数据包流量会自己触发安全策略。主机还会检查传入的数据包是否正确加密。

2、IKE 阶段 1:主机使用 IPSec 协商将用于安全通道的策略集,双方验证完成后,在它们之间建立一个安全通道,用于协商 IPSec 电路加密或验证通过它发送的数据的方式。

3、IKE 阶段 2:通过安全通道进行,在该通道中,两台主机协商在会话中使用的加密算法类型,主机还同意并交换双方计划用于进出流量的加密和解密密钥。

4、IPSec 传输:通过新创建的 IPSec 加密隧道交换数据,之前设置的 IPSec SA 用于加密和解密数据包。

5、IPSec 终止:当主机之间的会话超时或通信完成时,通信双方之间的隧道在空闲时间达到一定值后会自动删除。

 

标签:加密,主机,详解,密钥,ipsec,数据包,加密算法,IPSec
From: https://www.cnblogs.com/longlyseul/p/16966471.html

相关文章

  • ThreadLocal 详解
    ThreadLocal详解ThreadLocal简介ThreadLocal叫做线程变量,意思是ThreadLocal中填充的变量属于当前线程,该变量对其他线程而言是隔离的,也就是说该变量是当前线程独有的变量......
  • 详解从无人机倾斜实景三维建模→模型修复→成果网络发布展示分享全流程
    工具软件:1、倾斜实景三维建模软件:CC(Smart3D)软件2、实景三维模型网页在线发布展示、分享平台:图新地球网页端(Wish3D·Earth平台) 图新地球网页端(Wish3D·Earth平台)是基......
  • iOS app上架app store流程详解​
     前提条件​在有效期内的苹果开发者账号(类型为个人或者公司账号)。还有一种情况,就是你的AppleID被添加到公司开发者账号团队里面,这样也是可以的,但是需要叫管理员给你开......
  • 模拟地与数字地详解
    转自https://blog.csdn.net/kevinhg/article/details/12080751 二者本质是一直的,就是数字地和模拟地都是地。要明白为什么要分开,先听一个故事;我们公司的商务楼,2楼是搞......
  • iOS AppStore上架流程图文详解​
     1、首先得注册AppleDeveloper的开发者账号,最后如果要上架苹果商店,这个账号是要交年费的,核算下来大概600多元人民币。​2、接下来要登录AppleDeveloper网站,点击“Acco......
  • iOS AppStore上架流程图文详解​
    1、首先得注册AppleDeveloper的开发者账号,最后如果要上架苹果商店,这个账号是要交年费的,核算下来大概600多元人民币。​2、接下来要登录AppleDeveloper网站,点击“Account”......
  • git详解
    文章目录​​一、git​​​​1.git简介​​​​2.git安装​​​​3.设置git个人信息​​​​4.gitbash基本用法​​​​二、gitee配置​​​​1.自行注册gitee账号​......
  • vmstat命令详解
     vmstat命令可以干啥?可以查看内存能使用情况,IO情况、上下文切换次数、CPU情况等。1.基础命令:vmstat2.其他用法:vmstat[-a][-n][-Sunit][delay[coun......
  • 计算机存储器之容量计算详解
    OverridetheentrypointofanimageIntroducedinGitLabandGitLabRunner9.4.Readmoreaboutthe extendedconfigurationoptions.Beforeexplainingtheav......
  • [转]MySQL数据类型详解
    原文地址:https://www.cnblogs.com/lteal/archive/2013/03/04/2943061.htmlMySQL数据类型,可以被分为3类:数值类型、日期和时间类型以及字符串(字符)类型 方括号(“[”和......