當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

ipsec *** 的总结性谈论

發布時間：2025/3/15 编程问答 34 豆豆

生活随笔收集整理的這篇文章主要介紹了 ipsec *** 的总结性谈论小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

? ?????? IPSec （IP Security ）協議族是 IETF 制定的一系列協議，它為 IP 數據報提供了高質量的、可互操作的、基于密碼學的安全性。特定的通信方之間在 IP 層通過加密與數據源驗證等方式，來保證數據報在網絡上傳輸時的私有性、完整性、真實性和防重放。

ipsec通過AH和ESP兩種協議實現上述目標，當然為了簡化IPSec 的使用和
管理，IPSec 還可以通過 IKE （Internet Key Exchange ，因特網密鑰交換協議）進行自動協商交換密鑰、建立和維護安全聯盟的服務。

IPSEC 操作模式有兩種：一是傳輸模式，一種是隧道模式。采用的驗證。二者區別在于數據報中是否會生成新的ip報頭。

IPSEC的驗證算法：

? MD5：MD5通過輸入任意長度的消息，產生128bit 的消息摘要。?
? SHA-1 ：SHA-1 通過輸入長度小于2 的64次方比特的消息，產生 160bit 的消息摘要。
?SHA-1 的摘要長于MD5，因而是更安全的。

加密算法：

?? DES：使用56bit的密鑰對一個64bit的明文塊進行加密。?
?? 3DES ：使用三個56bit的DES密鑰（共 168bit 密鑰）對明文進行加密。
無疑，3DES 具有更高的安全性，但其加密數據的速度要比DES慢得多。

(1) AH 協議
AH是報文頭驗證協議，主要提供的功能有數據源驗證、數據完整性校驗和防報文重
放功能；然而，AH并不加密所保護的數據報。
(2) ESP 協議ESP是封裝安全載荷協議。它除提供 AH協議的所有功能外（但其數據完整性校驗不包括IP 頭），還可提供對 IP 報文的加密功能。? （AH和ESP 可以單獨使用，也可以同時使用）

????? IKE簡介

? IPSec 的安全聯盟可以通過手工配置的方式建立，但是當網絡中節點增多時，手工
配置將非常困難，而且難以保證安全性。這時就要使用IKE（Internet Key Exchange ，
因特網密鑰交換）自動地進行安全聯盟建立與密鑰交換的過程。?
?? IKE 協議是建立在由 Internet 安全聯盟和密鑰管理協議 ISAKMP （Internet Security
Association and Key Management Protocol）定義的框架上。它能夠為IPSec 提供
了自動協商交換密鑰、建立安全聯盟的服務，以簡化IPSec 的使用和管理。
?? IKE 具有一套自保護機制，可以在不安全的網絡上安全地分發密鑰、驗證身份、建
立IPSec 安全聯盟。

IKE的安全機制：

1、DH（Diffie-Hellman）交換及密鑰分發。

2、完善的前向安全性（Perfect Forward Secrecy ，PFS ）。

3、身份驗證。

4、身份保護。

IKE的交換階段：

一：IKE SA的建立。

二：ipsec SA 的建立。

安全聯盟的簡介：

安全聯盟是IPSec 的基礎，也是IPSec 的本質。SA是通信對等體間對某些要素的
約定，例如，使用哪種協議（AH、ESP還是兩者結合使用）、協議的操作模式（傳
輸模式和隧道模式）、加密算法（DES和3DES ）、特定流中保護數據的共享密鑰
以及密鑰的生存周期等。
安全聯盟是單向的，在兩個對等體之間的雙向通信，最少需要兩個安全聯盟來分別
對兩個方向的數據流進行安全保護。同時，如果希望同時使用 AH和ESP 來保護對
等體間的數據流，則分別需要兩個SA，一個用于 AH，另一個用于ESP。
安全聯盟由一個三元組來唯一標識，這個三元組包括SPI（Security Parameter
ndex ，安全參數索引）、目的 IP 地址、安全協議號（AH或ESP）。SPI 是為唯一
標識SA而生成的一個 32比特的數值，它在AH和ESP 頭中傳輸。

安全聯盟具有生存周期。生存周期的計算包括兩種方式：?
?? ?? 以時間為限制，每隔指定長度的時間就進行更新；?
???? ?以流量為限制，每傳輸指定的數據量（字節）就進行更新。?

安全聯盟的協商方式：
????? 安全聯盟的協商方式有兩種，一種是手工方式（manual），一種是IKE 自動協商（isakmp ）方式。手工協商方式配置比較復雜，創建安全聯盟所需的全部信息都必
須手工配置，并且不支持IPSec 的一些高級特性（例如定時更新密鑰）；優點是可
以不依賴IKE 而單獨實現 IPSec 功能。IKE 自動協商方式相對比較簡單，只需要配
置好IKE 協商安全策略的信息，由 IKE 自動協商來創建和維護安全聯盟。
當與進行通信的對等體設備數量較少時，或是在小型靜態環境中，手工
配置安全聯盟是可行的。對于中、大型的動態網絡環境中，推薦使用IKE 協商建立
安全聯盟。

有興趣的朋友可以自己再對某些不清楚的地方查找資料。

轉載于:https://blog.51cto.com/xiaogang6/748861

總結

以上是生活随笔為你收集整理的ipsec *** 的总结性谈论的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：配置 Syslog 守护程序
下一篇：一周以来的工作总结--oracle分区的