IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu),在IP層通過加密和數(shù)據(jù)摘要等手段,來保證數(shù)據(jù)包在internet網(wǎng)上傳輸時(shí)的私密性,完整性和真實(shí)性。
IPSec只能在IP層工作,要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議。
私密性:
IPSec通過加密把數(shù)據(jù)從明文變成無法讀懂的密文,從而確保數(shù)據(jù)的私密性。
完整性:
IPSec通過對數(shù)據(jù)進(jìn)行hash運(yùn)算,產(chǎn)生類似于指紋的數(shù)據(jù)摘要,以保證數(shù)據(jù)的完整性。
安全性:
攻擊者篡改數(shù)據(jù)后,可根據(jù)修改后的數(shù)據(jù)生成新的,掩蓋自己的攻擊行為,通過把數(shù)據(jù)和密鑰一起進(jìn)行hash運(yùn)行,可以有效抵御上訴攻擊。
傳遞密鑰的方式通過DH算法。
真實(shí)性:
數(shù)據(jù)從對端發(fā)出,通過身份認(rèn)證可以確保數(shù)據(jù)的真實(shí)性,常用的身份認(rèn)證方式包括:
pre-shared key 預(yù)共享密鑰
RSA Signatur 數(shù)字簽名
預(yù)共享密鑰:
是指通信雙方在配置時(shí)手工輸入相同的密鑰
數(shù)字簽名:
RSA密鑰對,一個(gè)是可以向大家公開的公鑰,另外一個(gè)是自己知道的私鑰。
用公鑰加密過的數(shù)據(jù)只有對應(yīng)的私鑰才能解開,使用私鑰也是一樣的道理
數(shù)字證書中存儲了公鑰,以及用戶名等身份信息。