1.ip
sec介紹
ipsecurity
是一套完整的加密系統
ipsec-vpn提供三個特性:
authentication 每乙個ip包的認證
data integrity 驗證資料完整性,保證在傳輸過程中沒有被人為改動
confidentiality(私密性)資料報的加密
2.ipsec組成
ipsec協議集包括三個協議:
①internet keyexchange(ike)密匙交換協議
在兩個對等體之間建立一條遂道來完成金鑰交換,協商完成再用下面的方法封裝資料。
ike動態的,週期性的在兩個peer之間更新金鑰
②encapsulating secutitypayload(esp)封裝安全負載
可以對資料報認證,加密,封裝,ip中協議號-50,通常使用3des來進行加密
③authentication header(ah)
只提供認證,封裝,不提供加密,明文傳送,ip中協議號-51
ike原理①組成
由三個不同的協議組成:
isakmp:定義了資訊交換的體系結構,也就是格式
skeme:實現公鑰加密認證的機制
oakley:提供在兩個ipsec對等體間達成相同加密金鑰的基本模式的機制
isakmp基於udp,源目埠都是500
安全聯盟(securityassociation,簡稱sa)
sa是兩個通訊實體經協商建立起來的一種協定,它們決定了用來保護資料報安全的ipsec協議、轉碼方式、金鑰、以及金鑰的有效存在時間等等。任何ipsec實施方案始終會構建乙個sa資料庫(sadb),由它來維護ipsec協議,用來保障資料報安全。
sa是單向的:如果兩個主機(比如a和b)正在通過esp進行安全通訊,那麼主機a就需要有乙個sa,即sa(out),用來處理外發的資料報,另外還需要有乙個不同的sa,即sa(in)用來處理進入的資料報。主機a的sa(out)和主機b的sa(in)將共享相同的加密引數(比如金鑰)。
sa還要根據協議來區分,如果兩個主機間同時使用esp和ah,對於esp和ah會生成不同的sa。
sa分為兩種:
ike(isakmp)sa 協商對ike資料流進行加密以及對對等體進行驗證的演算法(對金鑰的加密和
peer
的認證)
ipsec sa 協商對對等體之間的ip資料流進行加密的演算法
對等體之間的ike sa只能有乙個
對等體之間的ipsec sa可以有多個
site-to-site ipsecvpn的協商過程,分兩個階段
要想在兩個站點之間安全的傳輸ip資料流,它們之間必須要先進行協商,協商它們之間所採用的加密演算法,封裝技術以及金鑰。
階段一:在兩個對等體裝置之間建立乙個安全的管理連線。沒有實際的資料通過這個連線。這個管理連線是用來保護第二階段協商過程的。
階段二:當對等體之間有了安全的管理連線之後,它們就可以接著協商用於構建安全資料連線的安全引數,這個協商過程是安全的,加密的。協商完成後,將在兩個站點間形成安全的資料連線。使用者就可以利用這些安全的資料連線來傳輸自已的資料了。
第一階段:建立isakmpsa協商的是以下資訊:
1、對等體之間採用何種方式做認證,是預共享金鑰還是數字證書。
2、雙方使用哪種加密演算法(
des、
3des
)3、雙方使用哪種hmac方式,是md5還是sha
4、雙方使用哪種diffie-hellman金鑰組
5、使用哪種協商模式(主模式或主動模式)
6、協商sa的生存期
第二階段:建立ipsecsa協商的是以下資訊:
1、雙方使用哪種封裝技術,ah還是esp
2、雙方使用哪種加密演算法
3、雙方使用哪種hmac方式,是md5還是sha
4、使用哪種傳輸模式,是隧道模式還是傳輸模式
5、協商sa的生存期
為什麼需要兩個
sa,它們之間的關係是怎樣的?
第乙個隧道
isakmp sa
是用於保護後續的再次協商,
第二次隧道協商的引數是在完全加密的環境下進行的,之後得到的
ipsecsa
才真正為資料做加密!
第一階段策略集物件導向是第二階段的協商包,第二階段的轉換集物件導向是最終的資料報。
esp概述encapsulationsecurity payload
,用於實現資料機密性以及完整性校驗。
分裝安全
有效負載,
esp有兩種模式
傳輸模式:只加密
ip頭部以上的資料,對
ip頭部不進行加密(適用於
gre(通用路由協議)
over
ipsec
)加密地點即通訊地點
隧道模式:加密原有資料報,再加入新的頭部
加密地點非通訊地點
.ah概述
authenticationheader
,認證頭部,用於實現完整性校驗
組成原理大綱
在這裡就組成原理的考點來進行解析一下。計算機系統概述一章幾乎沒有出綜合應用題的可能,大部分知識點只要了解就可以了。計算機發展歷程 了解 計算機系統的層次結構 計算機硬體的基本組成 計算機軟體的分類 計算機的工作過程 了解 計算機的效能指標 吞吐量等 要注意,這些概念在後續章節中會經常出現,需要熟練掌...
硬碟組成原理
資料的寫入其實是在碟片上面,碟片上面又可分出扇區和柱面兩種單位,其中扇區每個為512bytes那麼大。磁碟的第乙個扇區主要記錄了兩個重要的資訊,分別是 主引導扇區 mbr 可以安裝引導引導程式的地方,有446bytes 分割槽表 記錄整個硬碟分割槽的狀態,有64bytes。在分割槽表所在的64byt...
組成原理 概念
b x位結構 b x位機 字長為x位等常見說法,與x位結構的含義相同 描述了乙個cup具有下面幾方面的結構特性 運算器一次最多可以處理x位的資料 暫存器的最大寬度為x位 暫存器和運算器之間的通路為x位。對於x位cpu,能一次性處理 傳輸 暫時儲存x位的位址 對於16位結構的8086cpu,如果位址從...