IPSec是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu),在IP層通過(guò)加密和數(shù)據(jù)摘要等手段,來(lái)保證數(shù)據(jù)包在internet網(wǎng)上傳輸時(shí)的私密性,完整性和真實(shí)性。
IPSec只能在IP層工作,要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議。
私密性:
IPSec通過(guò)加密把數(shù)據(jù)從明文變成無(wú)法讀懂的密文,從而確保數(shù)據(jù)的私密性。
完整性:
IPSec通過(guò)對(duì)數(shù)據(jù)進(jìn)行hash運(yùn)算,產(chǎn)生類(lèi)似于指紋的數(shù)據(jù)摘要,以保證數(shù)據(jù)的完整性。
安全性:
攻擊者篡改數(shù)據(jù)后,可根據(jù)修改后的數(shù)據(jù)生成新的,掩蓋自己的攻擊行為,通過(guò)把數(shù)據(jù)和密鑰一起進(jìn)行hash運(yùn)行,可以有效抵御上訴攻擊。
傳遞密鑰的方式通過(guò)DH算法。
真實(shí)性:
數(shù)據(jù)從對(duì)端發(fā)出,通過(guò)身份認(rèn)證可以確保數(shù)據(jù)的真實(shí)性,常用的身份認(rèn)證方式包括:
pre-shared key 預(yù)共享密鑰
RSA Signatur 數(shù)字簽名
預(yù)共享密鑰:
是指通信雙方在配置時(shí)手工輸入相同的密鑰
數(shù)字簽名:
RSA密鑰對(duì),一個(gè)是可以向大家公開(kāi)的公鑰,另外一個(gè)是自己知道的私鑰。
用公鑰加密過(guò)的數(shù)據(jù)只有對(duì)應(yīng)的私鑰才能解開(kāi),使用私鑰也是一樣的道理
數(shù)字證書(shū)中存儲(chǔ)了公鑰,以及用戶(hù)名等身份信息。