如何進行IPSec原理分析

如何進行IPSec原理分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

磴口網(wǎng)站建設公司成都創(chuàng)新互聯(lián),磴口網(wǎng)站設計制作，有大型網(wǎng)站制作公司豐富經驗。已為磴口上千家提供企業(yè)網(wǎng)站建設服務。企業(yè)網(wǎng)站搭建\外貿網(wǎng)站制作要多少錢，請找那個售后服務好的磴口做網(wǎng)站的公司定做！

IKE——因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchange)

基本概念

作用

IKE協(xié)議常用來確保虛擬專用網(wǎng)絡VPN（virtual private network）與遠端網(wǎng)絡或者宿主機進行交流時的安全(包括交換和管理在VPN中使用的密鑰)

IKE為IPSec提供了協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(首先對等體間建立一個IKE SA，在IKE SA的保護下，根據(jù)對等體間配置的AS/ESP協(xié)議的加密算法、預共享密鑰等協(xié)商出IPSec SA)，簡化IPSec的使用和管理

組成

IKE屬于一種混合型協(xié)議，由三個協(xié)議(組件)組成：

1：Internet安全關聯(lián)和密鑰管理協(xié)議——ISAKMP(框架)

2：密鑰交換協(xié)議——OAKLEY(基于到達兩個對等體間的加密密鑰交換機制)

3：密鑰交換協(xié)議——SKEME(實現(xiàn)公鑰加密認證的機制)

IKE創(chuàng)建在由ISAKMP定義的框架上(UDP 500)，沿用了OAKLEY的交換模式、SKEME的共享和密鑰更新技術，還定義了它自己的兩種密鑰交換模式

IKE協(xié)商SA類型

階段一：IKE(ISAKMP) SA

階段二：IPSec SA

IKE的安全機制

身份認證方式()

確認通信雙方身份

預共享密鑰(pre-shared key)認證

數(shù)字簽名(digital signature)認證

數(shù)字信封認證

預共享密鑰認證

發(fā)起者和響應者必須事先協(xié)商一個共享密鑰，信息在傳輸前使用共享密鑰加密，接收端使用同樣的密鑰解密。如果接收方能解密，即認為可以通過認證(若是手動模式，則預共享密鑰是自己手動在兩端配置的；若是IKE自動協(xié)商模式，則預共享密鑰是通過DH算法動態(tài)生成的)

優(yōu)缺點

配置簡單，但使用預共享密鑰，當出現(xiàn)一對多的情況時，需要為每一個對等體配置預共享密鑰，適合于小型網(wǎng)絡，對于大型網(wǎng)絡安全性較低

數(shù)字證書認證(一般使用RSA)

在數(shù)字證書認證中，通信雙方使用CA頒發(fā)的數(shù)字證書進行合法性驗證，雙方各有自己的公鑰(網(wǎng)上傳輸)和私鑰(自己持有)

發(fā)送方對原始報文進行Hash計算，并用自己的私鑰對報文計算結果進行加密，生成數(shù)字證書。接收方使用發(fā)送方的公鑰對數(shù)字簽名進行解密，并對報文進行Hash計算(對發(fā)送來的報文進行Hash計算)，判斷計算結果與解密后的結果是否相同。若相同，則認證通過；否則失敗

優(yōu)缺點

數(shù)字證書安全性較高，但需要CA來頒發(fā)數(shù)字證書，且存在有效CRL及時性差：即有證書被竊取從CA吊銷后，因未即使更新CRL導致被劫持等攻擊

數(shù)字信封認證

被公鑰加密的對稱密鑰稱為數(shù)字信封

發(fā)送方首先產生一個對稱密鑰，使用接收方的公鑰對此對稱密鑰進行加密。發(fā)送方用對稱密鑰加密報文，同時用自己的私鑰生成數(shù)字簽名。

接收方用自己的私鑰解密數(shù)字信封得到對稱密鑰，再用對稱密鑰解密報文。同時根據(jù)發(fā)送方的公鑰對數(shù)字簽名進行解密，驗證發(fā)送方的數(shù)字簽名是否正確。正確則驗證通過

優(yōu)缺點

數(shù)字信封認證在設備需要符合國家密碼管理局要求時使用，但此認證方法只能在IKEv1的主模式協(xié)商過程中使用

身份保護

身份數(shù)據(jù)在密鑰產生后加密傳輸，實現(xiàn)了對身份數(shù)據(jù)的保護

DH

DH，全稱：Diffie-Hellman密鑰交換。

作用

使用這種算法，通信雙方僅通過交換一些可以公開的信息就能夠生成出共享的秘密數(shù)字，而這一秘密數(shù)字就可以被用作對稱密碼的密鑰

具體交換過程(本過程借用《圖解密碼學》中的事例)

通信雙方為Alice與Bob

1：Alice向Bob發(fā)送兩個質數(shù)P和G

P必須是一個非常大的質數(shù)，而G要是一個與P相關的數(shù)，稱為生成元(generator)

2：Alice生成一個隨機數(shù)A

A是一個1~P-2之間的整數(shù)

3：Bob生成一個隨機數(shù)B

B也是一個1~P-2之間的整數(shù)

4：Alice將G^A mod P這個數(shù)發(fā)給Bob

5：Bob將G^B mod P這個數(shù)發(fā)給Bob

6：Alice用Bob發(fā)送過來的數(shù)計算A次方并求mod P

(G^B mod P)^A mod P =G^{B x A}mod P

7：Alice用Bob發(fā)送過來的數(shù)計算B次方并求mod P

(G^A mod P)^B mod P =G^{A x} B mod P

此時Alice與Bob兩端即可生成兩個相同的共享密鑰

PFS

PFS，全稱：Perfect Forward Secrecy 完美向前保密

完美的前向安全性是一種安全特性，指一個密鑰被破解，并不會影響其他密鑰的安全性(即一系列密鑰間沒有派生關系，即使一個被破解，也不會導致其他密鑰被破解)

具體過程

IPSec SA的密鑰是從IKE SA的密鑰導出的，由于一個IKE SA協(xié)商生成一對或多對IPSec SA，當IKE的密鑰被竊取后，攻擊者將可能收集到足夠的信息來導出IPSec SA的密鑰，PFS通過執(zhí)行一次額外的DH交換，保證IPSec SA密鑰的安全。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

新聞名稱：如何進行IPSec原理分析
標題路徑：http://muchs.cn/article32/pphhsc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設計、微信公眾號、用戶體驗、面包屑導航、網(wǎng)站設計公司、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)