华为网路设备学习-17

目录

一、加密算法

二、验证算法

三、IPsec协议

1.IKE协议（密钥交换协议）

①‌ISAKMP（Internet Security Association and Key Management Protocol）互联网安全关联和密钥管理协议

②安全关联（SA）

③IKE协议具体步骤

2.ESP协议（负载安全封装协议）

3.IPsec协议有几种不同的封装模式：

①、传输模式（只适合点到点）双方都有公网ip

②、隧道模式（常用） 一方是私有ip

虚拟专用网络（英文：Virtual Private Network）。是在一个公有的、不安全的网络中，创建虚拟专用网络。像一个隧道一样连接两端，在隧道内的信息都是经过加密和互相验证的。以保证数据的保密性、完整性和可用性。常见的有IPsec协议、PPTP协议、‌OpenVPN协议、‌SSTP协议等。

例子：

明文为 ：2

使用加密算法为 ：乘方

公钥为：3

此时：密文为：8

注：该例子仅展示加密概念

一、加密算法

对称式加密算法     

用同一把钥匙进行加密和解密，适合对大量数据进行处理。

非对称式加密算法   

用一把钥匙进行加密（公钥），另一把钥匙进行解密（私钥）。公钥允许在公共网络进行传输，私钥仅本地保存。适合对少量数据进行处理。

可以将两者结合使用。使用对称式加密算法加密数据部分，使用非对称式加密算法加密对称式加密算法的秘钥部分。

传输时有三部分：1、对称式加密算法加密数据部分 2、对称式加密算法的秘钥部分 3、非对称式加密算法公钥

二、验证算法

Hash验证算法：用于判断数据是否又被篡改的可能，只要其中进行了篡改都可以被校验出来

常见的有 md5 sha-512，为了增加数据安全性还会搭配使用加盐（salt）技术

这里只学习比较基础和常用的IPsec协议，在一般的路由器和防火墙上都可以进行部署。是站点到站点的，可以实现机密性（加密算法）、完整性（hash算法）、源认证（ca证书）、防重放攻击

三、IPsec协议

重点是IKE和ESP协议

1.IKE协议（密钥交换协议）

负责建立和维护SA，主要的功能有：协商协议参数、对等体身份验证、协商密钥、对密钥的管理。

IKE协议的核心和基础是 互联网安全关联和密钥管理协议（ISAKMP）

①‌ISAKMP（Internet Security Association and Key Management Protocol）互联网安全关联和密钥管理协议

‌ISAKMP 是一个协议框架，主要用于在IPsec体系结构中建立、协商、修改和删除安全关联（SA）的过程，并定义了交换密钥生成和认证数据的载荷格式。

②安全关联（SA）也可以叫 安全联盟

简单来说是两个对等体之间对某些要素的约定，例如使用哪一种协议（AH、ESP、AH和ESP结合使用）、协议的封装模式（传输模式、隧道模式）、加密算法（DES、3DES和AES）、密钥、以及密钥的生存周期等等。

SA是单向的。在两个对等体之间的双向通信，至少需要两个SA来分别对两个方向的数据流进行安全保护。

SA由三元组进行标识，安全参数索引（SPI）、目的地ip地址、安全协议号（AH或ESP）

③IKE协议具体步骤

步骤1，当PC-A发送数据包到PC-B。

步骤（2、3、4）都完成后，IPsec隧道建立成功。

步骤5 当无数据传输 或 超过隧道生存时间 ，IPsec隧道拆除

其中比较重要的事步骤2、步骤3，将对两个步骤进行详细分解

步骤2

该步骤结束，产出IKE SA

步骤3

该步骤结束，产出IPsec SAs

2.ESP协议（负载安全封装协议）

实际保护流量的安全协议

支持验证算法 和 加密算法

注：AH仅支持验证算法，不支持加密算法

注：该图中的 数据包 结构为 IPsec协议的隧道模式

3.IPsec协议有几种不同的封装模式：

①、传输模式（只适合点到点）双方都有公网ip 且 没有IP地址转换

②、隧道模式（常用） 支持私有ip 和 IP地址转换