IPSEC安全基础后篇
一、KEY的重要性及产生原则
对称密钥(Symmetric Key) 用于三个方面:
要求:双方完成对应功能使用的KEY相同,即横向相同;任一方的key1 key2 key3不相同,即纵向不同。
二、DH(Diffie-Hellman)密钥交换协议
作用:在不安全的网络中安全地生成共享密钥。
过程:
DH组别:DH使用组的概念来定义这个KDH是怎么产生的即不同的组将产生的公钥和私钥以及KDH的长度是不同的;具体如下:
三、安全关联(Security Association, SA)
定义:
是两个IPSec实体(主机、安全网关)之间经过协商建立起来的一种协定,内容包括采用何种IPSec协议(AH还是ESP)、运行模式(传输模式还是隧道模式)、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等,从而决定了保护什么、如何保护以及谁来保护。可以说SA是构成IPSec的基础。
特点:
单向性:分为入方向(inbound)和出方向(outbound)SA;
成对出现:构成SA束(SA Bundle)。
SA的建立方式:
手工配置:管理员手动设置,无生命周期,所以不安全,实际项目中几乎不使用;
IKE自动管理:SA的自动建立、动态维护和删除是通过IKE进行的。而且SA有生命期。如果安全策略要求建立安全、保密的连接,但又不存在与该连接相应的SA,IPSec会立刻启动IKE来协商SA。