如何進(jìn)行IPSec原理分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

磴口網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),磴口網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為磴口上千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\外貿(mào)網(wǎng)站制作要多少錢，請找那個售后服務(wù)好的磴口做網(wǎng)站的公司定做！

IKE——因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchange)

基本概念

作用

IKE協(xié)議常用來確保虛擬專用網(wǎng)絡(luò)VPN（virtual private network）與遠(yuǎn)端網(wǎng)絡(luò)或者宿主機(jī)進(jìn)行交流時的安全(包括交換和管理在VPN中使用的密鑰)

IKE為IPSec提供了協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)(首先對等體間建立一個IKE SA，在IKE SA的保護(hù)下，根據(jù)對等體間配置的AS/ESP協(xié)議的加密算法、預(yù)共享密鑰等協(xié)商出IPSec SA)，簡化IPSec的使用和管理

組成

IKE屬于一種混合型協(xié)議，由三個協(xié)議(組件)組成：

1：Internet安全關(guān)聯(lián)和密鑰管理協(xié)議——ISAKMP(框架)

2：密鑰交換協(xié)議——OAKLEY(基于到達(dá)兩個對等體間的加密密鑰交換機(jī)制)

3：密鑰交換協(xié)議——SKEME(實(shí)現(xiàn)公鑰加密認(rèn)證的機(jī)制)

IKE創(chuàng)建在由ISAKMP定義的框架上(UDP 500)，沿用了OAKLEY的交換模式、SKEME的共享和密鑰更新技術(shù)，還定義了它自己的兩種密鑰交換模式

IKE協(xié)商SA類型

階段一：IKE(ISAKMP) SA

階段二：IPSec SA

IKE的安全機(jī)制

身份認(rèn)證方式()

確認(rèn)通信雙方身份

預(yù)共享密鑰(pre-shared key)認(rèn)證

數(shù)字簽名(digital signature)認(rèn)證

數(shù)字信封認(rèn)證

預(yù)共享密鑰認(rèn)證

發(fā)起者和響應(yīng)者必須事先協(xié)商一個共享密鑰，信息在傳輸前使用共享密鑰加密，接收端使用同樣的密鑰解密。如果接收方能解密，即認(rèn)為可以通過認(rèn)證(若是手動模式，則預(yù)共享密鑰是自己手動在兩端配置的；若是IKE自動協(xié)商模式，則預(yù)共享密鑰是通過DH算法動態(tài)生成的)

優(yōu)缺點(diǎn)

配置簡單，但使用預(yù)共享密鑰，當(dāng)出現(xiàn)一對多的情況時，需要為每一個對等體配置預(yù)共享密鑰，適合于小型網(wǎng)絡(luò)，對于大型網(wǎng)絡(luò)安全性較低

數(shù)字證書認(rèn)證(一般使用RSA)

在數(shù)字證書認(rèn)證中，通信雙方使用CA頒發(fā)的數(shù)字證書進(jìn)行合法性驗(yàn)證，雙方各有自己的公鑰(網(wǎng)上傳輸)和私鑰(自己持有)

發(fā)送方對原始報文進(jìn)行Hash計算，并用自己的私鑰對報文計算結(jié)果進(jìn)行加密，生成數(shù)字證書。接收方使用發(fā)送方的公鑰對數(shù)字簽名進(jìn)行解密，并對報文進(jìn)行Hash計算(對發(fā)送來的報文進(jìn)行Hash計算)，判斷計算結(jié)果與解密后的結(jié)果是否相同。若相同，則認(rèn)證通過；否則失敗

優(yōu)缺點(diǎn)

數(shù)字證書安全性較高，但需要CA來頒發(fā)數(shù)字證書，且存在有效CRL及時性差：即有證書被竊取從CA吊銷后，因未即使更新CRL導(dǎo)致被劫持等攻擊

數(shù)字信封認(rèn)證

被公鑰加密的對稱密鑰稱為數(shù)字信封

發(fā)送方首先產(chǎn)生一個對稱密鑰，使用接收方的公鑰對此對稱密鑰進(jìn)行加密。發(fā)送方用對稱密鑰加密報文，同時用自己的私鑰生成數(shù)字簽名。

接收方用自己的私鑰解密數(shù)字信封得到對稱密鑰，再用對稱密鑰解密報文。同時根據(jù)發(fā)送方的公鑰對數(shù)字簽名進(jìn)行解密，驗(yàn)證發(fā)送方的數(shù)字簽名是否正確。正確則驗(yàn)證通過

優(yōu)缺點(diǎn)

數(shù)字信封認(rèn)證在設(shè)備需要符合國家密碼管理局要求時使用，但此認(rèn)證方法只能在IKEv1的主模式協(xié)商過程中使用

身份保護(hù)

身份數(shù)據(jù)在密鑰產(chǎn)生后加密傳輸，實(shí)現(xiàn)了對身份數(shù)據(jù)的保護(hù)

DH

DH，全稱：Diffie-Hellman密鑰交換。

作用

使用這種算法，通信雙方僅通過交換一些可以公開的信息就能夠生成出共享的秘密數(shù)字，而這一秘密數(shù)字就可以被用作對稱密碼的密鑰

具體交換過程(本過程借用《圖解密碼學(xué)》中的事例)

通信雙方為Alice與Bob

1：Alice向Bob發(fā)送兩個質(zhì)數(shù)P和G

P必須是一個非常大的質(zhì)數(shù)，而G要是一個與P相關(guān)的數(shù)，稱為生成元(generator)

2：Alice生成一個隨機(jī)數(shù)A

A是一個1~P-2之間的整數(shù)

3：Bob生成一個隨機(jī)數(shù)B

B也是一個1~P-2之間的整數(shù)

4：Alice將G^A mod P這個數(shù)發(fā)給Bob

5：Bob將G^B mod P這個數(shù)發(fā)給Bob

6：Alice用Bob發(fā)送過來的數(shù)計算A次方并求mod P

(G^B mod P)^A mod P =G^{B x A}mod P

7：Alice用Bob發(fā)送過來的數(shù)計算B次方并求mod P

(G^A mod P)^B mod P =G^{A x} B mod P

此時Alice與Bob兩端即可生成兩個相同的共享密鑰

PFS

PFS，全稱：Perfect Forward Secrecy 完美向前保密

完美的前向安全性是一種安全特性，指一個密鑰被破解，并不會影響其他密鑰的安全性(即一系列密鑰間沒有派生關(guān)系，即使一個被破解，也不會導(dǎo)致其他密鑰被破解)

具體過程

IPSec SA的密鑰是從IKE SA的密鑰導(dǎo)出的，由于一個IKE SA協(xié)商生成一對或多對IPSec SA，當(dāng)IKE的密鑰被竊取后，攻擊者將可能收集到足夠的信息來導(dǎo)出IPSec SA的密鑰，PFS通過執(zhí)行一次額外的DH交換，保證IPSec SA密鑰的安全。

看完上述內(nèi)容是否對您有幫助呢？如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對創(chuàng)新互聯(lián)的支持。

新聞名稱：如何進(jìn)行IPSec原理分析
標(biāo)題路徑：http://vcdvsql.cn/article32/pphhsc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計、微信公眾號、用戶體驗(yàn)、面包屑導(dǎo)航、網(wǎng)站設(shè)計公司、網(wǎng)站策劃

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)