IPsec(IP安全架构)

Posted on | By | No comments


什么是IPsec?

 

IPsec是,加密系统用于通过该技术保护网络层数据的安全性

这是一个要完成的协议。 IPsec由诸如AH,ESP和IKE之类的协议组成。这个IPsec

通过使用VPN连接,即使在诸如因特网的公共基础设施中,我们也可以安全地进行通信。

IPsec工作层

由于IPsec在网络层运行,无论是作为上层的传输层的TCP还是UDP

它没有问题,并且没有限制,因此它不依赖于特定的应用程序。但是,网络层

IP
一定是。顺便说一句,它与IPsec无关,但SSL在会话层工作。和
网络层IP,传输层TCP一定是。因此所有TCP / IP
可以使用“HTTP / FTP / SMTP”等应用程序,但不能使用UDP应用程序。

* SSL完全适用于传输层和会话层之间的边界。

构成IPsec的两个协议和密钥交换协议

顾名思义,IPsec本身就是一种安全架构。 IPsec是AHESPIKE如多重
它由协议组成。 AH代表“Authentication Header”,顾名思义,代表身份验证功能

我有。 ESP是“Encapsulated Security Payload”的缩写,加密应用于有效载荷部分

你可以做到。 IKE代表“Internet Key Exchage”,是一种可以交换密钥的协议。

 

IPsec协议 角色 协议类型
AH

·验证数据包是否未被篡改。 (HMAC)
·无法进行数据包加密。

 IP协议号51
ESP

·验证数据包是否未被篡改。 (HMAC)
·对数据包的有效负载部分执行加密(DES或3DES或AES)。

 IP协议号50
IKE

·安全交换密钥信息。 IKE是[ISAKMP / Oakley]。
换句话说,它在ISAKMP协议上实现了Oakley密钥交换过程。

·Diffie-Hellman密钥交换算法是Oakley组件之一。

 

 UDP端口号500

对于RFC 2406和RFC 4303格式的ESP
身份验证预告片
有一个功能。有了这个,不用AH在一起
它可以防止篡改。因此,IPsec可以在没有AH的情况下单独配置ESP和IKE。

但是,使用ESP的身份验证预告片功能,无法保证其在IP头部分之前的完整性。

此外,为什么ESP可以实现AH,即使ESP可以实现所有安全服务

 

 


 

 

 

 

 

 
Category: centos | Tag:

发表评论