• 作者簡(jiǎn)介：一名云計(jì)算網(wǎng)絡(luò)運(yùn)維人員、每天分享網(wǎng)絡(luò)與運(yùn)維的技術(shù)與干貨。?

• ?座右銘：低頭趕路，敬事如儀

• 個(gè)人主頁(yè)：網(wǎng)絡(luò)豆的主頁(yè)??????

目錄

?前言

一.IPSec采用的安全技術(shù)

1.IPSec的安全特性

（1）不可否認(rèn)性

（2）反重播性

?（3）數(shù)據(jù)完整性

（4）數(shù)據(jù)可靠性（加密）

?（5）認(rèn)證

2.基于電子證書(shū)的公鑰認(rèn)證

?3.預(yù)置共享密鑰認(rèn)證

4.公鑰加密

（1）公鑰加密

（2）秘鑰交換

5.Hash函數(shù)保證數(shù)據(jù)完整性

6.加密保證數(shù)據(jù)可靠性

?7.密鑰管理

?前言

本章本章講解繼續(xù)講解本章將會(huì)繼續(xù)講解網(wǎng)絡(luò)層的安全協(xié)議，IPSec采用的安全技術(shù)。

一.IPSec采用的安全技術(shù)

1.IPSec的安全特性

IPSec有兩個(gè)基本安全目標(biāo)，決定它應(yīng)該擁有以下5個(gè)安全特性。

IPSec 的安全特性主要有不可否認(rèn)性、反重播性、數(shù)據(jù)完整性和數(shù)據(jù)可靠性，認(rèn)證。

（1）不可否認(rèn)性

不可否認(rèn)性?！安豢煞裾J(rèn)性”可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者，發(fā)送者不能否認(rèn)發(fā)送過(guò)消息。不可否認(rèn)性”是采用公鑰技術(shù)的一個(gè)特征，當(dāng)使用公鑰技術(shù)時(shí)，發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名，隨消息一起發(fā)送，接收方用發(fā)送者的公鑰來(lái)驗(yàn)證數(shù)字簽名。

?在理論上，只有發(fā)送者才唯一擁有私鑰：“不可否認(rèn)性”不是基于認(rèn)證的共享密鑰技術(shù)的特征，因?yàn)樵诨谡J(rèn)證的共享密鑰技術(shù)中，發(fā)送方和接收方掌握相同的密鑰。

（2）反重播性

反重播性。“反重播”確保每個(gè)IP包的唯一性，保證信息萬(wàn)一被截取復(fù)制后，不能再被重新利用、重新傳輸回目的地址。該特性可以防止攻擊者截取破譯信息，再用相同的信息包冒取非法訪問(wèn)權(quán)(即使這種冒取行為發(fā)生在數(shù)月之后)。

?（3）數(shù)據(jù)完整性

數(shù)據(jù)完整性。防止傳輸過(guò)程中數(shù)據(jù)被篡改，確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)，為每個(gè)數(shù)據(jù)包產(chǎn)生一個(gè)加密檢查和，接收方在打開(kāi)包前，先計(jì)算檢查和，若包遭篡改導(dǎo)致檢查和不相符，數(shù)據(jù)包即被丟棄。

（4）數(shù)據(jù)可靠性（加密）

數(shù)據(jù)可靠性（加密）。傳輸前對(duì)數(shù)據(jù)進(jìn)行加密，可以保證即使傳輸過(guò)程中數(shù)據(jù)包遭截取，信息也無(wú)法被讀。該特性在IPSee中為可選項(xiàng)，與IPSec策略的具體設(shè)置相關(guān)。

?（5）認(rèn)證

認(rèn)證。數(shù)據(jù)源發(fā)送信任狀，由接收方驗(yàn)證信任狀的合法性，只有通過(guò)認(rèn)證的系統(tǒng)才可以建立通信連接。

2.基于電子證書(shū)的公鑰認(rèn)證

一個(gè)架構(gòu)良好的公鑰體系，在信任狀的傳遞中不造成任何信息外泄，能解決很多安全問(wèn)題。IPSec與特定的公鑰體系相結(jié)合，可以提供基于電子證書(shū)的認(rèn)證。

公鑰證書(shū)認(rèn)證在Windows 2000中，適用于對(duì)非Windows2000主機(jī)、獨(dú)立主機(jī)、非信任域成員的客戶機(jī)或者不運(yùn)行Kerberos v5認(rèn)證協(xié)議（域內(nèi)主要的安全身份驗(yàn)證協(xié)議）的主機(jī)進(jìn)行身份認(rèn)證。

?3.預(yù)置共享密鑰認(rèn)證

IPSec也可以使用預(yù)置共享密鑰進(jìn)行認(rèn)證。預(yù)共享意味著通信雙方必須在IPSec策略設(shè)置中就共享的密鑰達(dá)成一致。

之后，在安全協(xié)商過(guò)程中，信息在傳輸前使用共享密鑰加密，接收端使用同樣的密鑰解密。如果接收方能夠解密，即被認(rèn)為可以通過(guò)認(rèn)證，但在Windows 2000 IPSec策略中，這種認(rèn)證方式被認(rèn)為不夠安全，而一般不推薦使用。

4.公鑰加密

IPSec的公鑰加密用于身份認(rèn)證和密鑰交換。

（1）公鑰加密

公鑰加密，也叫非對(duì)稱（密鑰）加密（public key encryption），屬于通信科技下的網(wǎng)絡(luò)安全二級(jí)學(xué)科，指的是由對(duì)應(yīng)的一對(duì)唯一性密鑰（即公開(kāi)密鑰和私有密鑰）組成的加密方法。它解決了密鑰的發(fā)布和管理問(wèn)題，是商業(yè)密碼的核心。在公鑰加密體制中，沒(méi)有公開(kāi)的是私鑰，公開(kāi)的是公鑰。

（2）秘鑰交換

秘鑰一般指密鑰。 密鑰是一種參數(shù)，它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)。密鑰分為對(duì)稱密鑰與非對(duì)稱密鑰

使用公鑰加密法，每個(gè)用戶擁有一個(gè)密鑰對(duì)，其中私鑰僅為個(gè)人所知，公鑰則可分發(fā)給任意需要與之進(jìn)行加密通信的人。?

例如：A想要發(fā)送加密信息給B.則A需要用B的公鑰加密信息，之后只有B才能用他的私鑰解密該加密信息，雖然密鑰對(duì)中兩把鑰匙彼此相關(guān)，但要想從其中一把推導(dǎo)出另一把，以目前計(jì)算機(jī)的運(yùn)算能力來(lái)看，這種做法非常困難。

因此，在這種加密法中，公鑰可以廣為分發(fā)，而私鑰則需要仔細(xì)地妥善保管。

5.Hash函數(shù)保證數(shù)據(jù)完整性

Hash信息驗(yàn)證碼（Hash Message Authentication Codes,HMAC)驗(yàn)證接收消息和發(fā)送消息的完全一致性(完整性)。這在數(shù)據(jù)交換中非常關(guān)鍵，尤其當(dāng)傳輸媒介，如公共網(wǎng)絡(luò)中不提供安全保證時(shí)更顯重要。

HMAC結(jié)合Hash算法和共享密鑰提供完整性。Hash散列通常也被當(dāng)成是數(shù)字簽名，但這種說(shuō)法不夠準(zhǔn)確，兩者的區(qū)別在于：Hash散列使用共享密鑰，而數(shù)字簽名基于公鑰技術(shù)。

?Hash算法也稱為消息摘要或單向轉(zhuǎn)換。稱它為單向轉(zhuǎn)換的原因如下。

• （1）雙方必須在通信的兩端各自執(zhí)行Hash函數(shù)計(jì)算。
• （2）使用Hash函數(shù)很容易從消息計(jì)算出消息摘要，但以目前計(jì)算機(jī)的運(yùn)算能力，其逆向反演過(guò)程幾乎不可實(shí)現(xiàn)。

6.加密保證數(shù)據(jù)可靠性

IPSec使用的數(shù)據(jù)加密算法是DES-Data Encryption Standard(數(shù)據(jù)加密標(biāo)準(zhǔn)）DES密鑰長(zhǎng)度為56位，在形式上是一個(gè)64位數(shù)。

DES以64位（8字節(jié)）為分組對(duì)數(shù)據(jù)加56密，每64位密文，經(jīng)過(guò)16輪置換生成64位密文，其中每字節(jié)有1位用于奇偶校驗(yàn)，所以實(shí)際有效密鑰長(zhǎng)度是56位。IPSec還支持3DES算法，3DES可提供更高的安全性，但計(jì)算速度更慢。

?7.密鑰管理

• （1）動(dòng)態(tài)密鑰更新。IPSec策略使用“動(dòng)態(tài)密鑰更新”法決定一次通信中新密鑰產(chǎn)生的頻率。
• （2）密鑰長(zhǎng)度。密鑰長(zhǎng)度每增加一位，可能的密鑰數(shù)就會(huì)增加一倍，相應(yīng)地，破解密鑰的難度也會(huì)隨之呈指數(shù)級(jí)加大。
• （3）Diffie-Hellman算法。要啟動(dòng)安全通信，通信兩端必須首先得到相同的共享密鑰（主密鑰），但共享密鑰不能通過(guò)網(wǎng)絡(luò)相互發(fā)送，因?yàn)檫@種做法極易泄密。

?創(chuàng)作不易，求關(guān)注，點(diǎn)贊，收藏，謝謝~?? 文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-820976.html

到了這里，關(guān)于網(wǎng)絡(luò)安全——網(wǎng)絡(luò)層安全協(xié)議（3）的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！