|
|
|
|
移动端

13.1.1 IPSec理论基础

《思科CCIE路由交换v5实验指南》本书面向广大的网络工程师及对网络感兴趣的读者,旨在帮助读者成为一名优秀的思科网络工程师,进一步成为IT界认可度最高的顶级思科CCIE工程师。思科公司推出CCIE认证已有20年,考试大纲一直在更新换代,2014年6月思科把路由交换CCIE大纲升级到版本5.0(Version 5.0)。本节为大家介绍IPSec理论基础。

作者:周亚军来源:电子工业出版社|2016-04-28 17:19

年前最后一场技术盛宴 | 1月27日与京东、日志易技术大咖畅聊智能化运维发展趋势!


第3篇 VPN技术

本部分包括了日常工作以及认证考试中最常用的IPSec VPN技术和MPLS VPN技术。这两种技术在CCIE认证中占了非常重要的比重,而且往往是最难掌握和最难得分的一部分,所以是重点中的重点。

第13章 IPSec VPN技术

本章要点

站点到站点的VPN

DMVPN动态多点VPN

VRF环境下的DMVPN

13.1  站点到站点的VPN

13.1.1  IPSec理论基础

对安全的定义包括如下方面:

私密性(加密);

完整性(确保文件没有被篡改);

源认证(确保发送方不是伪装的源);

不可否认性(不可否认自己发送过)。

1. 私密性(加密)

(1)对称密钥算法(如凯撒密码,当发送方发送数据时,会用一个密钥对这个数据进行加密,加密好的密文传给接收方后,接收方也同样会用这个key来解密数据。这里key都是每一次交换产生新的密钥,密钥的传送非常重要)。常用加密技术有DES(56位)、3DES、AES和RH4。

(2)非对称密钥加密算法。

RSA:主流数字签名和数字证书的非对称密钥加密算法。

Diffie-Hellman:IPSecVPN使用的非对称密钥加密算法,主要用于协商产生key。

ECC:新兴的非对称密钥加密算法(由于其使用内存小,因此广泛用于智能手机和PDA,但思科公司默认不支持)。

如图13-1所示,就是加密的过程,接收方发送一个公钥给发送方,而此时发送方用对端发来的公钥进行加密,将密文发给接收方,此时接收方用自己的私钥进行解密。

2. 完整性(确保文件没有被篡改)

一般用HASH确保完整性。

如图13-2所示,发送方首先用明文通过散列函数,HASH出来一个HASH摘要,将密文和HASH摘要发送给接收方,接收方解密密文,同样做HASH,HASH出来一个HASH摘要,比对发送来的HASH值,来确认完整性。HASH函数有其自身的特点:

散列函数接收任意大的数据并将其"压缩"成最初数据的一个指纹(finger)或者摘要。

散列函数的输出是一个固定大小的值。

散列函数具有雪崩效应,如果修改了一个值,哪怕只有一位,HASH出来的值差别很大。

无法反向执行散列算法来恢复明文(单向)。

不可能有两个不同的值HASH出相同的HASH摘要(冲突避免)。

MD5长度为128位,SHA-1长度为160位。

3. 源认证(确保发送方不是伪装的源)

数字签名,主要用于解决源认证的问题的重要性。

IPSec(IP Security)是一种开放标准的框架,通过使用加密安全服务确保IP通信的保密性和安全性。IPSec的部署方案有传输模式(用于主机到主机的通信)、隧道模式(网络到网络之间或者主机到网络之间的通信)两种重要模式。

怎样选取IPSec保护模式?

Tunnel Mode:产生新的可路由IP头,可解决不同私有网络之间跨越Internet数据包的加密传送。

Transport Mode:不产生新的IP头,要求原IP包可在Internet路由,要求通信点和加密点为同一IP。

两种模式的包结构如图13-3所示。

关于SA(安全关联):

术语IPSec常常简称为SA,是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种协定。它决定了用来保护数据包安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等。任何IPSec实施方案都会构建一个SA数据库(SADB),由它来维护IPSec协议、保障数据包安全的SA记录。

SA是单向的。如果两个主机(比如A和B)正在通过ESP进行安全通信,那么主机A就需要有一个SA,即SA(out),用来处理外发的数据包;另外还需要有一个不同的SA,即SA(in),用来处理进入的数据包。主机A的SA(out)和主机B的SA(in)将共享相同的加密参数(比如密钥)。

SA还是"与协议相关"的。每种协议都有一个SA。如果主机A和B同时通过AH和ESP进行安全通信,那么每个主机都会针对每一种协议来构建一个独立的SA。

IPSec的组成部分:

ESP(负载安全封装,端口50)协议;

认证头(AH)协议;

Internet密钥交换协议(IKE)。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

计算机网络安全

本书从计算机网络安全的概念入手,分析了单机节点、单一网络、互联网络和开放互联网络的基本安全问题,并对计算机网络安全体系架构和安全机...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊