IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:
数据机密性:IPsec发送方在通过网络传输包前对包进行加密。
数据完整性:IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
防重放:IPsec接收方可检测并拒绝接收过时或重复的报文。
防抵赖:指基于签名及签名验证,可以判断数据的发送方是真实存在的用户。
VPN技术的分类:
1、Peer-to-Peer VPN:例如MPLS-VPN,95%的配置在运营商的PE(Provider Edge)路由器上做,在客户CE(Customer Edge)路由器上很少做配置,是运营商的一种业务。
2、Overlay VPN:一般用于外网接口IP地址固定,100%配置在CE上部署。常见的有GREVPN(支持任何三层被路由协议,支持IPV6、IPV4、IPX,对流量类型没有任何限制)和IPsecVPN(能够保证数据安全性,只支持IPV4,需要两端配置参数完全匹配,只支持单播)。
IPsecVPN可分为两种:
-
site-to-site VPN:一般部署在办公区域的边界路由器上。
remote-access VPN:一般用于远程客户端使用,实现远程客户与公司内网PC互联,需要客户端使用软件(EasyVPN)。
数据信息加密和完整性校验相关知识点:
数据信息的完整性校验:
- HASH:能够把一大堆数据经过计算得到一个较小的、定长的值,散列是一种不可逆函数。这意味着一旦明文生成散列,就不可能或者说极端困难再将其由散列转换成明文。用来检测数据的完整性。特点:不管输入什么数据,输出是定长的;只要输入有一点微小变化,输出就会发生很大的变化,也就是雪崩效应 ;算法不可逆 。
- HMAC:散列信息认证码,把DATA(数据信息)与KEY(秘钥)做散列计算得出验证码,用于校验数据信息的完成性。IPsec只能携带96位认证码,超过96位是存在风险的。
加密算法相关:
- 对称加密算法:使用一把密匙来对信息提供安全的保护。只有一个密匙,即用来加密,也用来解密。特点是速度快;密文紧凑;用于大数据流量的传送。算法代表:DES、3DES、AES 。
- 非对称加密算法:有一对密匙,一个叫公匙,一个叫私匙,如果用其中一个加密,必须用另一个解密。特点是速度慢;密文不紧凑;通常只用于数字签名,或加密一些小文件。算法代表:RSA、ECC。非对称加密可以有两种应用:1、公钥加密,私钥解密,叫加密。2、私钥加密,公钥解密,叫数字签名。
- 数字签名:私钥加密,公钥解密。先对完整数据数据做HMAC计算,再使用私钥进行加密,用于防数据篡改和用户身份认证。
- DH算法:不用交互密钥本身,通过交互密钥的材料,生成一把相同的密钥,还可以周期性生成新的密钥并自动更换密钥。
Diffie-Hellman算法:
最终两个人得到的秘密数字都是g^(ab) mod p,而窃听者仅从p,g,A,B四个公开信息,是无法得到这个秘密数字的
举个例子理解: