IPSec是一種開放標準的框架結構,在IP層通過加密和數(shù)據摘要等手段,來保證數(shù)據包在internet網上傳輸時的私密性,完整性和真實性。
IPSec只能在IP層工作,要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議。
私密性:
IPSec通過加密把數(shù)據從明文變成無法讀懂的密文,從而確保數(shù)據的私密性。
完整性:
IPSec通過對數(shù)據進行hash運算,產生類似于指紋的數(shù)據摘要,以保證數(shù)據的完整性。
安全性:
攻擊者篡改數(shù)據后,可根據修改后的數(shù)據生成新的,掩蓋自己的攻擊行為,通過把數(shù)據和密鑰一起進行hash運行,可以有效抵御上訴攻擊。
傳遞密鑰的方式通過DH算法。
真實性:
數(shù)據從對端發(fā)出,通過身份認證可以確保數(shù)據的真實性,常用的身份認證方式包括:
pre-shared key 預共享密鑰
RSA Signatur 數(shù)字簽名
預共享密鑰:
是指通信雙方在配置時手工輸入相同的密鑰
數(shù)字簽名:
RSA密鑰對,一個是可以向大家公開的公鑰,另外一個是自己知道的私鑰。
用公鑰加密過的數(shù)據只有對應的私鑰才能解開,使用私鑰也是一樣的道理
數(shù)字證書中存儲了公鑰,以及用戶名等身份信息。