如何進行IPSec原理分析

如何進行IPSec原理分析，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

IKE——因特網密鑰交換協議(Internet Key Exchange)

基本概念

作用

IKE協議常用來確保虛擬專用網絡VPN（virtual private network）與遠端網絡或者宿主機進行交流時的安全(包括交換和管理在VPN中使用的密鑰)

IKE為IPSec提供了協商密鑰、建立IPSec安全聯盟的服務(首先對等體間建立一個IKE SA，在IKE SA的保護下，根據對等體間配置的AS/ESP協議的加密算法、預共享密鑰等協商出IPSec SA)，簡化IPSec的使用和管理

組成

IKE屬于一種混合型協議，由三個協議(組件)組成：

1：Internet安全關聯和密鑰管理協議——ISAKMP(框架)

2：密鑰交換協議——OAKLEY(基于到達兩個對等體間的加密密鑰交換機制)

3：密鑰交換協議——SKEME(實現公鑰加密認證的機制)

IKE創建在由ISAKMP定義的框架上(UDP 500)，沿用了OAKLEY的交換模式、SKEME的共享和密鑰更新技術，還定義了它自己的兩種密鑰交換模式

IKE協商SA類型

階段一：IKE(ISAKMP) SA

階段二：IPSec SA

IKE的安全機制

身份認證方式()

確認通信雙方身份

預共享密鑰(pre-shared key)認證

數字簽名(digital signature)認證

數字信封認證

預共享密鑰認證

發起者和響應者必須事先協商一個共享密鑰，信息在傳輸前使用共享密鑰加密，接收端使用同樣的密鑰解密。如果接收方能解密，即認為可以通過認證(若是手動模式，則預共享密鑰是自己手動在兩端配置的；若是IKE自動協商模式，則預共享密鑰是通過DH算法動態生成的)

優缺點

配置簡單，但使用預共享密鑰，當出現一對多的情況時，需要為每一個對等體配置預共享密鑰，適合于小型網絡，對于大型網絡安全性較低

數字證書認證(一般使用RSA)

在數字證書認證中，通信雙方使用CA頒發的數字證書進行合法性驗證，雙方各有自己的公鑰(網上傳輸)和私鑰(自己持有)

發送方對原始報文進行Hash計算，并用自己的私鑰對報文計算結果進行加密，生成數字證書。接收方使用發送方的公鑰對數字簽名進行解密，并對報文進行Hash計算(對發送來的報文進行Hash計算)，判斷計算結果與解密后的結果是否相同。若相同，則認證通過；否則失敗

優缺點

數字證書安全性較高，但需要CA來頒發數字證書，且存在有效CRL及時性差：即有證書被竊取從CA吊銷后，因未即使更新CRL導致被劫持等攻擊

數字信封認證

被公鑰加密的對稱密鑰稱為數字信封

發送方首先產生一個對稱密鑰，使用接收方的公鑰對此對稱密鑰進行加密。發送方用對稱密鑰加密報文，同時用自己的私鑰生成數字簽名。

接收方用自己的私鑰解密數字信封得到對稱密鑰，再用對稱密鑰解密報文。同時根據發送方的公鑰對數字簽名進行解密，驗證發送方的數字簽名是否正確。正確則驗證通過

優缺點

數字信封認證在設備需要符合國家密碼管理局要求時使用，但此認證方法只能在IKEv1的主模式協商過程中使用

身份保護

身份數據在密鑰產生后加密傳輸，實現了對身份數據的保護

DH

DH，全稱：Diffie-Hellman密鑰交換。

作用

使用這種算法，通信雙方僅通過交換一些可以公開的信息就能夠生成出共享的秘密數字，而這一秘密數字就可以被用作對稱密碼的密鑰

具體交換過程(本過程借用《圖解密碼學》中的事例)

通信雙方為Alice與Bob

1：Alice向Bob發送兩個質數P和G

P必須是一個非常大的質數，而G要是一個與P相關的數，稱為生成元(generator)

2：Alice生成一個隨機數A

A是一個1~P-2之間的整數

3：Bob生成一個隨機數B

B也是一個1~P-2之間的整數

4：Alice將G^A mod P這個數發給Bob

5：Bob將G^B mod P這個數發給Bob

6：Alice用Bob發送過來的數計算A次方并求mod P

(G^B mod P)^A mod P =G^{B x A}mod P

7：Alice用Bob發送過來的數計算B次方并求mod P

(G^A mod P)^B mod P =G^{A x} B mod P

此時Alice與Bob兩端即可生成兩個相同的共享密鑰

PFS

PFS，全稱：Perfect Forward Secrecy 完美向前保密

完美的前向安全性是一種安全特性，指一個密鑰被破解，并不會影響其他密鑰的安全性(即一系列密鑰間沒有派生關系，即使一個被破解，也不會導致其他密鑰被破解)

具體過程

IPSec SA的密鑰是從IKE SA的密鑰導出的，由于一個IKE SA協商生成一對或多對IPSec SA，當IKE的密鑰被竊取后，攻擊者將可能收集到足夠的信息來導出IPSec SA的密鑰，PFS通過執行一次額外的DH交換，保證IPSec SA密鑰的安全。

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業資訊頻道，感謝您對億速云的支持。