Isec Isec的安全組件和KI公密鑰基礎(chǔ)架構(gòu)

IPsecIPsec的安全組件和PKI公共密鑰基礎(chǔ)架構(gòu)IPsec概述什么是IPsecIPsec是IETF的標(biāo)準(zhǔn),其在網(wǎng)絡(luò)層使用加密機(jī)制實(shí)現(xiàn):IP報(bào)文的認(rèn)證為每一個(gè)數(shù)據(jù)包提供數(shù)據(jù)完整性的保證對數(shù)據(jù)進(jìn)行機(jī)密性的保護(hù)IPsec由一系列的開放標(biāo)準(zhǔn)組成，用于保護(hù)秘密的通信不管是小型的網(wǎng)絡(luò)還是大型的網(wǎng)絡(luò)都可以實(shí)施IPsec技術(shù)IPsecInternetIPsec協(xié)議IPsec使用三個(gè)主要的協(xié)議構(gòu)建了安全框架:InternetKeyExchange(IKE):為安全框架提供了安全參數(shù)協(xié)商能力建立認(rèn)證密鑰EncapsulatingSecurityPayload(ESP):為安全框架提供了加密,認(rèn)證,完整性特性對數(shù)據(jù)實(shí)施保護(hù)AuthenticationHeader(AH):僅僅提供了身份認(rèn)證,完整性保護(hù)特性InternetKeyExchangeInternetKeyExchangeIKE能夠自動(dòng)的實(shí)現(xiàn)密鑰的交換，簡化了手工配置的復(fù)雜性。同時(shí)也解決了IPsec難以擴(kuò)展的特性。其主要功能:協(xié)商SA的安全特性密鑰的自動(dòng)生成易于管理和配置IKE階段階段一:認(rèn)證對等體協(xié)商安全安聯(lián)(安全聯(lián)盟)兩種工作模式:Mainmode和aggressivemode階段二:協(xié)商IPsecSAs/SPIs單一工作模式:快速模式IKE階段一完成后會(huì)產(chǎn)生一個(gè)共享密鑰,用于階段二的數(shù)據(jù)加密使用.ESP和AH協(xié)議ESP和AH協(xié)議IPsec協(xié)議:ESP和AHESP的IP協(xié)議號為50AH的IP協(xié)議號為51IPsec模式:隧道和傳輸模式隧道模式會(huì)為原始的IP數(shù)據(jù)包添加額外的IP報(bào)頭消息的加密依賴于對稱式加密算法ESP和AH的報(bào)文ESP能夠?qū)崿F(xiàn)對原始的數(shù)據(jù)包的認(rèn)證和加密.AH僅僅提供了數(shù)據(jù)報(bào)頭的認(rèn)證能力,其不能夠提供加密特性.IPHDRAHIPHDRESPAH認(rèn)證和完完整性AH協(xié)議對數(shù)數(shù)據(jù)與密鑰進(jìn)進(jìn)行散列運(yùn)算算,將產(chǎn)生的的值附加在報(bào)報(bào)文中,對等等體僅需要采采用相同的方方式進(jìn)行運(yùn)算算并比較,即即可確認(rèn)發(fā)送送方的身份和和報(bào)文完整性性.ESP協(xié)議使用加密提供供數(shù)據(jù)機(jī)密性性保證使用與AH相同的方法提提供了認(rèn)證和和完整性的確確認(rèn)隧道與傳輸模模式隧道模式提供供了站點(diǎn)到站站點(diǎn)數(shù)據(jù)傳輸輸保護(hù),其能夠?yàn)閕nside網(wǎng)絡(luò)提供穿越越公網(wǎng)的能力力.傳輸模式通常常使用在雙方方擁有能夠直直接通訊IP地址的情況下下.認(rèn)證與完整性性使用HASH算法提供認(rèn)認(rèn)證和完整性性MAC通常用于消息息的認(rèn)證和完完整性檢測.哈希算法被廣廣泛的用于此此處,并被稱為HMAC機(jī)制.通用的哈希算算法哈希散列算法法為單向算法法,即不能根據(jù)結(jié)結(jié)果值推算原原始數(shù)據(jù)信息息.通常會(huì)將產(chǎn)生生的結(jié)果值稱稱為散列值,指紋或者是““消息摘要””.MD5提供了128-bit輸出.SHA-1算法提供了160-bit輸出,但在IPsec中僅僅只使用用前96位.SHA-1比MD5更具有安全性性,但其運(yùn)算較慢慢.對稱與不對稱稱算法對稱與不對稱稱算法對稱式算法:加密和解密使使用相同的密密鑰通常用于消息息的內(nèi)容加密密例如:DES,3DES,AES不對稱式算法法:加密和解密使使用不同的密密鑰通常用于數(shù)字字證書和密鑰鑰管理例如:RSA對稱與不對稱稱密鑰長度SymmetricKeyLengthAsymmetricKeyLength80102411220481283072192768025615,360由于對稱式加加密和不對稱稱式加密一般般用于不同的的目的,因此其密鑰長長度也不相同同.兩者并不具有有可比性.加密算法的安安全級別SecurityLevelWorkFactorAlgorithmsWeakO(240)DES,MD5LegacyO(264)RC4,SHA-1BaselineO(280)3DESStandardO(2128)AES-128,SHA-256HighO(2192)AES-192,SHA-384UltraO(2256)AES-256,SHA-512加密算法:DES對稱式的加密密算法使用56位長度的密鑰鑰對64位數(shù)據(jù)塊進(jìn)行行加密DES加密后數(shù)據(jù),意味著其可能能會(huì)有72,057,594,037,927,936種密鑰組合.加密算法:3DES對稱式的加密密算法168-bit密鑰長度加密操作大概概是DES的3倍時(shí)間使用三個(gè)不同同的56-bit密鑰對64-bit數(shù)據(jù)塊實(shí)施:加密,加密,加密可能會(huì)產(chǎn)生2168=3.7*1050種不同的密鑰鑰組合加密算法:AES對稱式的加密密算法DES和3DES替代者早期被稱為““Rijndael”算法其支持128,192,256-bit長度密鑰加密算法:RSA基于Diffie-Hellman密鑰交換原則則公鑰用于加密密數(shù)據(jù)同時(shí)用用于確認(rèn)數(shù)字字簽名私鑰用于解密密數(shù)據(jù)同時(shí)用用于簽署數(shù)字字簽名Diffie-Hellman密密鑰交換PKI–公共密鑰基礎(chǔ)礎(chǔ)架構(gòu)PKI架構(gòu)構(gòu)CertificateAuthority證書權(quán)威威中心PKI系統(tǒng)是以信任任為基礎(chǔ)通過發(fā)布數(shù)字字證書,并且將用戶身身份信息綁定定到用戶公鑰鑰證書中方式式,確認(rèn)用戶身份份.撤銷證書需要要發(fā)布使用CRL(證書撤銷列表表).X.509v3證書書結(jié)構(gòu)PKI消息息交換PKI證書書存儲(chǔ)如何存儲(chǔ)PKI的信任證書:RSA產(chǎn)生的公鑰證證書路由器的NVRAM中eToken方式:驅(qū)動(dòng)程序內(nèi)嵌嵌操作系統(tǒng)USB方式9、靜夜四無無鄰，荒居居舊業(yè)貧。。。12月-2212月-22Wednesday,December7,202210、雨中黃黃葉樹，，燈下白白頭人。。。21:22:2821:22:2821:2212/7/20229:22:28PM11、以我獨(dú)沈久久，愧君相見見頻。。12月-2221:22:2921:22Dec-2207-Dec-2212、故人人江海海別，，幾度度隔山山川。。。21:22:2921:22:2921:22Wednesday,December7,202213、乍見翻翻疑夢，，相悲各各問年。。。12月-2212月-2221:22:2921:22:29December7,202214、他鄉(xiāng)生生白發(fā)，，舊國見見青山。。。07十十二月20229:22:29下午午21:22:2912月-2215、比不了得就就不比，得不不到的就不要要。。。十二月229:22下下午12月-2221:22December7,202216、行動(dòng)出成果果，工作出財(cái)財(cái)富。。2022/12/721:22:2921:22:2907December202217、做前，，能夠環(huán)環(huán)視四周周；做時(shí)時(shí)，你只只能或者者最好沿沿著以腳腳為起點(diǎn)點(diǎn)的射線線向前。。。9:22:29下午午9:22下午午21:22:2912月-229、沒有失敗敗，只有暫暫時(shí)停止成成功！。12月-2212月-22Wednesday,December7,202210、很很多多事事情情努努力力了了未未必必有有結(jié)結(jié)果果，，但但是是不不努努力力卻卻什什么么改改變變也也沒沒有有。。。。21:22:2921:22:2921:2212/7/20229:22:29PM11、成成功功就就是是日日復(fù)復(fù)一一日日那那一一點(diǎn)點(diǎn)點(diǎn)點(diǎn)小小小小努努力力的的積積累累。。。。12月月-2221:22:2921:22Dec-2207-Dec-2212、世間成事，，不求其絕對對圓滿，留一一份不足，可可得無限完美美。。21:22:2921:22:2921:22Wednesday,December7,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2221:22:2921:22:29December7,202214、意志堅(jiān)強(qiáng)強(qiáng)的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。07十二二月20229:22:29下下午21:22:2912月-2215、楚塞三湘接接，荊門九派派通。。。十二月229:22下下午12月-2221:22December7,202216、少年年十五五二十十時(shí)，，步行行奪得得胡馬馬騎。。。2022/12/721:22:2921:22:2907December202217、空山山新雨雨后，，天氣氣晚來來秋。。。9:22:29下下午9:22下下午午21:22:2912月月-229、楊柳散散和風(fēng)，，青山澹澹吾慮。。。12月-2212月-22Wednesday,December7,202210、閱讀一一切好書書如同和和過去最最杰出的的人談話話。21:22:2921:22:2921:2212/7/20229:22:29PM11、越是是沒有有本領(lǐng)領(lǐng)的就就越加加自命命不凡凡。12月月-2221:22:2921:22Dec-2207-Dec-2212、越是無無能的人人，越喜喜歡挑剔剔別人的的錯(cuò)兒。。21:22:2921:22:2921:22Wednesday,December7,202213、知人者智，，自知者明。。勝人者有力力，自勝者強(qiáng)強(qiáng)。12月-2212月-2221:22:2921:22:29December7,202214、意志堅(jiān)強(qiáng)強(qiáng)的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。07十二二月20229:22:29下下午21:22:2912月-2215、最最具具挑挑戰(zhàn)戰(zhàn)性性的的挑挑戰(zhàn)戰(zhàn)莫莫過過于于提提升升自自我我。。。。十二二月月229:22下下午午12月月-2221:22December7,202216、業(yè)業(yè)余余生生活活要要有有意意義義，，不不要要越越軌軌。。2022/12/721:22:2921:22:2907December202217、一個(gè)個(gè)人即即使已已登上上頂峰峰，也也仍要要自強(qiáng)強(qiáng)不