如何進(jìn)行IPSec原理分析

如何進(jìn)行IPSec原理分析，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

IKE——因特網(wǎng)密鑰交換協(xié)議(Internet Key Exchange)

基本概念

作用

IKE協(xié)議常用來確保虛擬專用網(wǎng)絡(luò)VPN（virtual private network）與遠(yuǎn)端網(wǎng)絡(luò)或者宿主機(jī)進(jìn)行交流時(shí)的安全(包括交換和管理在VPN中使用的密鑰)

IKE為IPSec提供了協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)(首先對(duì)等體間建立一個(gè)IKE SA，在IKE SA的保護(hù)下，根據(jù)對(duì)等體間配置的AS/ESP協(xié)議的加密算法、預(yù)共享密鑰等協(xié)商出IPSec SA)，簡(jiǎn)化IPSec的使用和管理

組成

IKE屬于一種混合型協(xié)議，由三個(gè)協(xié)議(組件)組成：

1：Internet安全關(guān)聯(lián)和密鑰管理協(xié)議——ISAKMP(框架)

2：密鑰交換協(xié)議——OAKLEY(基于到達(dá)兩個(gè)對(duì)等體間的加密密鑰交換機(jī)制)

3：密鑰交換協(xié)議——SKEME(實(shí)現(xiàn)公鑰加密認(rèn)證的機(jī)制)

IKE創(chuàng)建在由ISAKMP定義的框架上(UDP 500)，沿用了OAKLEY的交換模式、SKEME的共享和密鑰更新技術(shù)，還定義了它自己的兩種密鑰交換模式

IKE協(xié)商SA類型

階段一：IKE(ISAKMP) SA

階段二：IPSec SA

IKE的安全機(jī)制

身份認(rèn)證方式()

確認(rèn)通信雙方身份

預(yù)共享密鑰(pre-shared key)認(rèn)證

數(shù)字簽名(digital signature)認(rèn)證

數(shù)字信封認(rèn)證

預(yù)共享密鑰認(rèn)證

發(fā)起者和響應(yīng)者必須事先協(xié)商一個(gè)共享密鑰，信息在傳輸前使用共享密鑰加密，接收端使用同樣的密鑰解密。如果接收方能解密，即認(rèn)為可以通過認(rèn)證(若是手動(dòng)模式，則預(yù)共享密鑰是自己手動(dòng)在兩端配置的；若是IKE自動(dòng)協(xié)商模式，則預(yù)共享密鑰是通過DH算法動(dòng)態(tài)生成的)

優(yōu)缺點(diǎn)

配置簡(jiǎn)單，但使用預(yù)共享密鑰，當(dāng)出現(xiàn)一對(duì)多的情況時(shí)，需要為每一個(gè)對(duì)等體配置預(yù)共享密鑰，適合于小型網(wǎng)絡(luò)，對(duì)于大型網(wǎng)絡(luò)安全性較低

數(shù)字證書認(rèn)證(一般使用RSA)

在數(shù)字證書認(rèn)證中，通信雙方使用CA頒發(fā)的數(shù)字證書進(jìn)行合法性驗(yàn)證，雙方各有自己的公鑰(網(wǎng)上傳輸)和私鑰(自己持有)

發(fā)送方對(duì)原始報(bào)文進(jìn)行Hash計(jì)算，并用自己的私鑰對(duì)報(bào)文計(jì)算結(jié)果進(jìn)行加密，生成數(shù)字證書。接收方使用發(fā)送方的公鑰對(duì)數(shù)字簽名進(jìn)行解密，并對(duì)報(bào)文進(jìn)行Hash計(jì)算(對(duì)發(fā)送來的報(bào)文進(jìn)行Hash計(jì)算)，判斷計(jì)算結(jié)果與解密后的結(jié)果是否相同。若相同，則認(rèn)證通過；否則失敗

優(yōu)缺點(diǎn)

數(shù)字證書安全性較高，但需要CA來頒發(fā)數(shù)字證書，且存在有效CRL及時(shí)性差：即有證書被竊取從CA吊銷后，因未即使更新CRL導(dǎo)致被劫持等攻擊

數(shù)字信封認(rèn)證

被公鑰加密的對(duì)稱密鑰稱為數(shù)字信封

發(fā)送方首先產(chǎn)生一個(gè)對(duì)稱密鑰，使用接收方的公鑰對(duì)此對(duì)稱密鑰進(jìn)行加密。發(fā)送方用對(duì)稱密鑰加密報(bào)文，同時(shí)用自己的私鑰生成數(shù)字簽名。

接收方用自己的私鑰解密數(shù)字信封得到對(duì)稱密鑰，再用對(duì)稱密鑰解密報(bào)文。同時(shí)根據(jù)發(fā)送方的公鑰對(duì)數(shù)字簽名進(jìn)行解密，驗(yàn)證發(fā)送方的數(shù)字簽名是否正確。正確則驗(yàn)證通過

優(yōu)缺點(diǎn)

數(shù)字信封認(rèn)證在設(shè)備需要符合國(guó)家密碼管理局要求時(shí)使用，但此認(rèn)證方法只能在IKEv1的主模式協(xié)商過程中使用

身份保護(hù)

身份數(shù)據(jù)在密鑰產(chǎn)生后加密傳輸，實(shí)現(xiàn)了對(duì)身份數(shù)據(jù)的保護(hù)

DH

DH，全稱：Diffie-Hellman密鑰交換。

作用

使用這種算法，通信雙方僅通過交換一些可以公開的信息就能夠生成出共享的秘密數(shù)字，而這一秘密數(shù)字就可以被用作對(duì)稱密碼的密鑰

具體交換過程(本過程借用《圖解密碼學(xué)》中的事例)

通信雙方為Alice與Bob

1：Alice向Bob發(fā)送兩個(gè)質(zhì)數(shù)P和G

P必須是一個(gè)非常大的質(zhì)數(shù)，而G要是一個(gè)與P相關(guān)的數(shù)，稱為生成元(generator)

2：Alice生成一個(gè)隨機(jī)數(shù)A

A是一個(gè)1~P-2之間的整數(shù)

3：Bob生成一個(gè)隨機(jī)數(shù)B

B也是一個(gè)1~P-2之間的整數(shù)

4：Alice將G^A mod P這個(gè)數(shù)發(fā)給Bob

5：Bob將G^B mod P這個(gè)數(shù)發(fā)給Bob

6：Alice用Bob發(fā)送過來的數(shù)計(jì)算A次方并求mod P

(G^B mod P)^A mod P =G^{B x A}mod P

7：Alice用Bob發(fā)送過來的數(shù)計(jì)算B次方并求mod P

(G^A mod P)^B mod P =G^{A x} B mod P

此時(shí)Alice與Bob兩端即可生成兩個(gè)相同的共享密鑰

PFS

PFS，全稱：Perfect Forward Secrecy 完美向前保密

完美的前向安全性是一種安全特性，指一個(gè)密鑰被破解，并不會(huì)影響其他密鑰的安全性(即一系列密鑰間沒有派生關(guān)系，即使一個(gè)被破解，也不會(huì)導(dǎo)致其他密鑰被破解)

具體過程

IPSec SA的密鑰是從IKE SA的密鑰導(dǎo)出的，由于一個(gè)IKE SA協(xié)商生成一對(duì)或多對(duì)IPSec SA，當(dāng)IKE的密鑰被竊取后，攻擊者將可能收集到足夠的信息來導(dǎo)出IPSec SA的密鑰，PFS通過執(zhí)行一次額外的DH交換，保證IPSec SA密鑰的安全。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注億速云行業(yè)資訊頻道，感謝您對(duì)億速云的支持。