Isec Isec的安全组件和KI公密钥基础架构

IPsecIPsec的安全组件和PKI公共密钥基础架构IPsec概述什么是IPsecIPsec是IETF的标准,其在网络层使用加密机制实现:IP报文的认证为每一个数据包提供数据完整性的保证对数据进行机密性的保护IPsec由一系列的开放标准组成，用于保护秘密的通信不管是小型的网络还是大型的网络都可以实施IPsec技术IPsecInternetIPsec协议IPsec使用三个主要的协议构建了安全框架:InternetKeyExchange(IKE):为安全框架提供了安全参数协商能力建立认证密钥EncapsulatingSecurityPayload(ESP):为安全框架提供了加密,认证,完整性特性对数据实施保护AuthenticationHeader(AH):仅仅提供了身份认证,完整性保护特性InternetKeyExchangeInternetKeyExchangeIKE能够自动的实现密钥的交换，简化了手工配置的复杂性。同时也解决了IPsec难以扩展的特性。其主要功能:协商SA的安全特性密钥的自动生成易于管理和配置IKE阶段阶段一:认证对等体协商安全安联(安全联盟)两种工作模式:Mainmode和aggressivemode阶段二:协商IPsecSAs/SPIs单一工作模式:快速模式IKE阶段一完成后会产生一个共享密钥,用于阶段二的数据加密使用.ESP和AH协议ESP和AH协议IPsec协议:ESP和AHESP的IP协议号为50AH的IP协议号为51IPsec模式:隧道和传输模式隧道模式会为原始的IP数据包添加额外的IP报头消息的加密依赖于对称式加密算法ESP和AH的报文ESP能够实现对原始的数据包的认证和加密.AH仅仅提供了数据报头的认证能力,其不能够提供加密特性.IPHDRAHIPHDRESPAH认证和完完整性AH协议对数数据与密钥进进行散列运算算,将产生的的值附加在报报文中,对等等体仅需要采采用相同的方方式进行运算算并比较,即即可确认发送送方的身份和和报文完整性性.ESP协议使用加密提供供数据机密性性保证使用与AH相同的方法提提供了认证和和完整性的确确认隧道与传输模模式隧道模式提供供了站点到站站点数据传输输保护,其能够为inside网络提供穿越越公网的能力力.传输模式通常常使用在双方方拥有能够直直接通讯IP地址的情况下下.认证与完整性性使用HASH算法提供认认证和完整性性MAC通常用于消息息的认证和完完整性检测.哈希算法被广广泛的用于此此处,并被称为HMAC机制.通用的哈希算算法哈希散列算法法为单向算法法,即不能根据结结果值推算原原始数据信息息.通常会将产生生的结果值称称为散列值,指纹或者是““消息摘要””.MD5提供了128-bit输出.SHA-1算法提供了160-bit输出,但在IPsec中仅仅只使用用前96位.SHA-1比MD5更具有安全性性,但其运算较慢慢.对称与不对称称算法对称与不对称称算法对称式算法:加密和解密使使用相同的密密钥通常用于消息息的内容加密密例如:DES,3DES,AES不对称式算法法:加密和解密使使用不同的密密钥通常用于数字字证书和密钥钥管理例如:RSA对称与不对称称密钥长度SymmetricKeyLengthAsymmetricKeyLength80102411220481283072192768025615,360由于对称式加加密和不对称称式加密一般般用于不同的的目的,因此其密钥长长度也不相同同.两者并不具有有可比性.加密算法的安安全级别SecurityLevelWorkFactorAlgorithmsWeakO(240)DES,MD5LegacyO(264)RC4,SHA-1BaselineO(280)3DESStandardO(2128)AES-128,SHA-256HighO(2192)AES-192,SHA-384UltraO(2256)AES-256,SHA-512加密算法:DES对称式的加密密算法使用56位长度的密钥钥对64位数据块进行行加密DES加密后数据,意味着其可能能会有72,057,594,037,927,936种密钥组合.加密算法:3DES对称式的加密密算法168-bit密钥长度加密操作大概概是DES的3倍时间使用三个不同同的56-bit密钥对64-bit数据块实施:加密,加密,加密可能会产生2168=3.7*1050种不同的密钥钥组合加密算法:AES对称式的加密密算法DES和3DES替代者早期被称为““Rijndael”算法其支持128,192,256-bit长度密钥加密算法:RSA基于Diffie-Hellman密钥交换原则则公钥用于加密密数据同时用用于确认数字字签名私钥用于解密密数据同时用用于签署数字字签名Diffie-Hellman密密钥交换PKI–公共密钥基础础架构PKI架构构CertificateAuthority证书权威威中心PKI系统是以信任任为基础通过发布数字字证书,并且将用户身身份信息绑定定到用户公钥钥证书中方式式,确认用户身份份.撤销证书需要要发布使用CRL(证书撤销列表表).X.509v3证书书结构PKI消息息交换PKI证书书存储如何存储PKI的信任证书:RSA产生的公钥证证书路由器的NVRAM中eToken方式:驱动程序内嵌嵌操作系统USB方式9、静夜四无无邻，荒居居旧业贫。。。12月-2212月-22Wednesday,December7,202210、雨中黄黄叶树，，灯下白白头人。。。21:22:2821:22:2821:2212/7/20229:22:28PM11、以我独沈久久，愧君相见见频。。12月-2221:22:2921:22Dec-2207-Dec-2212、故人人江海海别，，几度度隔山山川。。。21:22:2921:22:2921:22Wednesday,December7,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2221:22:2921:22:29December7,202214、他乡生生白发，，旧国见见青山。。。07十十二月20229:22:29下午午21:22:2912月-2215、比不了得就就不比，得不不到的就不要要。。。十二月229:22下下午12月-2221:22December7,202216、行动出成果果，工作出财财富。。2022/12/721:22:2921:22:2907December202217、做前，，能够环环视四周周；做时时，你只只能或者者最好沿沿着以脚脚为起点点的射线线向前。。。9:22:29下午午9:22下午午21:22:2912月-229、没有失败败，只有暂暂时停止成成功！。12月-2212月-22Wednesday,December7,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。21:22:2921:22:2921:2212/7/20229:22:29PM11、成成功功就就是是日日复复一一日日那那一一点点点点小小小小努努力力的的积积累累。。。。12月月-2221:22:2921:22Dec-2207-Dec-2212、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。21:22:2921:22:2921:22Wednesday,December7,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2221:22:2921:22:29December7,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。07十二二月20229:22:29下下午21:22:2912月-2215、楚塞三湘接接，荆门九派派通。。。十二月229:22下下午12月-2221:22December7,202216、少年年十五五二十十时，，步行行夺得得胡马马骑。。。2022/12/721:22:2921:22:2907December202217、空山山新雨雨后，，天气气晚来来秋。。。9:22:29下下午9:22下下午午21:22:2912月月-229、杨柳散散和风，，青山澹澹吾虑。。。12月-2212月-22Wednesday,December7,202210、阅读一一切好书书如同和和过去最最杰出的的人谈话话。21:22:2921:22:2921:2212/7/20229:22:29PM11、越是是没有有本领领的就就越加加自命命不凡凡。12月月-2221:22:2921:22Dec-2207-Dec-2212、越是无无能的人人，越喜喜欢挑剔剔别人的的错儿。。21:22:2921:22:2921:22Wednesday,December7,202213、知人者智，，自知者明。。胜人者有力力，自胜者强强。12月-2212月-2221:22:2921:22:29December7,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。07十二二月20229:22:29下下午21:22:2912月-2215、最最具具挑挑战战性性的的挑挑战战莫莫过过于于提提升升自自我我。。。。十二二月月229:22下下午午12月月-2221:22December7,202216、业业余余生生活活要要有有意意义义，，不不要要越越轨轨。。2022/12/721:22:2921:22:2907December202217、一个个人即即使已已登上上顶峰峰，也也仍要要自强强不