IPSec是一种开放标准的框架结构,在IP层通过加密和数据摘要等手段,来保证数据包在internet网上传输时的私密性,完整性和真实性。
IPSec只能在IP层工作,要求乘客协议和承载协议都是IP协议。
私密性:
IPSec通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性。
完整性:
IPSec通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整性。
安全性:
攻击者篡改数据后,可根据修改后的数据生成新的,掩盖自己的攻击行为,通过把数据和密钥一起进行hash运行,可以有效抵御上诉攻击。
传递密钥的方式通过DH算法。
真实性:
数据从对端发出,通过身份认证可以确保数据的真实性,常用的身份认证方式包括:
pre-shared key 预共享密钥
RSA Signatur 数字签名
预共享密钥:
是指通信双方在配置时手工输入相同的密钥
数字签名:
RSA密钥对,一个是可以向大家公开的公钥,另外一个是自己知道的私钥。
用公钥加密过的数据只有对应的私钥才能解开,使用私钥也是一样的道理
数字证书中存储了公钥,以及用户名等身份信息。