ipsec的工作原理ssl证书的工作原理

?IPSec（IPSecurity）是一种由IETF设计的端到端的确保IP层通信安全的机制。

?IPSec协议可以为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，保证数据的完整性和机密性，有效抵御网络攻击。

?IPSec不是一个单独的协议，而是一组协议，IPSec协议的定义文件包括了12个RFC文件和几十个草案，已经成为工业标准的网络安全协议。

可以同时提供数据完整性确认、数据来源确认、防重放等安全特性；AH常用摘要算法HMAC-MD5和HMAC-SHA1实现该特性。

?ESP协议（EncapsulatingSecurityPayload，IP协议号50）

可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用HMAC-MD5或HMAC-SHA1来实现

?安全关联（SecurityAssociation，简称SA）是两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种协定，内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口，从而决定了保护什么、如何保护以及谁来保护。可以说SA是构成IPSec的基础。

?SA是单向的，入方向（inbound）SA负责处理接收到的数据包，出方向（outbound）SA负责处理要发送的数据包。因此每个通信方必须要有两种SA，一个入方向SA，一个出方向SA，这两个SA构成了一个SA束（SABundle）。

?第一阶段无论是使用mainmode还是aggressivemode，目的都是产生ISAKMP/IKESA，用ISAKMP/IKESA为产生第二阶IPSecSA的ISAKMP消息交互过程进行保护。

–IPSec实体双方交互SA载荷，选择相同ISAKMP消息的保护策略及认证方式，双方必须达成一致，否则第一阶段协商失败

–第5、6个报文使用第3、4个报文交互后产生的相关密钥进行验证及加密处理。IPSec实体双方分别对对方进行验证，若使用pre-sharekey的验证方式，即判断对方是否拥有与本地相同的pre-sharekey。双方的Key配置必须一致，否则第一阶段协商失败。

?确定IPSecSA的保护策略，使用AH还是ESP、传输模式还是隧道模式、被保护的数据是什么等等，IPSec通信实体双方对于这些安全策略必须达成一致，否则IKE第二阶段协商将无法通过。

?为降低密钥之间的关联性，第二阶段采用PFS重新进行DH交换，并计算出新的共享密钥，从而计算出IPSecSA中用于加密和验证的密钥。

1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。

2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。