摘要:
所有IPSec实现都必须使用的两个数据库:安全策略数据库(SPD);安全关联数据库(SADB)SPD存储了策略定义,它们决定了如何处理两个IPSec对等体之间的所有IP数据流:入站的和出站的。SADB包含每个活动安全关联的参数。安全策略数据库:目标IP地址源IP地址名称数据敏感性等级传输层协议源和目... 阅读全文
摘要:
IKE Phase 1创建IKE/ISAKMP SA,而Phase 2确定每个方向的IPSec SA。Phase 2也被称为快速模式。快速模式结束后,两个对等体便可以使用ESP或AH模式来传输数据流。由于IPSec SA是单向的,因此两个IPSec对等体之间至少有两个IPSec SA。快速模式交换3... 阅读全文
摘要:
IKE phase 1提供了两种模式:主模式和主动模式。每种模式的结果都是建立一个ISAKMP/IKE SA.IKE SA包含各种由两个对等体协商的参数。必要参数:加密算法、散列算法、验证算法、Diffie-Hellman组,还有诸如寿命等可选参数。crypto isakmp policy 1enc... 阅读全文
摘要:
IPSec使用Internet密钥交换(IKE)协议来安全地协商密钥。安全关联常被称为SA,它是IPSec的一个基本部件。SA是SA数据库(SADB)中的一个条目,SADB包含双方协商的IKE活IPSec安全信息。SA分两种:IKE(ISAKMP)SA;IPSec SA。对等体之间的IKE SA用于... 阅读全文
摘要:
AH提供无连接完整性、数据验证和可选的反重放保护,不提供机密性。AH的报头: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 ... 阅读全文
摘要:
ESP报头: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+... 阅读全文
摘要:
原始IP数据包:加了AH验证的数据包:加了ESP验证的数据包: 阅读全文
摘要:
IP原始数据包:加了AH验证的数据包:加了ESP验证的数据包: 阅读全文
摘要:
对称加密算法:DES、3DES、AES。DES使用56位的密钥,已不再是安全的;在1999年,使用枚举密钥搜索法在24h内就能破解DES密钥,因此3DES和AES是推荐的加密算法。 阅读全文
摘要:
The base architecture for IPsec compliant systems(IPSec基本架构和基本部件):Security Protocols(安全协议):Authentication Header (AH),Encapsulating Security Payload (... 阅读全文