通過“IPSEC之一”中的加密學內容,大概清楚了一些加密學知識,本篇來看一下IPSEC中的加密學,同樣涉及三個方面:數據私密性,數據完成性,來源的認證。
IPSEC中數據私密性
也就是加密,在上篇的“方案1”中,我們知道,數據加密的過程大概是這樣的:發送者隨機產生一個數,使用這個隨機數對數據進行加密,再使用接收者的公鑰對隨機數加密,和加密後的數據一起發送給接收者,接收者接收到數據後,首先使用自己的私鑰解密,獲得發送者發過來的隨機數,再使用此隨機數對數據進行解密。總結一下就是使用對稱密鑰對數據進行加密,再使用RSA技術來交換密鑰。
但是在IPSEC中,採用的並不是以上講述的方法,而是採用DH來進行密鑰交換,下面來看一下DH交換密鑰的基本過程:
1、首先雙方都生成一個隨機數,a和b
2、各自根據生成的a和b,再分別得到c和d,發送給對方
3、根據自己生成的隨機數和交換得到的d和c,最後計算得到密鑰
通過DH生成密鑰之後,IPSEC會使用此密鑰來生成其它三個密鑰(數據加密與認證密鑰,加密IKE信息<即第一階段的5、6個包>,用於生成其它密鑰)
IPSEC數據的完整性及來源認證
身份認證的方式有兩種:
1、預共享密鑰
2、數字簽名+數字證書
一般都用預共享密鑰(密鑰來源於上步產生的密鑰),數字簽名的方式太慢了