通过“IPSEC之一”中的加密学内容,大概清楚了一些加密学知识,本篇来看一下IPSEC中的加密学,同样涉及三个方面:数据私密性,数据完成性,来源的认证。
IPSEC中数据私密性
也就是加密,在上篇的“方案1”中,我们知道,数据加密的过程大概是这样的:发送者随机产生一个数,使用这个随机数对数据进行加密,再使用接收者的公钥对随机数加密,和加密后的数据一起发送给接收者,接收者接收到数据后,首先使用自己的私钥解密,获得发送者发过来的随机数,再使用此随机数对数据进行解密。总结一下就是使用对称密钥对数据进行加密,再使用RSA技术来交换密钥。
但是在IPSEC中,采用的并不是以上讲述的方法,而是采用DH来进行密钥交换,下面来看一下DH交换密钥的基本过程:
1、首先双方都生成一个随机数,a和b
2、各自根据生成的a和b,再分别得到c和d,发送给对方
3、根据自己生成的随机数和交换得到的d和c,最后计算得到密钥
通过DH生成密钥之后,IPSEC会使用此密钥来生成其它三个密钥(数据加密与认证密钥,加密IKE信息<即第一阶段的5、6个包>,用于生成其它密钥)
IPSEC数据的完整性及来源认证
身份认证的方式有两种:
1、预共享密钥
2、数字签名+数字证书
一般都用预共享密钥(密钥来源于上步产生的密钥),数字签名的方式太慢了