华为防火墙基础自学系列 | IPsec技术详解

视频来源：B站《乾颐堂HCIP-HCIE-security安全 2019年录制》

一边学习一边整理老师的课程内容及试验笔记，并与大家分享，侵权即删，谢谢支持！

附上汇总贴：华为防火墙基础自学系列 | 汇总_COCOgsta的博客-CSDN博客

---

IPSec简介

IPSec is a defined encryption standard that encrypts the upper layers of the OSI model by adding a new predefined set of headers.A number of RFCs defined IPSec. IPSec is a mandatory requirement for IP version 6. (IPV6 is not covered in the examination.) IPSec ensures that the network layer of the OSI model is secured. In TCP/IP's case, this would be the IP network layer.

IPSec框架

两种加密学算法

对称密钥算法

非对称密钥算法

对称密钥算法

相同的密钥进行加解密

对称密钥算法特点

特点：

• 同一个密钥用于加解密。

优点：

• 速度快

• 安全

• 紧凑

缺点：

• 明文传输共享密钥，容易出现中途劫持和窃听的问题。

• 密钥数量是以参与者数量平方的速度增长（指数增长）。

• 因为数量过多，所以管理和存储会有很大问题。

• 不支持数字签名和不可否认性。

非对称密钥算法

不相同的密钥进行加解密

RSA密钥产生

RSA加密过程

注意：使用公钥加密私钥解密，实现数据私密性

非对称密钥算法特点

特点：

• 用一个密钥加密的东西只能用另一个密钥来解密。

• 仅仅只用于：密钥交换（加密密钥）和数字签名（加密散列）。

优点：

• 安全。

• 因为不必发送密钥给接受者，所以非对称加密不必担心密钥被中途截获的问题。

• 密钥数目和参与者的数目一样。

• 不需要事先在各参与者之间建立关系以交换密钥。

• 技术支持数字签名和不可否认性。

缺点：

• 非常非常慢。

• 密文会变长。

一个简洁而优雅的解决方案（加密）

一个简洁而优雅的解决方案（解密）

PGP交换公钥

PGP加密数据

PGP选择接收者密钥

不做签名

PGP解密

流行的加密算法

DES：Created by IBM, 56-bit key.(S)

3DES：Uses three DES keys on each block of data to create 168-bit keys.(S)

AES：Newer, More efficient algorithm, 128-, 192-, and 256-bit keys.(S)

RSA：Used for "MISC" encryption, 512-, 768-, 1024-, 2048-bit...or lager(A)

DH：Used commonly on VPN connections to allow secure transfer of shared secret keys (and helps generate shared secret keys) . 768-, 102-, 1536-bit...Or lager(A)

散列函数

A hash function is a means of turning data into a relatively small number that then may act as a digital fingerprint of the data。

指纹的工作示意图

散列函数工作示意图

散列函数特点

固定大小

雪崩效应

单向

冲突避免

流行的散列算法

MD5

SHA-1

SHA-2

实际运用