Ipsec is a frame,每次用的具体算法由协商来决定,在peer之间协商的协议叫做IKE
the IPsec head encalpsulated between Ip header and IP payload ,可以对payload进行加密
| hash 散列函数 | MD5(128 bit),SHA(160bit) | Integrity 1.固定大小 2.雪崩效应 3 单向 4.冲突避免 确保唯一性 |
|---|---|---|
| 加密算法 | DES,3DES,AES(对称) RSA,DH (非对称):速度奇慢 | confidentiality 分为对称加密和非对称加密 |
| 封装协议 | AH,ESP | |
| 封装模式 | tunnel,tranport | |
| 密钥有效期 | 3600,1800 |
对称加密: 加密双方使用相同的密钥和算法进行加解密
非对称加密:公钥(私钥)加密,私钥(公钥)解密 (用于对数据进行加密, 实现数字签名:用发起方私钥加密后的hash值)
- A 先获取B的公钥
- A 用B的公钥对信息加密
- B用自己的私钥进行解密
对称不对称混用 (发送方,随机密钥对称加密明文,公钥不对称加密随机密钥 并打包发送| | 接收方,私钥不对称解密密钥,密钥对称解密明文)
- A 根据算法随机产生密钥(用于对称密钥加密)
- 对明文信息用刚才产生的密钥进行对称加密 得到密文
- A 预先知道B 的公钥, 用B的公钥对步骤一产生的随机密钥进行加密
- 对 2 和 3 的密文和密钥包进行打包, 一起发送给B
接收方解密
- B 使用私钥进行解密,将步骤一的密钥提取出来
- 用密钥解密明文 (使用对称密钥算法)
对称密钥算法 使用随机产生密钥 加密 实际 数据 ( 速度快,密文紧凑)
非对称密钥算法 使用对方公钥 加密 随机产生密钥 (安全)