摘要：Ipsec-tools有人工和自动两种方式来管理SA。Manual keyed connections using setkey所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。Transport Mode使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -f /etc/setkey.conf表示从setkey.conf文件中读取命令。一个可能的/etc/setkey.conf文件如下：#!/usr/sbin/setkey -f# Configuration for 192.168.1.100# 阅读全文

摘要：Ipsec中验证和加密的结合设计之初的设想是为一个IP数据包提供完整性、真实性和机密性要同时使用AH和ESP。（AH在ESP之前，接收方先检验数据包的真实性和完整性，然后尝试解密）但这导致IP数据包整体大小增加，所以将验证功能嵌入到ESP报尾，以保护ESP序列号和真正的有效载荷。用户可以选择依次单独使用AH和ESP，还是仅仅依赖ESP报头，在其报尾包含一个可选的验证功能。不管哪种方式选择传输模式还是隧道模式都与所使用的AH和ESP的组合无关。 阅读全文

摘要：IPSEC的安全性是建立在现代密码学基础上的。由密码协议和密码算法两方面来保证安全性。其中密码算法是基础，它可以提供数据的机密性，数据的完整性验证以及身份验证。1.数据的机密性和密钥算法。现代密码学中，数据的安全不能靠一个算法的保密性提供，而是靠密钥的保密性。算法总是公开的，而密钥需要保密。基于密钥的算法分为：对称密钥算法和非对称密钥算法。A.对称密钥算法：从加密的密钥可以推出解密的密钥，或加密的密钥就是解密的密钥，所以称为对称密钥。如果密钥相同，明文相同，则每次加密生成的密文也是相同的。所以提出加密块链接模式(CBC模式)来增加机密性，让相同的密钥加密相同的明文产生不同的密文。CBC模式的. 阅读全文

摘要：1.IPsectools包括setkey（配置规则策略）和racoon（密钥协商）。Setkey实现IPSec中SPD管理和SAD的管理，Racoon是IPSec-tools中IKE的实现。racoon支持多种验证方式，包括预共享密钥和X.509证书方式。本项目实现采用的是X.509证书方式。2.IPSEC的基础是现代密码学在计算机中的应用。它依靠加密算法来实现机密性，消息验证码MAC(MessageAuthenticationCode)来实现数据完整性,数字签名来实现身份验证。3.IPSEC可以分为两部分，一部分在TCP/IP协议栈中实现对输入和输出数据的加解密(AH协议和ESP协议)操作， 阅读全文