身份验证

IPsec VPN 支持身份验证。 在开展远距离业务时,需要知道电话、电子邮件或传真的另一端是谁。 VPN 网络也是如此。 VPN 隧道另一端的设备必须通过身份验证才能认为通信路径是安全的,如图所示。 有以下两种对等身份验证方法:

IPsec 在 IKE 中使用 RSA(公钥加密系统)进行身份验证。 RSA 签名方法使用数字签名设置,在该设置下每台设备对一组数据进行数字签名并将其发送给另一方。 RSA 签名使用证书授权 (CA) 生成唯一的身份数字证书,分配给每个对等设备以进行身份验证。 身份数字证书的功能类似于 PSK,但它可以提供更强的安全性。 IKE 会话中使用 RSA 签名的每个发起方和响应方都会发送自己的 ID 值、身份数字证书以及由各种 IKE 值组成的 RSA 签名值,所有这些都通过已协商的 IKE 加密方法(例如 AES)进行了加密。

数字签名算法 (DSA) 是身份验证的另一个选项。