简介
IPSec协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络VPN。
IPSec协议体系
IPSec通过验证头AH和封装安全荷载ESP两个安全协议实现IP报文的安全保护。
- AH是报文头验证协议i,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。
- ESP是封装安全荷载协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。
- AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。
- IPSec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE协议动态协商。
IPSec基本概念
IPSec安全协议—AH
- 提供数据源验证、完整性校验和抗重放
- 不提供数据加密功能
- AH用IP协议号51来标识
IPSec安全协议—ESP
- 提供数据真实性、数据完整性-抗重放、数据机密性
- ESP用IP协议号来标识
IPSec安全联盟
- IPSec安全传输数据的前提是在IPSec对等体之间成功建立安全联盟SA。
- SA是通信的IPSec对等体间对某些要素的约定。例如:对等体之间使用何种安全协议、需要保护的数据流特征、对等体间传输数据的封装模式、协议采用的加密算法、验证算法、对等体间使用何种密钥交换和IKE协议,以及SA的生存周期等。
- SA由三元组来唯一标识,这个三元组包括安全参数索引SPI、目的IP地址和使用的安全协议号(AS或ESP)。
- SA是单向的:In和Out方向各需要一个SA。
封装模式—传输模式
在传输模式中,AH头或ESP头被插入到IP头与传输协议头之间,保护TCP/UDP/ICMP负载。
封装模式—隧道模式
在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。