IPSec

IPSec协议族提供端到端的安全保护,包括AH和ESP协议,用于数据验证、完整性校验、加密。IKE协议负责密钥协商和安全联盟建立,支持主模式和野蛮模式。NAT-T技术解决IPSec与NAT共存问题。
摘要由CSDN通过智能技术生成

简介

IPSec协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络VPN。
在这里插入图片描述

IPSec协议体系

IPSec通过验证头AH和封装安全荷载ESP两个安全协议实现IP报文的安全保护。
在这里插入图片描述

  • AH是报文头验证协议i,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。
  • ESP是封装安全荷载协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。
  • AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。
  • IPSec加密和验证算法所使用的密钥可以手工配置,也可以通过因特网密钥交换IKE协议动态协商。
    在这里插入图片描述

IPSec基本概念

在这里插入图片描述

IPSec安全协议—AH

  • 提供数据源验证、完整性校验和抗重放
  • 不提供数据加密功能
  • AH用IP协议号51来标识
    在这里插入图片描述

IPSec安全协议—ESP

  • 提供数据真实性、数据完整性-抗重放、数据机密性
  • ESP用IP协议号来标识
    在这里插入图片描述

IPSec安全联盟

  • IPSec安全传输数据的前提是在IPSec对等体之间成功建立安全联盟SA。
  • SA是通信的IPSec对等体间对某些要素的约定。例如:对等体之间使用何种安全协议、需要保护的数据流特征、对等体间传输数据的封装模式、协议采用的加密算法、验证算法、对等体间使用何种密钥交换和IKE协议,以及SA的生存周期等。
  • SA由三元组来唯一标识,这个三元组包括安全参数索引SPI、目的IP地址和使用的安全协议号(AS或ESP)。
  • SA是单向的:In和Out方向各需要一个SA。
    在这里插入图片描述

封装模式—传输模式

在传输模式中,AH头或ESP头被插入到IP头与传输协议头之间,保护TCP/UDP/ICMP负载。
在这里插入图片描述

封装模式—隧道模式

在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。

  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Demon  

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值