IPSec

简介

IPSec协议族是IETF制定的一系列安全协议，它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络VPN。

IPSec协议体系

IPSec通过验证头AH和封装安全荷载ESP两个安全协议实现IP报文的安全保护。

• AH是报文头验证协议i，主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能。
• ESP是封装安全荷载协议，主要提供加密、数据源验证、数据完整性验证和防报文重放功能。
• AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。
• IPSec加密和验证算法所使用的密钥可以手工配置，也可以通过因特网密钥交换IKE协议动态协商。
  

IPSec基本概念

IPSec安全协议—AH

• 提供数据源验证、完整性校验和抗重放
• 不提供数据加密功能
• AH用IP协议号51来标识
  

IPSec安全协议—ESP

• 提供数据真实性、数据完整性-抗重放、数据机密性
• ESP用IP协议号来标识
  

IPSec安全联盟

• IPSec安全传输数据的前提是在IPSec对等体之间成功建立安全联盟SA。
• SA是通信的IPSec对等体间对某些要素的约定。例如：对等体之间使用何种安全协议、需要保护的数据流特征、对等体间传输数据的封装模式、协议采用的加密算法、验证算法、对等体间使用何种密钥交换和IKE协议，以及SA的生存周期等。
• SA由三元组来唯一标识，这个三元组包括安全参数索引SPI、目的IP地址和使用的安全协议号（AS或ESP）。
• SA是单向的：In和Out方向各需要一个SA。
  

封装模式—传输模式

在传输模式中，AH头或ESP头被插入到IP头与传输协议头之间，保护TCP/UDP/ICMP负载。

封装模式—隧道模式

在隧道模式下，AH头或ESP头被插到原始IP头之前，另外生成一个新的报文头放到AH头或ESP头之前，保护IP头和负载。