IPSec

一.IPSec定义

         ---- Internet 协议安全

  不是一个协议，由很多协议组成，是一个协议框架。为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改

IPSEC可以实现密文传输也可以实现明文传输

IPSec通过在IPSec对等体间建立双向安全联盟，形成一个安全互通的IPSec隧道，来实现Internet上数据的安全传输。支持IP上的多协议组合

 

 

二.IPSec组成和特性

1.组成

IPSec 由一类安全协议和密钥管理协议（IKE）组成

安全协议：AH、ESP

IKE协商定义了互联网通信双方之间如何协商密钥，密钥算法如何计算出来。

 

2.IPSec特性：

访问控制：PSK域共享密钥（类似“暗号”），数字证书（部署复杂），数字信封

功能：

身份认证：无连接的完整性、数据来源验证

完整性校验 （hash算法）

防重放方法：序列号或窗口机制

机密性（加密）支持对数据包做加密。

 

3.IPSec基本组件：

IPSec对等体，IPSec隧道，安全联盟，数据的封装模式，安全协议

 

（1）IPSec对等体

点对点的vpn协议，在协商发起方和相应方这两个端点之间提供安全的ip通信

（2）IPSec隧道

为对等体间建立 IPSec隧道来提供对数据流的安全保护

（3）安全联盟SA

  一系列协商出来的参数

   处于安全目的而创建的一个单向逻辑连接、是通信对等体间对某些要素的约定

   SA由一个三元组来标识SPI，安全参数索引、目的ip地址和使用的安全协议

（4）数据封装模式

IPSec的两种封装模式

Transport Mode （传输模式）主机到主机，全网路由可达场景（不能跨越互联网）

 

Tunnel mode （隧道模式）可以隐藏ip地址。防火墙和防火墙之间的通信，始于转发设备对待保护流量进行封装处理的场景

（5）安全协议

a.安全协议AH

     哈希范围是整个数据包

提供数据来源认证、数据完整性校验和报文防重放功能，不能对数据包实现加密

在标准ip包头后面添加AH头部。AH对数据包和认证密钥进行hash计算，接受方带有计算结果的数据包之后，

执行同样的hash计算并与源结果进行比较，确保无误

支持认证算法：MD5 SHA-1 SHA-2 SM3 前三个认证算法安全性由高到低

 

b.安全协议ESP

   提供对有效载荷的加密功能

   在标准ip包头后添加一个ESP报头，并在数据包后面追加一个ESP的尾。

 

 

 

三，IKE介绍

IKE负责自动建立和维护IKE SAS和IPSEC SAS，对双方进行认证

交换公共密钥，产生密钥资源（DH算法），管理密钥

协商协议参数（封装，加密，验证）

 

1.IKEv1

IKEv1是一个复合的协议---为了得出IPSec SA

（1）IKE的三个组件

 

 

SKEME:定义如何通过公共密钥技术（DH算法）实现密钥交换，不需要管理员配置。

Oakley：提供了IPSec对各种技术的支持，例如对新的加密和散列技术。并没有具体的定义使用什么样的技术。，不需要管理员配置。

ISAKMP：在两个实体间进行分组格式及状态转换的消息交换的体系结构

 

 （2）IKE的三模式

IKEv1建立IKE SA的过程定义了主模式（main mode）和野蛮模式（aggressive mode）两种交换模式

 

主模式包含三次双向交换，用到了六条信息

野蛮模式只用到了三条信息

 

（3）主模式：用预共享密钥认证

数据交互之前要协商参数

步骤1.PROPOSAL 事先发给接受方即将发送的整套安全协议（DES、MD5、PSK，DH）以一组形式出现

步骤2.接收方要先确定是否支持，若都能，接收方给发送方回应ACK

步骤1和步骤2 报文完成参数的协商，需要管理员完成配置