一.IPSec定义
---- Internet 协议安全
不是一个协议,由很多协议组成,是一个协议框架。为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改
IPSEC可以实现密文传输也可以实现明文传输
IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现Internet上数据的安全传输。支持IP上的多协议组合
二.IPSec组成和特性
1.组成
IPSec 由一类安全协议和密钥管理协议(IKE)组成
安全协议:AH、ESP
IKE协商定义了互联网通信双方之间如何协商密钥,密钥算法如何计算出来。
2.IPSec特性:
访问控制:PSK域共享密钥(类似“暗号”),数字证书(部署复杂),数字信封
功能:
身份认证:无连接的完整性、数据来源验证
完整性校验 (hash算法)
防重放方法:序列号或窗口机制
机密性(加密)支持对数据包做加密。
3.IPSec基本组件:
IPSec对等体,IPSec隧道,安全联盟,数据的封装模式,安全协议
(1)IPSec对等体
点对点的vpn协议,在协商发起方和相应方这两个端点之间提供安全的ip通信
(2)IPSec隧道
为对等体间建立 IPSec隧道来提供对数据流的安全保护
(3)安全联盟SA
一系列协商出来的参数
处于安全目的而创建的一个单向逻辑连接、是通信对等体间对某些要素的约定
SA由一个三元组来标识SPI,安全参数索引、目的ip地址和使用的安全协议
(4)数据封装模式
IPSec的两种封装模式
Transport Mode (传输模式)主机到主机,全网路由可达场景(不能跨越互联网)
Tunnel mode (隧道模式)可以隐藏ip地址。防火墙和防火墙之间的通信,始于转发设备对待保护流量进行封装处理的场景
(5)安全协议
a.安全协议AH
哈希范围是整个数据包
提供数据来源认证、数据完整性校验和报文防重放功能,不能对数据包实现加密
在标准ip包头后面添加AH头部。AH对数据包和认证密钥进行hash计算,接受方带有计算结果的数据包之后,
执行同样的hash计算并与源结果进行比较,确保无误
支持认证算法:MD5 SHA-1 SHA-2 SM3 前三个认证算法安全性由高到低
b.安全协议ESP
提供对有效载荷的加密功能
在标准ip包头后添加一个ESP报头,并在数据包后面追加一个ESP的尾。
三,IKE介绍
IKE负责自动建立和维护IKE SAS和IPSEC SAS,对双方进行认证
交换公共密钥,产生密钥资源(DH算法),管理密钥
协商协议参数(封装,加密,验证)
1.IKEv1
IKEv1是一个复合的协议---为了得出IPSec SA
(1)IKE的三个组件
SKEME:定义如何通过公共密钥技术(DH算法)实现密钥交换,不需要管理员配置。
Oakley:提供了IPSec对各种技术的支持,例如对新的加密和散列技术。并没有具体的定义使用什么样的技术。,不需要管理员配置。
ISAKMP:在两个实体间进行分组格式及状态转换的消息交换的体系结构
(2)IKE的三模式
IKEv1建立IKE SA的过程定义了主模式(main mode)和野蛮模式(aggressive mode)两种交换模式
主模式包含三次双向交换,用到了六条信息
野蛮模式只用到了三条信息
(3)主模式:用预共享密钥认证
数据交互之前要协商参数
步骤1.PROPOSAL 事先发给接受方即将发送的整套安全协议(DES、MD5、PSK,DH)以一组形式出现
步骤2.接收方要先确定是否支持,若都能,接收方给发送方回应ACK
步骤1和步骤2 报文完成参数的协商,需要管理员完成配置