IPSecVPN(Internet Protocl Security):是一组基于网络层的,应用密码学的安全通信协议族。与TCP/IP协议簇一样,IPSec不是指具体的哪个协议,而是一个开放的协议簇。
IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务(综合了密码技术,和协议安全机制)
IPSec V皮N:是基于IPSec协议簇构建的在IP层实现的数据安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP,UDP,ICMP和隧道的IP数据包(如:GRE over IPSec后面会有文章介绍在思科设备上的配置方法)。V皮N只是IPSec协议簇的一种应用方式,V皮N也不知IPSec一种实现方式,还有2层(数据链路层),第四层(传输层)等实现方式
IPSec提供的服务:
数据完整性(Confidentiality)、数据机密性(Integrity)、数据源鉴别(Authentication)、
重传攻击保护(Anti-replay)、不可否认性(Non-repudiation)
IPSec协议簇安全体系框架
注:其中的加密算法、鉴别算法、解释域和密钥管理都是IKE进行协商。
加密算法:
密钥交换算法:
RSA(不对称密钥算法)
验证算法:
IKE(internet Key Exchange)
用于验证IPSec的对端体,协商IKE SA和IPSec SA的安全策略,验证加密材料的建立。
SA(Security Association)
两个通信实体经协商建立起来的一种协定,规定了通信实体将如何利用安全服务来实现安全的通讯。
IKE定义了安全参数如何协商,以及共享密钥如何建立,但它没有定义的是协商