IPSEC协议簇安全框架
需求背景
对保密性得需求越来越高——>
GRE、L2TP等VPN技术部支持保密性的要求——>
————>IPSec
IPSec VPN简介
- IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。
- IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
- IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
IPSec协议簇安全体系框架
IKE协商
IPSec协议簇
IPSEC工作模式
传输模式
- 主要应用场景:经常用于主机和主机之间端到端通信的数据保护。
- 封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据
隧道模式
- 主要应用场景:经常用于私网与私网之间通过公网进行通信,建立安全VPN通道。
IPSEC通信协议
AH协议
-
AH(Authentication Header,认证报头):
-
AH提供的安全服务:
- 无连接数据完整性 通过哈希函数(如MD5、SHA1)产生的校验来保证;
- 数据源认证 通过在计算验证码时加入一个共享密钥来实现;
- 抗重放服务 AH报头中的序列号可以防止重放攻击。
-
AH不提供任何保密性服务:它不加密所保护的数据包。
-
不论是传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTL和TOS字段)。
AH在传输模式下封装
AH在隧道模式下封装
ESP协议
- ESP(Encapsulating Security Payload,封装安全有效载荷):
- 保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。
- 数据流保密由隧道模式下的保密服务提供。
- ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。
ESP在传输模式下封装
ESP在隧道模式下封装
AH和ESP对比
安全特性 |
AH |
ESP |
协议号 |
< |