IPsec协议的两种工作方式:
隧道(tunnel)模式:用户的整个IP数据报被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。
传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP报头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。
在tunnel和transport模式下的数据封装形式如下图所示,图中data为原IP报文。
两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP报头域都是不加密发送的。
IPsec协议族中的协议可划分为一下三个部分:
IP安全数据报的两个协议:鉴别首部AH协议和封装安全有效载荷ESP协议
有关加密算法的三个协议
互联网密钥交换IKE协议。
AH协议功能:
源点鉴别 数据完整性 不能提供保密
ESP协议功能:
- AH提供的所有功能
- 数据报加密和数据流加密
IPsec
我们经常使用的虚拟专用网(某PN),在某PN中传送的信息都是经过加密的,而IPsec就是提供的这个服务。
IPsec并不是一个单一协议,而是能够在IP层提供互联网通信安全的协议族。IPsec并没有限定用户必须使用何种特定的加密和鉴别算法。实际上,IPsec是个框架,它允许通信双方选择合适的算法和参数(例如:密钥长度)。为了保证互操作性,IPsec还包含了一套加密算法,所有IPsec的实现都必须使用。