~~~~~~~~ 因为想要面对一个新的开始,一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些,就不叫新的开始,而叫逃亡。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ————玛丽亚·杜埃尼亚斯
Ipsec 简介
IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议簇。
IPSec VPN:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
Ipsec协议簇
Ipsec的工作模式
1 传输模式
主要用于主机和主机之间端到端通信的数据保护
封装方式:不改变原有的ip报头,在原数据报头后面插入ipsec报头,只封装数据部分。
2 隧道模式
主要用于私网与私网之间通过公网进行通信,建立安全VPN通道。
封装方式:增加新的IP(外网IP)头,其后是ipsec包头,之后再将原来的整个数据包封装。
两个通信保护协议
1 AH协议
封装模式
报文验证头协议AH(协议号51)提供如下安全服务:
a:无连接数据完整性(通过哈希函数(如MD5、SHA1)产生的校验来保证)
b:数据源认证(通过在计算验证码时加入一个共享密钥来实现)
c:抗重放攻击(AH报头中的序列号可以防止重放攻击)
2 ESP协议
封装模式
报文安全封装协议ESP(协议号50)对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,IP分组头部不被包括在内。
ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。
ESP提供的安全服务:
a:无连接数据完整性
b:数据源认证
c:抗重放攻击
d:数据加密
e:有限的数据流保护
IPsec VPN建立
安全联盟(SecurityAssociation,简称SA)SA是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的IPsec协议、转码方式、密钥、以及密钥的有效存在时间等等。任何IPsec实施方案始终会构建一个SA数据库(SADB),由它来维护IPsec协议,用来保障数据包安全。
IKE
因特网密钥交换协议(IKE),为ipsec提供了自动协商交换密钥,建立安全联盟的服务,通过数据交换来计算密钥。
Ipsec与IKE的关系
第一阶段内容
通信各方彼此间建立了一个已通过身份验证和安全保护的通道,用于传输第二阶段的对称密钥,此阶段的交换生成了一个ISAKMP SA(也可称为IKE SA)
两种模式:
1 主模式协商(慢,严谨 只能使用IP地址)建议同一个厂商用主模式,用了6个包
2 野蛮模式(Aggressive)协商(快,不严谨 可以使用用户名等)建议不同一个厂商用野蛮模式协商
第二阶段内容
双方协商IPSec安全参数,称为变换集transform set ,建立一个供数据传输的安全通道 。此阶段的交换生成了IPsec SA
Transform set包括:
加密算法
Hash算法
安全协议
封装模式
存活时间
DH算法