IPSec协议简介

IPSec协议是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task
Force,Internet工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。IPSec 协议不是一个单独的协议,它给出了 IP 网络上数据安全的一整套体系结构。包括AH(Authentication Header)、ESP(Encapsulating Security Payload )、IKE (Internet Key Exchange )等协议。GRE和IPSec 主要用于实现专线 ×××业务。IPSec 是网络层的安全机制。通过对网络层包信息的保护,上层应用程序即使没有实现安全性,也能够自动从网络层提供的安全性中获益。这打消了人们对×××(Virtual Private Network,虚拟专用网络)安全性的顾虑,使得×××得以广泛应用。IPSec是一个用于保证通过IP网络进行安全(保密性、完整性、真实性)的秘密通信的开放式标准框架。IPSec实现了网络层的加密和认证,在网络体系结构中提供了一种端到端的安全解决方案。IPSec加密的数据包可以通过任何IP网络,而不需要对中间的网络互联设备做任何的改变需要知道加密的惟一设备是端点,大大降低了实现和管理的成本
IPSec提供的服务
1)认证:报文认证,确定接收的数据与发送的数据是否一致,同时确定发送者是否真实
2)数据完整性验证:保证数据传送过程没有被修改
3)保密:使相应的接收者能获取发送的真正的内容,无关接收者无法获知
IPSec提供的三种保护形式:
1)认证头(Authentication Header,AH)
提供数据源认证无连接的数据完整性服务
2)封装安全载荷(Encapsulating Security Payload,ESP)
提供数据源认证无连接的数据完整性服务
无连接的数据保密服务:合法的接收端能够真正看到IP包中的数据AH和ESP是一套协议的两个不同机制,可单独使用,也可组合使用,以满足不同的安全要求AH和ESP可工作于两种模式:传输模式和隧道模式
3)互联网密钥管理协议(IKMP)
IPSec对报文的处理过程
IPSec对报文的处理过程如下(以AH协议为例):
(1) 对报文添加认证头:从IPSec队列中读出IP模块送来的IP报文,根据配置选择的协议模式(传输或是隧道模式)对报文添加AH头,再由IP层转发。
(2) 对报文进行认证后解去认证头:IP层收到IP报文经解析是本机地址,并且协议号为51,则查找相应的协议开关表项,调用相应的输入处理函数。此处理函数对报文进行认证和原来的认证值比较,若相等则去掉添加的AH头,还原出原始的IP报文再调用IP输入流程进行处理;否则此报文被丢弃。
与IPSec相关的几个术语
1)数据流:在IPSec中,一组具有相同源地址/掩码、目的地址/掩码和上层协议的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定义,所有为ACL允许通过的报文在逻辑上作为一个数据流。为更容易理解,数据流可以比作是主机之间一个的TCP连接。IPSec 能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法或密钥。
2) 安全策略:由用户手工配置,规定对什么样的数据流采用什么样的安全措施。对数据流的定义是通过在一个访问控制列表中配置多条规则来实现,在安全策略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由“名字”和“顺序号”共同唯一确定。
3) 安全策略组:所有具有相同名字的安全策略的集合。在一个接口上,可应用或者取消一个安全策略组,使安全策略组中的多条安全策略同时应用在这个接口上,从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中,顺序号越小的安全策略,优先级越高。
4)安全联盟(Security Association,简称SA):IPSec对数据流提供的安全服务通过安全联盟SA来实现,它包括协议、算法、密钥等内容,具体确定了如何对IP报文进行处理。一个SA就是两个IPSec系统之间的一个单向逻辑连接,输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组(安全参数索引(SPI)、IP 目的地址、安全协议号(AH或ESP))来唯一标识。安全联盟可通过手工配置和自动协商两种方式建立。手工建立安全联盟的方式是指用户通过在两端手工设置一些参数,然后在接口上应用安全策略建立安全联盟。自动协商方式由IKE生成和维护,通信双方基于各自的安全策略库经过匹配和协商,最终建立安全联盟而不需要用户的干预。
5)安全联盟超时处理:安全联盟更新时间有“计时间”(即每隔定长的时间进行更新)和“计流量”(即每传输一定字节数量的信息就进行更新)两种方式。
6) 安全参数索引(SPI):是一个32比特的数值,在每一个IPSec 报文中都携带该值。SPI、IP目的地址、安全协议号三者结合起来共同构成三元组,来唯一标识一个特定的安全联盟。在手工配置安全联盟时,需要手工指定SPI的取值。为保证安全联盟的唯一性,每个安全联盟需要指定不同的SPI值;使用IKE协商产生安全联盟时,SPI将随机生成。
7)安全提议:包括安全协议、安全协议使用的算法、安全协议对报文的封装形式,规定了把普通的IP报文转换成IPSec报文的方式。在安全策略中,通过引用一个安全提议来规定该安全策略采用的协议、算法等。
安全协议数据封装格式:

IPsec ××× 应用

IPSec ×××的应用场景分为3种:
1. Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立×××隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
2. End-to-End(端到端或者PC到PC):两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
3. End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
×××只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,×××则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架性架构,具体由两类协议组成:
1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。
2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性
IPSec封装模式
1)传输模式
对IP包的部分信息提供安全保护,即对IP数据包的上层数据(TCP、UDP、ICMP消息等)提供安全保护。采用AH传输模式,主要为IP数据包(IP头中的可变信息除外)提供认证保护。采用ESP传输模式,对IP数据包的上层信息提供加密和认证双重保护。一种端到端的安全,IPSec在端点执行加密认证、处理,在安全通道上传输,主机必须配置IPSec

2)隧道模式
对整个IP数据包提供保护
基本原理:构造新的IP数据包,将原IP数据包作为新数据包的数据部分,并为新的IP数据包提供安全保护。采用AH隧道模式,为整个IP数据包提供认证保护(可变字段除外)。
采用ESP隧道模式,为整个IP数据包提供加密和认证双重保护。对IPSec的处理是在安全网关执行的,两端主机不必知道IPSec协议 

了解了IPsec的基本信息之后,下面通过一个案例来对其的工作原理进行进一步的深化。
实验拓扑

配置信息
F1 

F2

F3

Sw1

测试结果:
Pc1 ping pc3

Pc2 ping pc3

转载于:https://blog.51cto.com/6764097/1182710

×××安全协议之IPsec相关推荐

  1. 互联网协议安全IPSec

    IPSec 可为通信两端设备提供安全通道,比如用于两个路由器之间以创建点到点 VPN,以及在防火墙和 Windows 主机之间用于远程访问 VPN等. ​IPSec(互联网协议安全)是一个安全网络协议 ...

  2. 使用GRE协议建立IPSEC

    今天给大家介绍另一种常见的IPSEC 建立场景,利用GRE协议,建立.阅读本文,您需要有一定的IPSEC 基础知识以及常见配置基础,对此不熟悉的同学可以查阅本博客的其他文章. 推荐阅读: IPSEC ...

  3. 互联网协议 — IPSec 安全隧道协议

    目录 文章目录 目录 IPSec 协议族 IPSec 的框架 封装协议 Authentication Header Encapsulating Security Payload AH v.s. ESP ...

  4. ipsec协议(转)

    from:http://lulu1101.blog.51cto.com/4455468/816875 ipsec协议 2012-03-25 23:40:28 标签:休闲 ipsec协议 职场 IPSe ...

  5. IPSec基础-IPSec协议类型

    IPSec提供了两种安全机制:认证和加密.认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改.加密机制通过 对数据进行编码来保证数据的机密性,以防数据在传输过程中 ...

  6. IPSec 协议族的理解

    IPSEC IPSec,IP Security,是 IETF 制定的一系列协议,端到端的确保 IP 层通信安全的机制/框架,用于保证在 Internet 上传送数据的安全保密性能 因为 IPv4 缺乏 ...

  7. 网络协议 — IPSec 安全隧道协议族

    目录 文章目录 目录 IPSec 安全隧道协议族 封装协议 Authentication Header 协议 Encapsulating Security Payload 协议 封装模式 Transp ...

  8. 网络安全——网络层IPSec安全协议(4)

    作者简介:一名云计算网络运维人员.每天分享网络与运维的技术与干货.   座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页​​​​​​ 目录 前言 一.IPSec安全协议 1.IPSec提供的安全服务 ...

  9. GRE协议与传输模式下IPSec隧道

    以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况.拓扑结构如下: 拓扑图中使用到 ...

最新文章

  1. 基于区域的CNN(R-CNN)
  2. 你写的ML代码占多少内存?这件事很重要,但很多人还不懂
  3. ICRA2022 | OPV2V: 首个大型自动驾驶协同感知数据集+代码框架已开源
  4. WordPress 2.9.2 使用感受
  5. TextArea的滚动条看不到了,可能与height有关
  6. 三招看穿ERP软件是否可行
  7. ax的范数最大_矩阵方程ax=b的范数约束最小二乘解.pdf
  8. 学生渐进片add如何给_渐进镜片的说明与镜架选择
  9. 亿嘉和机器人上市了吗_亿嘉和上半年收入持续增长,拟7亿元定增加码主业研发...
  10. 通示jQuery实例方法,未DOM对象添加多个方法
  11. HTML代码transform,html-transform+onmouseover代码实例
  12. JMJS系统总结系列----XSLT的语句规则(一)
  13. 20155207 2016-2017-2 《Java程序设计》第七周学习总结
  14. 【通信】基于matlab多径衰落信道仿真【含Matlab源码 338期】
  15. 430单片机实现三人投票表决器_基于51单片机的三人表决器设计.doc
  16. android 开发种子文件,IT之家学院:如何制作种子文件和磁力链接
  17. VMWare 导出vmdk并转为qcow2格式
  18. FTP报550异常-Create directory operation failed
  19. 我失业了,公司与我解除劳动合同关系
  20. java程序怎么写_java程序怎么写

热门文章

  1. 实现简单的网页间的跳转
  2. 软件测试之三——路径覆盖
  3. MFC 使用datetimepicker获取时间
  4. Autodesk MotionBuilder 2020中文版
  5. Movavi PDF Editor 3中文版
  6. Django学习笔记(一):第一个django程序
  7. git bash学习3 -简单杂乱知识点记录
  8. 关于网页乱码和字符编码方式
  9. 关于return和exit
  10. ASP.NET内部原理(HttpHandler和HttpModule)