仅供参考
文章目录
- 一、概述
- 二、IPSec
- 三、安全关联(SA)
- 四、传输模式和隧道模式
-
- [3.1 AH协议在两种模式下的实现](#3.1 AH协议在两种模式下的实现)
- [3.2 ESP协议在两种模式下的实现](#3.2 ESP协议在两种模式下的实现)
一、概述
IP 安全是一个宽泛的概念,指的是保障 IP 网络中数据传输、网络设备、用户等多方面安全的一系列理念、技术和措施的集合
IP层安全包括三个方面:认证、保密、密钥管理
IPSec 是实现 IP 安全的一种重要技术手段
二、IPSec
IPSec叫做互联网协议安全,是一组开放标准的网络安全协议,用于保障 IP 网络上数据传输的安全性
为什么会有IPSec:
在传统的 IP 协议中,数据在网络中传输时没有任何安全防护措施,容易被窃取、篡改和伪造。为了解决这些问题,IETF(Internet Engineering Task Force,互联网工程任务组)制定了 IPSec 标准,以增强 IP 网络的安全性
IPSec位于传输层之下,对所有应用都是透明的
IPSec的组成及功能:
1)体系结构------包括IPSec的一般概念、安全需求、定义和机制
2)认证报头(AH)------提供消息认证
3)封装安全载荷(ESP)------提供加密或者加密和认证的结合
4)因特网密钥交换(IKE)------对称密钥协商
5)密码算法------加密、签名等用的算法
6)其他与IP Sec相关的文档
三、安全关联(SA)
安全关联:发送方和接收方之间用于对它们之间传递的数据流提供安全服务的一个`单向逻辑连接
SA提供的安全服务取决于选用的安全协议,AH协议或者ESP协议,但不能同时选择两个
三个参数唯一确定安全关联:安全参数索引(SPI)、IP目的地址、安全协议标识
四、传输模式和隧道模式
两种模式(传输、隧道)的应用
(1)传输模式------保护上层协议(TCP+数据)
(2)隧道模式------保护整个数据报文(IP头部+TCP+数据)
------即外加新的(外网)IP头部
传输模型 :
隧道模型 :
AH协议、ESP协议都支持这两种模式
3.1 AH协议在两种模式下的实现
(1)传输模式:AH认证头被插在传输层报头前面的IP包中,其认证范围覆盖了除去可变部分的整个IP数据包;其加密范围为整个IP包(IP头部+IP数据)
(2)隧道模式:AH认证头被插在外网IP头与内网IP之间,其加密范围包含了外网IP头+内网IP头+IP数据包;其认证范围覆盖了除去外网IP头可变部分外的整个IP包
3.2 ESP协议在两种模式下的实现
(1)传输模式:ESP认证头被插在传输层报头前面的IP包中,ESP尾部被放在IP包的后面,如果选择认证,ESP认证数据域被放在ESP尾部之后。整个传输层分段和ESP尾部一起被加密,认证覆盖了所有的密文和ESP报头
(2)b.隧道模式:ESP被用于加密整个IP包(包括内网IP报头+IP数据部分+ESP尾部),由于ESP报头是包的前缀,故ESP尾部被一同加密。认证范围覆盖所有的密文和ESP报头;新ip报头:外网ip头 原始ip报头:内网ip头
