IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在网络层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、 私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。IPSec技术也可以实现数据传输双方的身份验证,避免黑客伪装成网络中的合法用户攻击网络资源。IPSec只能在IP网络中使用。
1.IPSEC 特性
IPSec通过以下技术实现在机密性、完整性、抗抵赖和身份鉴别方面提高端到端的安全性:
1)通过使用加密技术防止数据被窃听。 对称+非对称 数字信封 ,非对称使用DH
2)通过数据完整性验证防止数据被破坏、篡改。 HMAC 哈希算法
3)通过认证机制实现通信双方身份确认,来防止通信数据被截获和回放。 随机数+IV+数字信封
IPSec技术还定义了:
- 何种流量需要被保护。 使用ACL
- 数据被保护的机制。 使用AH、ESP协议
- 数据的封装过程。 使用DH 算法进行交换
2.IPSEC和IKE的关系
IKE(Internet Key Exchange)为IPSec提供了自动协商交换密钥、建立安全联盟的服务, 能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。
IKE是UDP之上的一个应用层协议,端口号500,是IPSEC的信令协议。
IKE为IPSEC协商建立安全联盟,并把建立的参数及生成的密钥交给IPSEC。
IPSEC使用IKE建立的安全联盟对IP报文加密或验证处理。
IPSEC处理做为IP层的一部分,在IP层对报文进行处理。AH协议和ESP协议有自己的协议号,分别是51和50。
3.IPSec两种工作模式
3.1.传输模式
传输(transport):只是传输层数据被用来计算AH或ESP头,AH或ESP头和被加密的传输层数据被放置在原IP包头后面。(数据包,根据OSI七层模型,一层层封装,从最外层依次为MAC-IP-TCP/UDP-数据)
传输模式一个最显著的特点就是:在整个IPSec的传输过程中,IP包头并没有被封装进去,这就意味着从源端到目的端数据始终使用原有的IP地址进行通信。而传输的实际数据载荷被封装在IPSec报文中。对于大多数IPSec传输而言, IPSec的报文封装过程就是数据的加密过程,因此,攻击者截获数据后将无法破解数据内容,但却可以清晰地知道通信双方的地址信息。
由于传输模式封装结构相对简单(每个数据报文较隧道模式封装结构节省20字节),因此传输效率较高,多用于通信双方在同一个局域网内的情况。例如:网络管理员通过网管主机登录公司内网的服务器进行维护管理,就可以选用传输模式IPSec对其管理流量进行加密。
总结:对传输层数据进行处理(不对IP包头处理),IP包头暴露在外,存在一定风险。适合主机对主机的访问。
3.2.隧道模式
隧道(tunnel):用户的整个IP数据包被用来计算AH或ESP头,且被加密,对整个网络层数据包进行处理。AH或ESP头和加密用户数据被封装在一个新的IP数据包中。
隧道模式中, 将整个三层数据报文封装在IPSec数据内,再为封装后的数据报文添加新的IP包头。在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景
总结:对网络层整个包进行处理,添加新的IP包头。适合站点对站点。
4.IPSec的组成
IPSec包括AH(协议号51)和ESP(协议号50)两个协议。
1)AH(Authentication Header)报文验证头协议
主要提供的功能有数据源验证、数据完整性校验和防报文重放功能,可选择的散列算法有MD5、SHA1等。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了hash算法来对数据包进行保护。AH没有对用户数据进行加密。
在传输模式下,AH协议验证IP报文的数据部分和IP头中的不变部分。
在隧道模式下, AH协议验证全部的内部IP报文和外部IP头中的不变部分。
AH&
最低0.47元/天 解锁文章
扫一扫
8045
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
