近期学习了IPSec的一些基础知识,在此作个简短的总结。
IPSec是IP层的一套加密协议(包含AH、ESP、IKE协议以及一些加密算法)。之所以会出现IPSec协议,是因为IP网络存在一些安全缺陷,比如IP层报文可以被明文看到、数据可能被篡改、源身份不好验证、可以进行重放攻击等。针对这些问题,IPSec提供了相应的安全服务,包括:机密性、完整性、身份认证、抗重放等服务,概括为两大安全机制:认证和机密,具体方法就是通过安全协议(AH协议、ESP协议)对报文进行认证或加密。安全协议使用基于密码学的认证和加密算法对原始IP报文提供高质量的保护,所以安全协议会使用很多认证和加密算法,涉及算法,必然需要密钥,IKE协议可以为IPSec提供密钥协商及其他参数协商的安全通道,IKE通过两个阶段的协商(IKE sa、IPSec sa)为IPSec建立IPSec sa。IPSec sa是IPSec对等体对某些要素的约定,这些要素包括:封装模式(传输模式、隧道模式)、安全协议(AH、ESP)、认证或者加密算法、SPI(SA的索引)等,加密端根据sa对原始报文进行加密封装,解密端根据SPI在SADB(sa 数据库)中查找对应的sa,对报文进行解密,然后根据原始报文头进行转发。
在IPSec报文转发的过程中,如果中间链路有NAT业务,会修改IP头,NAT的PAT转换模式也会修改TCP或者UDP的端口号,会造成安全协议的认证或者加解密出现问题。解决方法就是IPSec的NAT穿越模式,通过在IKE的第一阶段协商过程中,对中间链路是否有NAT业务进行探测,一旦发现有NAT业务,就应用NAT穿越模式,一般只应用于ESP协议,因为AH协议的认证是对整个报文进行认证,所以一旦IP遭到修改,AH认证必然失败。
一些细节,如AH协议的报文格式、认证范围;ESP协议的报文格式、加密和认证范围;IKE报文格式;IKE两个阶段的协商过程,如第一阶段的主模式和野蛮模式,第二阶段的快速模式;AH和ESP结合使用的报文格式;IPSec和GRE结合使用的报文格式等,下次再总结吧。
扫一扫
5040
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
