VPN IPSec协议

IPSec
IPSec(ip security):IP安全协议 是一种开放标准的框架结构，特定的通信方之间在IP 层通过加密和数据摘 要(hash)等手段，来保证数据包在Internet 网上传输时的私密性 (confidentiality) 、完整性(data integrity)和真实性(origin authentication)。
IKE
➢ InterneFra Baidu bibliotek密钥交换协议（IKE）
Internet密钥交换协议（IKE）是IPSec默认的安全密钥协商方法。 IKE通过一系列报文交换为两个实体（如网络终端或网关）进行安全 通 信 派 生 会 话 密 钥 。 IKE 建 立 在 Internet 安 全 关 联 和 密 钥 管 理 协 议 （ISAKMP）定义的一个框架之上。IKE是IPSec目前正式确定的密钥 交换协议，IKE为IPSec的AH和ESP协议提供密钥交换管理和SA管理， 同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协 议 （ Oakley 和 SKEME 安 全 密 钥 交 换 机 制 ） 的 一 部 分 功 能 ， 并 综 合 了 Oakley和SKEME的密钥交换方案，形成了自己独一无二的受鉴别保护 的加密材料生成技术。
IPSec协议架构
IPSec
➢AH（Authentication Header，认证头）协议
设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完 整性、数据源认证和抗重放保护服务，但是AH不提供任何保密性服务。IPSec验 证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重传攻击的机制， 但是不提供数据机密性保护。验证报头的认证算法有两种：一种是基于对称加 密算法（如DES），另一种是基于单向哈希算法（如MD5或SHA-1）。 验证报头 的工作方式有传输模式和隧道模式。传输模式只对上层协议数据（传输层数据） 和IP头中的固定字段提供认证保护，把AH插在IP报头的后面，主要适合于主机 实现。隧道模式把需要保护的IP包封装在新的IP包中，作为新报文的载荷， 然 后把AH插在新的IP报头的后面。隧道模式对整个IP数据报提供认证保护。
ESP
➢ESP（Encapsulate Security Payload，封装安全载荷）协议
封装安全载荷（ESP）用于提高Internet协议（IP）协议的安全性。 它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安 全服务。ESP属于IPSec的机密性服务。其中，数据机密性是ESP的 基本功能，而数据源身份认证、数据完整性检验以及抗重传保护 都是可选的。ESP主要支持IP数据包的机密性，它将需要保护的用 户数据进行加密后再重新封装到新的IP数据包中。
第3章 基础设施安全
1
3.3.3 网 络虚 安拟 全专 设网 备
Part 1 Part 2 Part 3 Part 4
CONTENTS
目录
VPN概念与分类 VPN功能 IPSec协议 VPN产品
2
IPSec
IPSec是一组协议套件，包括AH（验证头）、ESP（封装安全载荷）、 IKE（Internet密钥交换）、ISAKMP/Oakley以及转码。各组件之间 的交互方式如下图。
进行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自 或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访 问内部某些站点，．也可以拒绝某个内部站点方对某些外部网站的访问。但是 包过滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内 部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保 证在外部网络传输的数据包的机密性，真实性，完整性，通过Internet进新安 全的通信才成为可能。
IPSec的两种报头
• IPSec头有两种格式的封装 • ESP：封装安全载荷协议
• 完整性认证、保密性 • AH：认证头协议
• 完整性认证
两种封装模式
隧道模式
传输模式
IPSec工作原理解释
IPSec通过查询SPD(Security P01icy Database安全策略数据库)决定接收到的 IP数据包的处理。但是IPSec不同于包过滤防火墙的是，对IP数据包的处理方法 除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新 增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。