基于IPSEC的加密技术

基于IPSEC的加密技术

IPSEC是IETF定义的一组协议，用于增强IP网络的安全性。IPSec协议集体佛那个了下面的安全服务。

数据完整性：

保证数据的一致性，防止未授权地生成，修改或删除数据。

证数据完整性，主要利用数据摘要，通过md5或哈希算法

认证:

证接受的数据与发送的相同，保证实际发送者就是声称的发送者。

用共享密钥或安全证书提供通信实体间的认证。

保密性：

传输的数据是经过加密的，只有预定的接受者知道发送的内容。

在数据传输过程中，利用对称加密技术提供数据加密，保证数据传输的

机密性。

应用透明的安全性：

IPSec的安全头插入在标准的IP头和上层协议（例如TCP）之间，任何

络服务和网络应用可以不经过修改地从标准Ip转向IPSec，同时IPSec

通信亦可以透明地通过现有的IP路由器。

IPSec的功能可以划分为下面三类。

认证头：

Authentication Header, AH 用于数据完整性认证和数据源认证。

封装安全符合：

Encapsulation Security Payload, ESP 提供数据保密性和数据完整性认证，

ESP一包括了防止重放攻击的顺序号。

Internet密钥交换协议：

Internet Key Exchange, IKE 用于生成和分发在ESP和AH中使用的密钥，

IKE也对远程系统进行初始。

提取IPSec数据包，有必要采取一套专门的方案，将安全服务、密钥与要保护的通信数据联系到一起；同时要将远程通信实体与要交换密钥的IPSec数据传输联系到一起。

这样的构建方案称为“安全联盟（Security Association, SA）”。是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种协定。它们决定论用来保护数据安全带IPSec协议，转码方式，密钥以及密钥的有效存在时间等等。

任何IPSec实施方案始终会构建一个SA数据库（SADB），有它来维护IPSec协议用来保障数据包安全的SA记录。

IPSec的SA 是单向进行的。也就是说，它仅朝一个方向定义安全服务，要么对通信实体收到的包进行“进入”保护，要么对实体外发的包进行“外出”保护。

维护一个对等关系，需要建立安全联盟。

SA与协议有关，每种协议都有一个SA。

一个安全联盟可以用三个参数唯一地指定：

安全参数索引

IP目的地址

安全协议标识符

安全参数索引（SPI）是一个长度为32为的数据实体，目标主机利用这个值对接受SADB 数据库进行检索，提取出适当的SA。

安全联盟参数：

1.序列号（Sequence Number）是一个32位的字段，在数据包的“外出”处

理期间使用，初始为0，次用SA来保护一个数据包，序列号的值便会递增

1。通信的目标主机利用这个字段来监测所谓的“重播”攻击。

2.存活时间（TTL）

3.模式（Mode）：传输模式，隧道模式，通赔模式。

4.AH信息

5.ESP信息

6.路径最大传输单元

安全策略数据库（Security Policy DateBase SPD）

在SPD这个数据库中，每个条目都定义了要保护的是什么通信，怎样保护它以及和谁共享这种保护。对于进入或离开IP堆栈的每个包，都必须检索SPD数据库，调查可能的安全应用。

对一个SPD条目来说，它可能定义为以下几种处理方式：丢弃，绕过以及应用。

IPSec通信到IPSec策略的映射关系是由选择符（Selectoral）来建立的。

IPSec选择符包括：

目标IP地址，源IP地址，用户ID，传输层协议，源和目标端口，数据敏感度层。