5分钟看懂IPSec
看完视频,你是否掌握了IPSec协议族的相关知识?
IPSec是一组IP安全协议的集合,是一个体系结构,由AH和ESP协议、加密和认证算法、密钥管理和安全协商组成。
AH协议
AH(Authentication Header,鉴别首部)指一段报文认证代码,在发送IP包之前,它已经被事先计算好。发送方用一个加密密钥算出AH,接收方用同一或另一密钥对之进行验证。
AH有两种工作模式:传输模式和隧道模式。
在传输模式中,AH位于IP包头后,上层协议包头(如TCP)前。
在隧道模式中,需要生成一个新的IP头,把AH和原来的整个IP包放到新IP包的载荷中。
ESP协议
ESP提供保密功能和可选择的鉴别服务,将需要保密的用户数据进行加密后再封装到一个新的IP包中。
ESP有两种模式:传输模式和隧道模式。
在传输模式中,ESP位于IP包头后,上层协议包头前。 在隧道模式中,相对于外层IP包头,也就是新IP包头,ESP的位置与在传输模式中相同。
加密和验证算法
数据机密是任何VPN网络的主要需求。当前加密和验证算法分为两类:对称算法和非对称算法。
对称算法基于数据的发送方和接收方拥有相同的密钥。发送方使用密钥加密数据,接收方使用相同的密钥解密数据。
非对称算法又称为公共密钥算法,加密和解密使用不同的密钥。加密的密钥称为公共密钥,可以公开。加密后的数据,只有用私有密钥才可以解密,私有密钥是保密的。任何人拥有接收方的公共密钥都可以加密数据,但该数据只能由接收方持有的私有密钥才能解密。
安全协商和密钥管理
IKE或ISAKMP SA为控制流量服务,例如为IKE协议的交互信息,协商加密和认证的算法。
IPSec SA为需要保护的实际数据流量协商加密算法。具体哪些数据需要保护,则由相关策略决定。
IPSec默认的自动密钥管理协议是IKE。建立和维护ISAKMP SA和IPSec SA是IKE协议的主要任务。
IKE协议用了两个阶段分别建立ISAKMP SA和IPSec SA。
第一阶段:通信双方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。
第二阶段:用在第一阶段建立的安全隧道上,为IPSec 协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP 数据安全传输的IPSec SA。