赞
踩
本文仅发表在csdn,作者羊村最强沸羊羊。
IPSec(Internet 协议安全)是一个工业标准网络安全协议,工作在OSI模型的第三层,即网络层,为IP网络通信提供透明的安全服务,可使TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec是一种端到端的安全模式,通信数据由发送方加密,接收方解密,网络中其他的节点和主机无需支持IPSec。
IPSec工作网络层,使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。[2]
IPSec两个基本目标:
IPSec提供了两种安全机制:
后文中介绍的AH协议定义了认证的应用方法,提供数据源认证和完整性保障;ESP协议定义了加密的应用方法,提供数据源加密和可选认证的应用方法,提供了可靠性保障。在实际进行IP通信时,可以根据需要同时使用两种或者选择使用其中的一种。
IPSec不是一个单独的协议,它包括:
IPSec协议有两种封装模式:
传输模式(Transport Mode)
AH或ESP被插入到IP头之后,但在所有传输层协议之前,或所有其他IPSec协议之前。用于两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯。在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。
隧道模式(Tunnel Mode)
AH或ESP被插入到IP头之前,并另外生成一个新的IP头放到AH或ESP之前。通常,在两个安全网关(路由器)之间的数据流量,绝大部分都不是安全网关本身的通讯量,因此在安全网关之间一般不使用传输模式,而总是使用隧道模式。在一个安全网关被加密的报文,只有另一个安全网关能够解密。因此必须对IP报文进行隧道封装,即增加一个新的IP头,进行隧道封装后的IP报文被发送到另一个安全网关,才能够被解密。
协议类型 | 报文格式,图源 |
---|---|
AH协议 | |
ESP协议 | |
AH和ESP协议 |
认证头(Authentication Header,AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。
封装安全载荷(Encapsulating Security Payload,ESP)协议对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,IP分组头部不被包括在内。
图源文
IKE是在IPSec协议组中用于创建Security Association(SA)[6]的协议。IKE首先要进行身份认证,然后再进行Diffie-Hellman密钥交换(Diffie-Hellman key exchange[7]),建立起共享秘密(shared secret)[8],并通过共享秘密派生密钥。
IPsec通道建立过程分为两部分:
IKE阶段1
这一阶段,会建立ISAKMP(Internet Security Association and Key Management Protocol)会话。在这个阶段,二者会协商加密方法、认证方法以及其他的一些安全参数。这些安全参数的集合就是SA(Security Association)。
IKE阶段2
在这一阶段,用户就可以使用AH或者ESP协议来传输数据。这一阶段根据传输模式可以分为两种:Transport Mode和Tunnel Mode。现在又回到了文章最开始的报文格式的内容。
石瑞生. 大数据安全与隐私保护[M]. 北京邮电大学出版社, 2019. ↩︎
IPSec-wiki
IPsec 互联网安全协议 W3C school
IPSec-en-wiki
Internet Key Exchange en-wiki
Security Association en-wiki
Diffie–Hellman key exchange
Shared secret en-wiki
IPsec (Internet Protocol Security)
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。