一,技术简介
IPsec提供的安全服务
1.数据机密性
传输报文前IPsec对报文进行加密。
2.数据完整性
接收方对收到的IPsec报文的哈希值进行检查,从而检测数据是否被篡改。
3.数据来源认证
接收方对收到的IPsec报文的数字签名进行认证,从而证实来源的真实性。
4,抗重放
通过检测报文的序列号,来判断并且拒绝重复或者过时的数据
二,协议框架
IPsec是一系列为IP网络提供安全的协议集合
1,AH(认证头)
2,ESP(封装有效载荷)
3,IKE(密钥交换协议)
安全协议
可以看到ESP还有加密功能
算法
1.加密算法用于对报文进行加密
2.密钥协商算法用于在网络中协商加密认证算法
3.认证算法用于对报文的完整性进行认证
封装模式
1.传输模式
特点:不改变原始报文的IP头
适用于安全传输的起点和终点为数据包的实际起点(源IP)和和终点(目标IP)
2.隧道模式
特点:添加新的IP头
适用于保护两个安全网关之间的数据,也就是说不是数据包的实际起点(源IP)和终点(目标IP),而是新添加的源IP和目标IP
具体封装还分为AH封装和ESP封装
加密机制&认证机制
三,技术原理
通过创建双向的SA来建立IPsec tunnel用于数据传递
创建方式有手工创建和IKE创建
IKE创建
1.IKE第一阶段
用于协商出IKE SA,提供两种协商模式主动模式和野蛮模式。
主动模式:协商速度慢但安全性高
野蛮模式·:协商速度快但是安全性低
2.IKE第二阶段
在第一阶段穿件的SA基础上,协商出IPsec SA用于传输真正的IP数据
出发协商的方式有流量触发和自动触发
流量触发:此方式系统资源占用率较低,但是生成IPsec SA之前的流量不会被保护。
自动生成:IPSec配置完之后马上生成SA,此方式系统资源占用率较高。
四,经典组网方式
局域网之间
最后
本次对IPsec的介绍就到这里了,如果有讲得不对的或者有所欠缺得地方,欢迎大家来指正与补充,创作不易,还请点个赞再走吧!后面我还会更新其他计算机方面的博客,咱们下篇博客再见!