ipsec 详解

目录

加密算法

对称加密算法

非对称加密算法

DH算法

RSA  公钥+私钥 （成对出现）

IPsec

IPSec VPN简介

ipsec的工作模式

IPsec通信协议

1、AH协议（Authentication Header，认证报头）

2、ESP协议

IPSec  建立

IKE

Ipsec数据传递图

---

对于ipsec 最重要的是安全

安全 三要素 安全的黄金三角 完整性 私密性 不可否认性（合法性）

完整性：数据没有被破环，纂改等。

完整性算法：哈希算法，不可逆算法。MD5，SHA

私密性：数据通过转换形成另一种格式（使别人看不见，看不懂）

 

加密算法

ipsec使用加密算法来保证其私密性，加密算法又分为对称加密算法、非对称加密算法。  加密算法可以暴力破解，建议定期更换密钥。

对称加密算法

对称加密算法是一种可逆的算法  解密与加密使用同一个密钥（因此密钥与数据一般不用一个通道传递），原始数据+密钥 通过复杂的加密过程得到加密数据，理论上是可以反向破解的，但受计算机性能的影响越复杂的对称加密算法越难以破解，常见的有DES、3DES、AES

对称公钥

1. 传输不安全 -> DH 加密对称公钥
2. 数据和传递分离
3. 密钥管理  邮差原理

非对称加密算法

非对称加密算法是一种不可逆的算法，解密与加密使用不同的密钥， 它的密钥分为私钥、公钥 ，无法反向破解。因为非对称算法强度复杂、安全性依赖于算法与密钥，但是由于其算法过于复杂，而使得加密解密速度没有对称加密解密的速度快。因此一般用非对称算法 加密 对称加密算法的公钥，使用对称加密算法加密数据。常见的有ECC、Elgamal(又称DH)、RSA

DH算法

这个算法主要做密钥交换

RSA  公钥+私钥 （成对出现）

原始数据+公钥=加密数据      加密数据 必须用私钥解密   保障数据安全（邮差原理）

原始数据+私钥=加密数据      加密数据 必须用公钥解密   一般用于数字签名

IPsec

IPSec VPN简介

IPSec（Internet Protocol Security）：是一组基于网络层的，应用密码学的安全通信协议族。IPSec不是具体指哪个协议，而是一个开放的协议簇。

IPSec协议的设计目标：是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。

IPSec VPN：是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

IPsec协议簇安全体系框架

IPSEC协议簇

ipsec的工作模式

1、传输模式

      主要用于主机和主机之间端到端通信的数据保护

      封装方式：不改变原有的IP包头，在原数据包头后面插入IPSec包头，只封装数据部分。

2、隧道模式

     主要用于私网与私网之间通过公网进行通信，建立安全VPN通道。

      封装方式：增加新的IP（外网IP）头，其后是ipsec包头，之后再将原来的整个数据包封装。

IPsec通信协议

1、AH协议（Authentication Header，认证报头）

AH不提供任何保密性服务，它不加密所保护的数据包。不论是传输模式还是隧道模式下，AH提供对数据包的保护时，它保护的是整个IP数据包（易变的字段除外，如IP头中的TTL和TOS字段）

  传输模式下的封装

隧道模式下封装

2、ESP协议

ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性认证。保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。数据流保密由隧道模式下的保密服务提供。

传输模式下封装

隧道模式下封装

IPSec  建立

安全联盟SA：SA（Security Association）是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA。SA由三元组来唯一标识，包括安全参数索引、目的IP地址、安全协议号

IPSec的安全联盟可以通过手工配置的方式建立。也可以使用IKE（Internet Key Exchange）自动进行安全联盟建立与密钥交换的过程

IKE

Ike第一阶段内容：通信各方彼此间建立了一个已通过身份验证和安全保护的通道，用于传输第二阶段的对称密钥，此阶段的交换生成了一个ISAKMP SA（也可称为IKE SA）

IKE第一阶段建立有两种模式

1、主模式协商（慢，严谨 只能使用IP地址）建议同一个厂商用主模式，用了6个包

建立过程

  

 2、野蛮模式（Aggressive）协商（快，不严谨 可以使用用户名等）建议不同一个厂商用野蛮模式协商

野蛮模式下有三个交互包：
1、第一个交互包发起方建议SA，发起DH交换  
2、第二个交互包接收方接受SA    
3、第三个交互包发起方认证接受方   

建立过程

两种模式对比

IKE第二阶段内容：双方协商IPSec安全参数，称为变换集transform set ，建立一个供数据传输的安全通道 。 此阶段的交换生成了IPsec SA

transform set包括：

 

Ipsec数据传递图