IPSec

文章目錄

• • `IPSec`
  • • 簡介
    • `IPsec`的應用
    • `IPsec`優勢
    • 安全架構
    • `IPsec`在`IP`層提供的服務
    • `IPsec`的兩種模式
    • `IPsec`通訊協議

簡介

Internet Protocol Security (IPsec)是一個安全網路協議套件，它可以完成認證加密資料包，從而為IP層網路裝置提供安全加密通訊。IPSec還被用到了v*n中。

IPsec包括了用於在客戶端之間開始會話前建立相互認證和會話所用祕鑰分發的協議簇。IPsec可以保護資料流在端到端，網路到網路，端到網路之間。IPsec使用密碼安全服務來保護IP網路中的通訊。它支援網路層對等身份認證，資料來源認證，資料加密和重放保護。

IPsec的應用

• 加密應用層資料
• 在公共網際網路上為路由器傳送資料提供安全保障
• 在不加密的情況下進行身份認證，比如驗證來自一個已知傳送者的資料報
• 通過使用 IPsec 隧道設定電路來保護網路資料，在這些電路中，所有資料在兩個端點之間傳送時都被加密，就像使用虛擬專用網路(v*n)連線一樣

IPsec優勢

• 在路由器和防火牆中使用IPsec，對通過其邊界的所有通訊流提供強安全性，內部通訊無安全開銷
• 位於傳輸層之下，對所有應用透明
• 可以對終端使用者透明，不需要對使用者進行安全機制培訓

安全架構

​ IPsec是一個開放的元件，是IPv4套件的一部分。IPsec使用了下面的這些協議實現各種各樣的功能。

• Authentication Headers (AH)
  提供無連線資料完整性及為IP資料報提供資料來源認證，同時為重放攻擊提供保護（這裡防止重放是用序列號，其他情況下可能使用時間戳的形式）。
• Encapsulating Security Payloads (ESP) (封裝安全有效負載)提供加密，無連線資料完整性，資料來源認證，抗重放共計，和有限的流量保密性。
• Security Associations (SA) 提供演算法和資料包，這些演算法和資料包提供AH和ESP所需的引數。網際網路安全協會和祕鑰管理協議(ISAKMP)提供了用於身份驗證和祕鑰交換的框架，帶有通過手動配置的預共享金鑰，Internet金鑰交換（IKE和IKEv2），Kerberized Internet金鑰協商（KINK）或IPSECKEY DNS記錄提供的實際經過身份驗證的金鑰材料。

IPsec在IP層提供的服務

• 訪問控制
• 無連線的完整新
• 資料來源驗證
• 防重放攻擊
• 加密和資料流分類加密

IPsec的兩種模式

• 傳送模式
  • 當協議在一臺主機上實現時使用，IPsec頭部被插在IP頭後面。主要為上層協議提供保護，加密和可選擇的認證，用於在兩個主機之間進行端到端通訊。

• 隧道模式
  • 整個包被封裝加密，形成新的IP頭部。沿途路由器不檢查內部的IP報頭。
  • 適用於隧道結束在某個非目的地(安全閘道器，防火牆)該目的地結束IPsec隧道，還原成原來資料包在本地網（區域網）傳輸（區域網不用理解IPsec）
  • 隧道模式的另一個好處是可以將聚集TCP連線當成一個流加密。可以抵抗traffic analysis
  • 加密發生在外部主機與安全閘道器之間或者發生在兩個安全閘道器之間。

IPsec通訊協議

未完待續…