IPsec 互聯(lián)網(wǎng)安全協(xié)議

一、簡介

1.簡述

互聯(lián)網(wǎng)安全協(xié)議（英語：Internet Protocol Security，縮寫為IPsec），是一個協(xié)議包，通過對IP協(xié)議的分組進行加密和認證來保護IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族（一些相互關(guān)聯(lián)的協(xié)議的集合）。

IPsec主要由以下協(xié)議組成：

一、認證頭（AH），為IP數(shù)據(jù)報提供無連接數(shù)據(jù)完整性、消息認證以及防重放攻擊保護；

二、封裝安全載荷（ESP），提供機密性、數(shù)據(jù)源認證、無連接完整性、防重放和有限的傳輸流（traffic-flow）機密性；

三、安全關(guān)聯(lián)（SA），提供算法和數(shù)據(jù)包，提供AH、ESP操作所需的參數(shù)。

2.作用

IPsec協(xié)議工作在OSI模型的第三層，使其在單獨使用時適于保護基于TCP或UDP的協(xié)議（如安全套接子層（SSL）就不能保護UDP層的通信流）。這就意味著，與傳輸層或更高層的協(xié)議相比，IPsec協(xié)議必須處理可靠性和分片的問題，這同時也增加了它的復(fù)雜性和處理開銷。相對而言，SSL/TLS依靠更高層的TCP（OSI的第四層）來管理可靠性和分片。

IPSec協(xié)議有兩種封裝模式：

傳輸模式。在傳輸模式下，AH或ESP被插入到IP頭之后但在所有傳輸層協(xié)議之前，或所有其他IPSec協(xié)議之前。

1. 隧道模式。在隧道模式下，AH或ESP插在原始IP頭之前，另外生成一個新IP頭放到AH或ESP之前。

1. 傳輸模式用于兩臺主機之間的通訊，或者是一臺主機和一個安全網(wǎng)關(guān)之間的通訊。在傳輸模式下，對報文進行加密和解密的兩臺設(shè)備本身必須是報文的原始發(fā)送者和最終接收者。

通常，在兩個安全網(wǎng)關(guān)（路由器）之間的數(shù)據(jù)流量，絕大部分都不是安全網(wǎng)關(guān)本身的通訊量，因此在安全網(wǎng)關(guān)之間一般不使用傳輸模式，而總是使用隧道模式。在一個安全網(wǎng)關(guān)被加密的報文，只有另一個安全網(wǎng)關(guān)能夠解密。因此必須對IP報文進行隧道封裝，即增加一個新的IP頭，進行隧道封裝后的IP報文被發(fā)送到另一個安全網(wǎng)關(guān)，才能夠被解密。

二、報文

1.報文格式

AH(AuthenticationHeader) 協(xié)議。

ESP(EncapsulatedSecurityPayload) 協(xié)議。

AH+ESP

IKE（密鑰管理協(xié)議） Header Format