IPSec协议框架

IPSec是一种开放标准的框架结构，特定的通信方之间在IP 层通过加密和数据摘要(hash)等手段，来保证数据包在Internet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。

IPSec只能工作在IP层，要求乘客协议和承载协议都是IP协议

通过加密保证数据的私密性

1、私密性：防止信息泄漏给未经授权的个人

2、通过加密把数据从明文变成无法读懂的密文，从而确保数据的私密性

对称加密

1、如果加密密钥与解密密钥相同，就称为对称加密

2、由于对称加密的运算速度快，所以IPSec使用对称加密算法来加密数据

对数据进行hash运算来保证完整性

1、完整性：数据没有被非法篡改

2、通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性

对数据和密钥一起进行hash运算

1、攻击者篡改数据后，可以根据修改后的数据生成新的摘要，以此掩盖自己的攻击行为。

2、通过把数据和密钥一起进行hash运算，可以有效抵御上述攻击。

DH算法的基本原理

通过身份认证保证数据的真实性

1、真实性：数据确实是由特定的对端发出

2、通过身份认证可以保证数据的真实性。常用的身份认证方式包括：

Pre-shared key，预共享密钥

RSA Signature，数字签名

预共享密钥

预共享密钥，是指通信双方在配置时手工输入相同的密钥。

数字证书

1、RSA密钥对，一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。

2、用公钥加密过的数据只有对应的私钥才能解开，反之亦然。

3、数字证书中存储了公钥，以及用户名等身份信息。

数字签名认证

IPSec框架结构

IPSec安全协议

IPSec安全协议描述了如何利用加密和hash来保护数据安全

1、AH (Authentication Header)

只能进行数据摘要(hash) ，不能实现数据加密

ah-md5-hmac、ah-sha-hmac

2、ESP (Encapsulating Security Payload)

能够进行数据加密和数据摘要(hash) 

esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、

IPSec支持两种封装模式：传输模式和隧道模式

传输模式：不改变原有的IP包头，通常用于主机与主机之间。

 

IPSec封装模式

IPSec支持两种封装模式：传输模式和隧道模式

传输模式：不改变原有的IP包头，通常用于主机与主机之间。

隧道模式：增加新的IP头，通常用于私网与私网之间通过公网进行通信。

IPSec与NAT

AH模式无法与NAT一起运行

AH对包括IP地址在内的整个IP包进行hash运算，而NAT会改变IP地址，从而破坏AH的hash值。

ESP模式下：
只进行地址映射时，ESP可与它一起工作。
进行端口映射时，需要修改端口，而ESP已经对端口号进行了加密和/或hash，所以将无法进行。

启用IPSec NAT穿越后，会在ESP头前增加一个UDP头，就可以进行端口映射。

以上就是IPSec协议框架的介绍，

如果你还有其他问题，欢迎进行咨询探讨，希望我们的专业的解决方案，可以解决你目前遇到的这些问题。