IPSec协议的简单分析

　　在VPN技术当中，IPSec协议是其中的一个重要的协议，这是一个为了保证IP以及上层协议的安全面而制定的开放安全标准，其工作在OSI模型当中的第三层。为了能让大家对IPSec协议有更充分的了解，小编就在本文中对它进行一个简单的分析，接下来就一起来看看吧。

　　1.IPSec协议的基本概念

　　IPSec(IP Security)协议族是IETF 制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

　　IPSec(IP Security)是网络安全协议的一个工业标准，IPSec主要功能是为IP通信提供加密和认证，为 IP 网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。

　　IPSec产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP 层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持，是目前 TCP/IP网络的安全化协议标准。

　　IPSec协议是一组协议，它既可以作为一个完整的VPN方案，也可以与其他协议配合使用，如PPTP、L2TP。它工作在OSI第3层(网络层)，可以为上层应用提供一个安全的网络连接，提供基于一种端-对-端的安全模式。

　　2.IPSec协议的工作模式

　　IPSec有两种工作模式，一种是隧道模式，另一种是传输模式。在这两种模式下，分别可以使用AH头(IPSec认证头)或ESP头(IPSec ESP封装安全负荷头)两种方式进行安全封装，这两种工作模式的认证和加密原理分别如下所示。

　　(1)传输模式的认证

　　传输模式只对IP数据包的有效负载进行认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间，如图1所示。

图1 传输模式认证报文

　　(2)传输模式的加密

　　传输模式只对IP数据包的有效负载进行加密。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间，如图2所示。

图2 传输模式加密报文

　　(3)隧道模式的认证

　　隧道模式对整个IP数据色进行认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部，如图3所示。

图3 隧道模式认证报文

　　(4)隧道模式的加密

　　隧道模式对整个IP数据包进行加密。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部，如图4所示。

图4 隧道模式加密报文

　　3.IPSec中的三个主要协议

　　(1)AH协议(Authentication Header)

　　AH协议为IP通信提供数据源认证和数据完整性检验，它能保护通信免受篡改，但并不加密传输内容，不能防止窃听。AH联合数据完整性保护并在发送接收端使 用共享密钥来保证身份的真实性;使用HASH算法在每一个数据包上添加一个身份验证报头来实现数据完整性检验。需要预约好收发两端的HASH算法和共享密 钥。

　　(2)ESP协议(Encapsulating Security Payload)

　　ESP主要区别于AH协议的是它的数据安全性保证，它使用预约好的加密算法和密钥对IP包进行加密，防止窃听。它也提供AH类似的数据源认证和数据完整性检验。AH协议与ESP协议可以联合使用，也可以单独使用。

　　(3)Internet密钥交换协议IKE(Internet Key Exchange)

　　无论实现AH或ESP还是两者的联合，收发端两台计算机必须首先建立某种约定，这种约定，称为：“安全关联”，指 双方需要就如何保护信息、交换信息等公用的安全设置达成一致，更重要的是，必须有一种方法，使那两台计算机安全地交换一套密钥，以便在它们的连接中使用。

　　IKE协议主要是对密钥交换进行管理，主要包括对使用的协议、加密算法和密钥进行协商;建立可靠的密钥交换机制。IKE是一个混合协议，它使用到了三个不同协议的相关部分：安全关联和密钥交换协议ISAKMP，密钥确定协议Oakley和SKEME。

　　4.IPSec协议的体系结构

      IPSec协议的设计目的是在Internet上建立安全的IP连接，用来填补目前Internet在安全方面的空白。如图5所示，IPSec体系结构的第一个只要的部分是安全结构。IPSec使用两个协议提供数据包的安全：认证头和封装安全载荷。AH协议支持访问控制、数据源认证、无连接的完整性和抗重放攻击。ESP协议提供访问控制、数据机密性、无连接的完整性、抗重放攻击华为有限的通信流机密性等安全服务。AH协议和ESP协议都是接入控制的手段，建立在加密密钥的分配与这些安全协议相关的通信流量管理的基础上。

图5 IPSec体系结构

　　IPSec协议使用IKE协议实现安全协议的自动安全参数协商。IKE协商的安全参数包括加密及鉴别算法、加密及鉴别密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等。

　　解释域是整个IPSec协议中很重要的部分，它将所有IPSec小组的文献捆绑在一起，通过对解释域的访问可以得到相关协议各字节位的含义解释。它可以被认为是所有的IPSec安全参数的主数据库，这些参数可以被与IPSec服务相关的系统参考调用。

　　5.IPsec协议的优点

　　IPsec具有以下优点：

　　(1)支持IKE(Internet Key Exchange，因特网密钥交换)，可实现密钥的自动协商功能，减少了密钥协商的开销。可以通过IKE建立和维护SA的服务，简化了IPsec的使用和管理。

　　(2)所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，而不必对这些应用系统和服务本身做任何修改。

　　(3)对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。

　　IPSec协议是一组协议，可以选择其中一部分来组成特定的IPSec应用，同时选择与之配套的加密和认证算法，IPSec协议与加密和认证算法是独立的，这样可以保持IPSecVPN的灵活性和算法上的先进性。

　　IPSec协议的内容小编就简单分析到这了，如果大家想要了解更多的话可以自己自行去深入学习，结合本文的内容看起来也会让你对IPSec协议有更深层次的认识。阅读更多了解更多请关注公众号【课课家】以及【课课家IT精品课程】，又或者可以前往课课家教育官方网站去进行查阅更多哦。