IPSec是一種開放標準的框架結(jié)構，特定的通信方之間在IP 層通過加密和數(shù)據(jù)摘要(hash)等手段，來保證數(shù)據(jù)包在Internet 網(wǎng)上傳輸時的私密性(confidentiality) 、完整性(data integrity)和真實性(origin authentication)。

IPSec只能工作在IP層，要求乘客協(xié)議和承載協(xié)議都是IP協(xié)議

通過加密保證數(shù)據(jù)的私密性

1、私密性：防止信息泄漏給未經(jīng)授權的個人

2、通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性

對稱加密

1、如果加密密鑰與解密密鑰相同，就稱為對稱加密

2、由于對稱加密的運算速度快，所以IPSec使用對稱加密算法來加密數(shù)據(jù)

對數(shù)據(jù)進行hash運算來保證完整性

1、完整性：數(shù)據(jù)沒有被非法篡改

2、通過對數(shù)據(jù)進行hash運算，產(chǎn)生類似于指紋的數(shù)據(jù)摘要，以保證數(shù)據(jù)的完整性

對數(shù)據(jù)和密鑰一起進行hash運算

1、攻擊者篡改數(shù)據(jù)后，可以根據(jù)修改后的數(shù)據(jù)生成新的摘要，以此掩蓋自己的攻擊行為。

2、通過把數(shù)據(jù)和密鑰一起進行hash運算，可以有效抵御上述攻擊。

DH算法的基本原理

通過身份認證保證數(shù)據(jù)的真實性

1、真實性：數(shù)據(jù)確實是由特定的對端發(fā)出

2、通過身份認證可以保證數(shù)據(jù)的真實性。常用的身份認證方式包括：

Pre-shared key，預共享密鑰

RSA Signature，數(shù)字簽名

預共享密鑰

預共享密鑰，是指通信雙方在配置時手工輸入相同的密鑰。

數(shù)字證書

1、RSA密鑰對，一個是可以向大家公開的公鑰，另一個是只有自己知道的私鑰。

2、用公鑰加密過的數(shù)據(jù)只有對應的私鑰才能解開，反之亦然。

3、數(shù)字證書中存儲了公鑰，以及用戶名等身份信息。

數(shù)字簽名認證

IPSec框架結(jié)構

IPSec安全協(xié)議

IPSec安全協(xié)議描述了如何利用加密和hash來保護數(shù)據(jù)安全

1、AH (Authentication Header)

只能進行數(shù)據(jù)摘要(hash) ，不能實現(xiàn)數(shù)據(jù)加密

ah-md5-hmac、ah-sha-hmac

2、ESP (Encapsulating Security Payload)

能夠進行數(shù)據(jù)加密和數(shù)據(jù)摘要(hash)

esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、

IPSec支持兩種封裝模式：傳輸模式和隧道模式

傳輸模式：不改變原有的IP包頭，通常用于主機與主機之間。

IPSec封裝模式

IPSec支持兩種封裝模式：傳輸模式和隧道模式

傳輸模式：不改變原有的IP包頭，通常用于主機與主機之間。

隧道模式：增加新的IP頭，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進行通信。

IPSec與NAT

AH模式無法與NAT一起運行

AH對包括IP地址在內(nèi)的整個IP包進行hash運算，而NAT會改變IP地址，從而破壞AH的hash值。

ESP模式下：

只進行地址映射時，ESP可與它一起工作。

進行端口映射時，需要修改端口，而ESP已經(jīng)對端口號進行了加密和/或hash，所以將無法進行。

啟用IPSec NAT穿越后，會在ESP頭前增加一個UDP頭，就可以進行端口映射。

以上就是IPSec協(xié)議框架的介紹，

如果你還有其他問題，歡迎進行咨詢探討，希望我們的專業(yè)的解決方案，可以解決你目前遇到的這些問題。