? ?????? IPSec （IP Security ）協(xié)議族是 IETF 制定的一系列協(xié)議，它為 IP 數(shù)據(jù)報(bào)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。特定的通信方之間在 IP 層通過加密與數(shù)據(jù)源驗(yàn)證等方式，來保證數(shù)據(jù)報(bào)在網(wǎng)絡(luò)上傳輸時的私有性、完整性、真實(shí)性和防重放。

ipsec通過AH和ESP兩種協(xié)議實(shí)現(xiàn)上述目標(biāo)，當(dāng)然為了簡化IPSec 的使用和
管理，IPSec 還可以通過 IKE （Internet Key Exchange ，因特網(wǎng)密鑰交換協(xié)議）進(jìn)行自動協(xié)商交換密鑰、建立和維護(hù)安全聯(lián)盟的服務(wù)。

IPSEC 操作模式有兩種：一是傳輸模式，一種是隧道模式。采用的驗(yàn)證。二者區(qū)別在于數(shù)據(jù)報(bào)中是否會生成新的ip報(bào)頭。

IPSEC的驗(yàn)證算法：

? MD5：MD5通過輸入任意長度的消息，產(chǎn)生128bit 的消息摘要。?
? SHA-1 ：SHA-1 通過輸入長度小于2 的64次方比特的消息，產(chǎn)生 160bit 的消息摘要。
?SHA-1 的摘要長于MD5，因而是更安全的。

加密算法：

?? DES：使用56bit的密鑰對一個64bit的明文塊進(jìn)行加密。?
?? 3DES ：使用三個56bit的DES密鑰（共 168bit 密鑰）對明文進(jìn)行加密。
無疑，3DES 具有更高的安全性，但其加密數(shù)據(jù)的速度要比DES慢得多。

(1) AH 協(xié)議
AH是報(bào)文頭驗(yàn)證協(xié)議，主要提供的功能有數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重
放功能；然而，AH并不加密所保護(hù)的數(shù)據(jù)報(bào)。
(2) ESP 協(xié)議ESP是封裝安全載荷協(xié)議。它除提供 AH協(xié)議的所有功能外（但其數(shù)據(jù)完整性校驗(yàn)不包括IP 頭），還可提供對 IP 報(bào)文的加密功能。? （AH和ESP 可以單獨(dú)使用，也可以同時使用）

????? IKE簡介

? IPSec 的安全聯(lián)盟可以通過手工配置的方式建立，但是當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)增多時，手工
配置將非常困難，而且難以保證安全性。這時就要使用IKE（Internet Key Exchange ，
因特網(wǎng)密鑰交換）自動地進(jìn)行安全聯(lián)盟建立與密鑰交換的過程。?
?? IKE 協(xié)議是建立在由 Internet 安全聯(lián)盟和密鑰管理協(xié)議 ISAKMP （Internet Security
Association and Key Management Protocol）定義的框架上。它能夠?yàn)镮PSec 提供
了自動協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)，以簡化IPSec 的使用和管理。
?? IKE 具有一套自保護(hù)機(jī)制，可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰、驗(yàn)證身份、建
立IPSec 安全聯(lián)盟。

IKE的安全機(jī)制：

1、DH（Diffie-Hellman）交換及密鑰分發(fā)。

2、完善的前向安全性（Perfect Forward Secrecy ，PFS ）。

3、身份驗(yàn)證。

4、身份保護(hù)。

IKE的交換階段：

一：IKE SA的建立。

二：ipsec SA 的建立。

安全聯(lián)盟的簡介：

安全聯(lián)盟是IPSec 的基礎(chǔ)，也是IPSec 的本質(zhì)。SA是通信對等體間對某些要素的
約定，例如，使用哪種協(xié)議（AH、ESP還是兩者結(jié)合使用）、協(xié)議的操作模式（傳
輸模式和隧道模式）、加密算法（DES和3DES ）、特定流中保護(hù)數(shù)據(jù)的共享密鑰
以及密鑰的生存周期等。
安全聯(lián)盟是單向的，在兩個對等體之間的雙向通信，最少需要兩個安全聯(lián)盟來分別
對兩個方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。同時，如果希望同時使用 AH和ESP 來保護(hù)對
等體間的數(shù)據(jù)流，則分別需要兩個SA，一個用于 AH，另一個用于ESP。
安全聯(lián)盟由一個三元組來唯一標(biāo)識，這個三元組包括SPI（Security Parameter
ndex ，安全參數(shù)索引）、目的 IP 地址、安全協(xié)議號（AH或ESP）。SPI 是為唯一
標(biāo)識SA而生成的一個 32比特的數(shù)值，它在AH和ESP 頭中傳輸。

安全聯(lián)盟具有生存周期。生存周期的計(jì)算包括兩種方式：?
?? ?? 以時間為限制，每隔指定長度的時間就進(jìn)行更新；?
???? ?以流量為限制，每傳輸指定的數(shù)據(jù)量（字節(jié)）就進(jìn)行更新。?

安全聯(lián)盟的協(xié)商方式：
????? 安全聯(lián)盟的協(xié)商方式有兩種，一種是手工方式（manual），一種是IKE 自動協(xié)商（isakmp ）方式。手工協(xié)商方式配置比較復(fù)雜，創(chuàng)建安全聯(lián)盟所需的全部信息都必
須手工配置，并且不支持IPSec 的一些高級特性（例如定時更新密鑰）；優(yōu)點(diǎn)是可
以不依賴IKE 而單獨(dú)實(shí)現(xiàn) IPSec 功能。IKE 自動協(xié)商方式相對比較簡單，只需要配
置好IKE 協(xié)商安全策略的信息，由 IKE 自動協(xié)商來創(chuàng)建和維護(hù)安全聯(lián)盟。
當(dāng)與 進(jìn)行通信的對等體設(shè)備數(shù)量較少時，或是在小型靜態(tài)環(huán)境中，手工
配置安全聯(lián)盟是可行的。對于中、大型的動態(tài)網(wǎng)絡(luò)環(huán)境中，推薦使用IKE 協(xié)商建立
安全聯(lián)盟。

有興趣的朋友可以自己再對某些不清楚的地方查找資料。

轉(zhuǎn)載于:https://blog.51cto.com/xiaogang6/748861

總結(jié)

以上是生活随笔為你收集整理的ipsec *** 的总结性谈论的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。