IPSec简介、及协议体系

IPSec简介

定义

IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合，如图所示。

图 IPSec协议体系

IPSec通过验证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）两个安全协议实现IP报文的安全保护：

• AH是报文头验证协议，主要提供数据源验证、数据完整性验证和防报文重放功能，不提供加密功能。
• ESP是封装安全载荷协议，主要提供加密、数据源验证、数据完整性验证和防报文重放功能。

AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法:

• AH和ESP都能够提供数据源验证和数据完整性验证，使用的验证算法为MD5（Message Digest 5）、SHA1（Secure Hash Algorithm 1）、SHA2-256、SHA2-384和SHA2-512算法。
• ESP还能够对IP报文内容进行加密，使用的加密算法为对称加密算法，包括DES（Data Encryption Standard）、3DES（Triple Data Encryption Standard）、AES（Advanced Encryption Standard）。

说明：

MD5和SHA1验证算法存在安全隐患，建议优先使用SHA2算法。

DES和3DES加密算法存在安全隐患，建议优先使用AES算法。

IPSec加密和验证算法所使用的密钥可以手工配置，也可以通过因特网密钥交换IKE（Internet Key Exchange）协议动态协商。IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP（Internet Security Association and Key Management Protocol）框架之上，采用DH（Diffie-Hellman）算法在不安全的网络上安全地分发密钥、验证身份，以保证数据传输的安全性。IKE协议可提升密钥的安全性，并降低IPSec管理复杂度。

目的

在Internet的传输中，绝大部分数据的内容都是明文传输的，这样就会存在很多潜在的危险，比如：密码、银行帐户的信息被窃取、篡改，用户的身份被冒充，遭受网络恶意攻击等。网络中部署IPSec后，可对传输的数据进行保护处理，降低信息泄露的风险。

受益

IPSec通过加密与验证等方式，从以下几个方面保障了用户业务数据在Internet中的安全传输：

• 数据来源验证：接收方验证发送方身份是否合法。
• 数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。
• 数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。
• 抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。