玩转IPsec(Internet Protocol Security) --互联网安全协议

定义

互联网安全协议（英语：Internet Protocol Security，缩写为IPsec），是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。

组成

实现可用的安全服务的一对协议
提供访问控制、无连接消息完整性、认证和反重发保护的认证首部（Authentication Header,AH）以及同样支持这些服务再加上机密性的封装安全有效载荷（Encapsulating Security Payload,ESP）。

AH（Authentication Header）
定义： 是用以保证数据包的完整性和真实性，防止黑客截断数据包或向网络中插入伪造数据包的协议。
作用：

数据源鉴别认证：通过在计算验证码时加入一个共享密钥来实现
无连接数据完整性：通过哈希函数产生的验证来保证
抗重放服务：AH 报头中的序列号可以防止重放攻击
在AH的传输模式下，AH散列算法计算的是整个数据包（包括IP报头）在传输过程中不变的所有域。
考虑到计算效率，AH没有采用数字签名而是采用了安全哈希算法来对数据包进行保护。
AH没有对用户数据进行加密。当需要身份验证而不需要机密性的时候，使用AH协议是最好的选择。

头结构：

AH在不同模式下的封装：

• 在传输模式下：

在隧道模式下：

更多linux内核视频教程文档资料免费领取后台私信【内核】自行获取.

Linux内核源码/内存调优/文件系统/进程管理/设备驱动/网络协议栈-学习视频教程-腾讯课堂

ESP(Encapsulating Security Payload)

定义： 用于在已建立的SA上安全地传输数据地协议。作为可选的功能，ESP也提供和AH鉴别头部同样的数据完整性和兼备服务。由于ESP要对数据进行加密处理 ，因而它比AH需要更多的处理时间

头结构：

ESP在不同模式下的封装：

• 传输模式：

隧道模式：

对密钥管理的支持

IPSEC协议族

设计意图

入口对入口通信安全，在此机制下，分组通信的安全性由单个节点提供给多台机器（甚至可以是整个局域网）；
端到端分组通信安全，由作为端点的计算机完成安全操作。上述的任意一种模式都可以用来构建虚拟专用网（VPN），而这也是IPsec最主要的用途之一。应该注意的是，上述两种操作模式在安全的实现方面有着很大差别。
因特网范围内端到端通信安全的发展比预料的要缓慢，其中部分原因，是因为其不够普遍或者说不被普遍信任。公钥基础设施能够得以形成（DNSSEC最初就是为此产生的），一部分是因为许多用户不能充分地认清他们的需求及可用的选项，导致其作为内含物强加到卖主的产品中（这也必将得到广泛采用）；另一部分可能归因于网络响应的退化（或说预期退化），就像兜售信息的充斥而带来的带宽损失一样。

工作模式

传输模式(Transport Mode)

在传输模式下，IPSec协议处理模块会在IP报头和高层协议报头之间插入一个IPSec报头。
IP报头与原始IP分组中的IP报头是一致的，只是IP报文中的协议字段会被改成IPSec协议的协议号（50或者51)
，并重新计算IP报头校验和。传输模式保护数据包的有效载荷、高层协议，IPSec源端点不会修改IP报头中目的IP地址，原来的IP地址也会保持明文。
传输模式只为高层协议提供安全服务。

应用场景：经常用于主机和主机之间端到端通信的数据保护。
封装方式：不改变原有的IP包头，在原数据包头后面插入IPSec包头，将原来的数据封装成被保护的数据。

隧道模式(Tunnel Mode)

传输模式不同，在隧道模式下，原始IP分组被封装成一个新的IP报文，在内部报头以及外部报头之间插入一个IPSec报头，原IP地址被当作有效载荷的一部分受到IPSec的保护。
通过对数据加密，还可以隐藏原数据包中的IP地址，这样更有利于保护端到端通信中数据的安全性。
封装方式：增加新的IP（外网IP）头，其后是ipsec包头，之后再将原来的整个数据包封装。

主要应用场景： 经常用于私网与私网之间通过公网进行通信，建立安全VPN通道。

转载地址：玩转IPsec(Internet Protocol Security) --互联网安全协议 - 圈点 - 我爱内核网 - 构建全国最权威的内核技术交流分享论坛