IPsec Protocol Analysis

发表于 更新于 分类于 本文字数: 542 阅读时长 ≈ 1 分钟

概述

IPv4 是应用最为广泛的网络层协议,它组成了如今 Internet 的核心。IPv4 协议是无状态、无认证、无加密协议,也没有带宽控制支持,很容易收到多方面的攻击。

为了解决 IPv4 存在的安全问题,IETF 设计了端到端的确保 IP 通信安全的机制,称为IPSec (IP Security)

IPSec 标准之间的关系:

协议解释:

  • 认证头(AH):为 IP 数据报提供无连接数据完整性消息认证以及防重放攻击保护
  • 封装安全载荷(ESP):提供机密性、数据源认证、无连接完整性、防重放和有限的传输流机密性。
  • 安全关联(SA):提供算法和数据包,提供 AH、ESP 操作所需要的参数。
  • 密钥协议(IKE):提供对称密钥的生成和交换。

IPSec 的主要用途之一就是用来构建 VPN

IPSec Security Policy

IPSec 操作的基础是应用于每一个从源端到目标端传输的 IP 包上的安全策略。

SA(Security Association) 安全关联。SA 是通信双方之间的单向逻辑连接,为通信数据流提供安全服务。所有经过同一 SA 的数据流会得到相同的安全服务。如果源端和目标端需要双向安全数据交换,则需要建立两个 SA,称为 “SA对”。

IPSec Mode