ipsec是什么

IPsec(网际协议安全)是一种协议包，它通过对IP协议的数据包进行加密和认证来保护IP协议的网络传输协议族(一些相关协议的集合)。

IPsec(网际协议安全)是一种协议包，它通过对IP协议的数据包进行加密和认证来保护IP协议的网络传输协议族(一些相关协议的集合)。

简介

互联网协议安全(IPsec)是一种协议包，通过对IP协议包进行加密和认证来保护IP协议的网络传输协议族(一些相关协议的集合)。

IPsec主要由以下协议组成:1 .认证报头，提供无连接数据完整性、消息认证和针对IP数据报重放攻击的保护；第二，封装安全负载(ESP)以提供机密性、数据源认证、无连接完整性、防重放和有限流量机密性；第三，安全关联(SA)提供算法和数据包，提供AH和ESP操作所需的参数。

标准的现状

IPv6是IETF为IP分组通信制定的新的互联网标准。在RFC 6434之前，IPsec是一个强制内容，但它在IPv4中的使用一直是可选的。这样做的目的是随着IPv6的进一步普及，IPsec可以得到更广泛的应用。IPsec协议的第一个版本在RFCs2401-2409中定义。2005年，标准文件第二版发布，新文件在RFC 4301和RFC 4309中定义。

设计意图

IPsec旨在提供(1)入口到入口的通信安全。在这种机制下，分组通信的安全性由单个节点提供给多台机器(甚至整个局域网)；(2)端到端分组通信安全，由计算机作为端点完成。以上任何一种模式都可以用来构建虚拟专用网络(VPN)，这是IPsec最重要的用途之一。需要注意的是，以上两种运营模式在安全性的实现上有很大差异。

互联网端到端通信安全的发展比预期的要慢，部分原因是它不具有普遍性或不被普遍信任。可以形成公钥基础设施(DNSSEC最初就是为此而产生的)，部分原因是很多用户不能充分认识到自己的需求和可用选项，导致其作为内含物被强加在厂商的产品上(也将被广泛采用)；另一部分可能是由于网络响应的退化(或预期的退化)，就像兜售信息泛滥造成的带宽损失一样。

与其他安全协议的比较

IPsec协议工作在OSI模型的第三层，适合单独使用时保护TCP或基于UDP的协议(比如SSL不能保护UDP层的通信流)。这意味着，与传输层或更高层协议相比，IPsec协议必须处理可靠性和碎片，这也增加了其复杂性和处理开销。相对来说，SSL/TLS依靠更高级别的TCP(OSI第4层)来管理可靠性和碎片化。

技术细节

认证头(AH)

身份验证报头(AH)用于确保传输数据包的完整性和可靠性。此外，它还可以防止重放攻击。认证头试图保护IP数据报的所有字段，那些在IP包传输过程中会发生变化的字段只能被排除。当认证头使用非对称数字签名算法(如RSA)时，可以提供不可否认性(RFC 1826)。

认证头分组示意图:
01230 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7下一个头有效负载长度保留安全参数索引(SPI)序列号认证数据(可变长度)
字段含义:

下一个报头:标识传输数据所属的协议。

有效负载长度:身份验证头数据包的大小。

保留:保留供将来应用(当前设置为0)。

安全参数索引:与IP地址一起用来标识安全参数。

序列号:用于防止重放攻击的单调递增的值。

身份验证数据:包含对当前包进行身份验证所需的数据。

实现

FreeS/WAN项目在GNU/Linux环境下开发了一个开源IPsec实现。并且一个基于KAME项目的IPsec实现已经包含在NetBSD、FreeBSD和2.6Linux内核中。在某种程度上，由于这个原因，免费S/WAN项目的开发于2004年3月暂停。Openswan和strongSwan是免费S/WAN的延续。

到目前为止，已经实现了很多IPsec协议和ISAKMP/IKE协议。它们包括:

NRL IPsec，属于原型。

来自NRL IPsec的代码

Mac OS X，其中包含Kame IPsec的代码

思科IOS

微软视窗软件

SSH哨兵(现在是安全网的一部分)提供了一个工具包

操作系统

IPsec相关RFC文档

RFC 2401

IP协议的安全架构

RFC 2402

身份验证标头

RFC 2406

封装安全负载

RFC 2407

ISAKMP IpSec解释域(IPsec DoI)

RFC 2408

网络安全关系和密钥管理协议(ISAKMP)

RFC 2409

互联网密钥交换

保障建设

IPsec协议工作在OSI模型的第三层，适合单独使用时保护TCP或基于UDP的协议(比如SSL不能保护UDP层的通信流)。这意味着，与传输层或更高层协议相比，IPsec协议必须处理可靠性和碎片，这也增加了其复杂性和处理开销。相对来说，SSL/TLS依靠更高级别的TCP(OSI第4层)来管理可靠性和碎片化。

安全协议

(1)AH(AuthenticationHeader)协议。

它用于为IP通信提供数据完整性和身份验证，还可以提供防重放服务。

IPv6协议采用AH后，由于在主机端设置了基于算法独立交换的密钥，可以有效防止非法入侵，密钥由客户和服务提供商设置。在传输每个数据包时，IPv6认证根据密钥和数据包生成一个检查项。检查项目在数据接收端重新运行和比较，从而保证数据包来源的确认，防止数据包被非法修改。

(2) esp(封装安全负载)协议。

它提供了IP层加密保证和数据源认证，以应对网络拦截。AH虽然可以保护通信不被篡改，但是不转换数据，数据对于黑客来说还是很清楚的。为了有效保证数据传输的安全性，IPv6中又增加了一个报头ESP，进一步提供数据保密性，防止篡改。