IPsec封装支持两种协议标准
IPsec封装的是IP层数据,或是IP上层协议载荷,因此可以认为是一种构建L3方案(第三层方案)的技术。其最大的特点是为数据传输进程提供了机密性、完全性保护和数据源验证,从而确保承载于公共网络的方案的安全性和可靠性,同时由于添加的协议头其实不多,且还可以利用硬件加密卡加速IPsec报文的处理,因此效力上得到了很大的提高;另外IKE协商进程能提供比较完备的用户身份认证,这就使得可以对IPsec用户访问实行有力控制,从而进一步保证了网络的安全。
IPsec支持两种协议标准,鉴别首部(AuthenticaionHeader,AH)和封装安全有效载荷(EncapsulationSecurityPayload,ESP):
AH可证明数据的起源地(数据来源认证)、保障数据的完全性和避免相同的数据包不断重播(抗重放攻击);
ESP能提供的安全服务则更多,除上述AH所能提供的安全服务外,还可以提供数据机密性,这样可以保证数据包在传输进程中不被非法辨认;
AH与ESP提供的数据完全性服务的差别在于,AH验证的范围还包括数据包的外部IP头。
IPSec协议封装模式:
传输模式:IPSec头被插入到IP头以后但在所有传输层协议之前,或所有其他IPSec协议之前。
隧道模式:IPSec头插在原始IP头之前,另外生成一个新的报文头放到AH或ESP之前。
IPSec安全协议AH
提供数据源验证(真实性)、完全性校验和抗重放
不支持加密算法
IPSec安全协议ESP
提供数据真实性、数据完全性、抗重放、数据机密性
支持加密算法
IKE在IPSec协议的作用
IKE具有一套自保护机制,可以在不安全的网络上安全地分发密钥、验证身份、建立IPSec安全同盟。
