IPSec原理
IPSec(IP Security)是IETF定义的一组协议,用于增强IP网络的安全性
IPSec协议集提供如下服务:
- 数据完整性(Data Integrity)
- 认证(Autentication)
- 保密性(Confidentiality)
- 应用透明安全性(Application-transparent Security)
IPSec功能分为三类:
- 认证头(AH)
提供数据完整性和数据源认证(运用Hash算法),但不能提供数据保密服务MD5、SHA
- 封装安全负荷(ESP)
提供数据加密功能,加密算法有:DES、3DES、AES等
- Internet密钥交换协议(IKE)
用于生成和分发在ESP和AH中使用的密钥
|
IPSec协议 |
功能 |
代表协议 |
|
AH |
数据完整性和源认证 |
MD5、SHA |
|
ESP |
数据加密 |
DES、3DES、AES(全是对称加密算法) |
|
IKE |
密钥生成和分发 |
DH |
IPSec两种封装模式
传输模式的认证头
AH前
|
原来的IP头 |
TCP |
数据 |
AH后的IPv4传输模式
|
原来的IP头 |
AH |
TCP |
数据 |
隧道模式的认证头
|
新的IP头 |
AH |
原来的IP头 |
TCP |
数据 |