这篇文章给大家分享的是有关ipsec由什么协议组成的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
ipsec由“IKE密匙交换协议”、“ESP封装安全载荷”、“AH认证头”三种协议组成。IKE提供对称密码的钥匙的生存和交换;ESP提供机密性、数据源认证、无连接完整性、防重放和有限的传输流机密性;AH用于实现完整性校验。
本教程操作环境:windows7系统、Dell G3电脑。
1、IPsec介绍
IPsecurity是一套完整的加密系统
IPsec-VPN提供三个特性:
authentication 每一个IP包的认证
data integrity 验证数据完整性,保证在传输过程中没有被人为改动
confidentiality(私密性)数据包的加密
2、IPsec组成
IPsec协议集包括三个协议:
①internet keyexchange(IKE)密匙交换协议
在两个对等体之间建立一条遂道来完成密钥交换,协商完成再用下面的方法封装数据。
IKE动态的,周期性的在两个PEER之间更新密钥
②encapsulating secutitypayload(ESP)封装安全负载
可以对数据包认证,加密,封装,IP中协议号-50,通常使用3DES来进行加密
③authentication header(AH)
只提供认证,封装,不提供加密,明文传送,IP中协议号-51
IKE原理
①组成
由三个不同的协议组成:
ISAKMP:定义了信息交换的体系结构,也就是格式
SKEME:实现公钥加密认证的机制
Oakley:提供在两个IPsec对等体间达成相同加密密钥的基本模式的机制
ISAKMP基于UDP,源目端口都是500
安全联盟(SecurityAssociation,简称SA)
SA是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的IPsec协议、转码方式、密钥、以及密钥的有效存在时间等等。任何IPsec实施方案始终会构建一个SA数据库(SADB),由它来维护IPsec协议,用来保障数据包安全。
SA是单向的:如果两个主机(比如A和B)正在通过ESP进行安全通信,那么主机A就需要有一个SA,即SA(OUT),用来处理外发的数据包,另外还需要有一个不同的SA,即SA(IN)用来处理进入的数据包。主机A的SA(OUT)和主机B的SA(IN)将共享相同的加密参数(比如密钥)。
SA还要根据协议来区分,如果两个主机间同时使用ESP和AH,对于ESP和AH会生成不同的SA。
SA分为两种:
IKE(ISAKMP)SA ,协商对艾克数据流进行加密以及对对等体进行验证的算法(对密钥的加密和同行的认证)
李> <李>IPsec SA,,,,,协商对对等体之间的IP数据流进行加密的算法
李>
对等体之间的艾克SA只能有一个
对等体之间的IPsec SA可以有多个