015 IPSEC VPN.docVIP

IPSEC VPN IPSEC VPN原理概述 IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP报文提供了基于密码学的、可互操作的、高质量的安全保护机制。特定的通信双方在IP层通过加密与数据源验证等方式，保证报文在网络中传输时的私有性、完整性、真实性，并有效防御重放攻击。 IPSec对报文的保护通过AH（Authentication Header）和ESP（Encapsulating Security Payload）两种安全协议实现。各协议的功能简单介绍如下： AH协议主要提供的功能有数据源验证、数据完整性校验和防御报文重放攻击，但不能对需要保护的报文进行加密。 ESP协议除提供AH协议的所有功能外，还可提供对IP报文的加密功能。与AH协议不同的是，其数据完整性校验不包括IP报文头。 ESP协议允许对报文同时进行加密和验证，或只加密，或只验证。 为简化IPSec的使用和管理，除了可以手动建立安全联盟SA（Security Association）外，还可以通过IKE（Internet Key Exchange）进行自动协商交换密钥、建立和维护SA。IKE协议用于自动协商AH和ESP所使用的密码算法，并将算法所需的必备密钥放到恰当位置。 典型组网图 图1 IPSEC VPN典型组网 公司分部与公司总部需要进行