安全与VPN-IPsec技术介绍.pdf

安全与VPN-IPsec技术介绍 技术介绍 安全和 VPN 目录 目 录 IPsec 1 IPsec简介 1 IPsec的协议实现 1 IPsec基本概念 2 加密卡 4 IPsec虚拟隧道接口 4 使用IPsec保护IPv6 路由协议 6 IKE 6 IKE简介 6 IKE的安全机制 6 IKE的交换过程 7 IKE在IPsec中的作用 8 IPsec与IKE的关系 8 i 技术介绍 安全和 VPN IPsec IPsec IPsec 简介 IPsec （IP Security）是 IETF 制定的三层隧道加密协议，它为 Internet 上传输的数据提供了高质量 的、可互操作的、基于密码学的安全保证。特定的通信方之间在 IP 层通过加密与数据源认证等方式， 提供了以下的安全服务： 数据机密性（Confidentiality ）：IPsec 发送方在通过网络传输包前对包进行加密。 数据完整性（Data Integrity）：IPsec 接收方对发送方发送来的包进行认证，以确保数据在传 输过程中没有被篡改。 数据来源认证（Data Authentication）：IPsec 在接收端可以认证发送 IPsec 报文的发送端是 否合法。 防重放（Anti-Replay ）：IPsec 接收方可检测并拒绝接收过时或重复的报文。 IPsec 具有以下优点： 支持 IKE （Internet Key Exchange，因特网密钥交换），可实现密钥的自动协商功能，减少了 密钥协商的开销。可以通过 IKE 建立和维护 SA 的服务，简化了 IPsec 的使用和管理。 所有使用 IP 协议进行数据传输的应用系统和服务都可以使用 IPsec，而不必对这些应用系统 和服务本身做任何修改。 对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一 步提高 IP 数据包的安全性，可以有效防范网络攻击。 IPsec 的协议实现 IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网 络认证协议AH （Authentication Header ，认证头）、ESP （Encapsulating Security Payload，封装 安全载荷）、IKE （Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法 等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。关于IKE的详细介绍请 参见“0IKE”，本节不做介绍。 IPsec 提供了两种安全机制：认证和加密。认证机制使 IP 通信的数据接收方能够确认数据发送方的 真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密 性，以防数据在传输过程中被窃听。 IPsec 协议中的 AH 协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP 协议定义了 加密和可选认证的应用方法，提供数据可靠性保证。 AH 协议（IP 协议号为 51 ）