IPsec 技术白皮书-新华三.docxVIP

1

IPsec技术白皮书

i

目录

1概述 1

1.1产生背景 1

1.2技术优点 1

2技术实现 1

2.1IPsec基本概念 1

2.1.1安全联盟 1

2.1.2安全协议 2

2.1.3安全机制 3

2.1.4封装模式 3

2.2IKE协议 4

2.2.1IKE的优点 4

2.2.2IPsec与IKE的关系 5

2.2.3IKE的安全机制 5

2.2.4IKE协议版本 6

2.3IKEv1协商建立IPsecSA 6

2.3.1基本过程 6

2.3.2协商模式 6

2.3.3主模式 6

2.3.4野蛮模式 7

2.3.5国密主模式 7

2.4IKEv2协商建立IPsecSA 8

2.4.1IKEv2的协商过程 8

2.4.2IKEv2引入的新特性 9

2.5IPsec运行机制 9

2.6定义保护数据流的方法 11

2.6.1ACL方式 11

2.6.2路由方式 12

3技术特色 13

3.1高效安全的硬件加密引擎 13

3.2高安全性的量子加密 14

3.3全面支持国密算法 14

3.4稳定可靠的智能选路 14

ii

3.5自动反向路由注入 15

3.6保护IPv6路由协议 16

3.7保护SDWAN报文 16

3.8掩码过滤与流量重叠检测 17

3.9流量不进行NAT转换 18

3.10对端地址备份与回切 19

3.10.1对端地址备份 19

3.10.2对端地址回切 19

3.11灵活切换封装协议 19

3.12基于iMC的IPsec统一运维 19

4典型组网应用 20

4.1局域网安全互联场景 20

4.2移动用户远程接入场景 20

4.3NAT穿越场景 20

4.4反向路由注入场景 21

4.5IPsec智能选路场景 21

4.6总部双链路场景 22

4.7VPN多实例场景 22

5参考文献 23

1

1概述

1.1产生背景

随着互联网技术的快速发展，越来越多的企业选择通过互联网进行信息交互，但是由于IP协议没有足够的安全性保障，且网络中存在大量的安全威胁和数据泄漏风险，无法保证网络传输数据的安全性。为了解决以上问题，IPsec应运而生。

IPsec（IPSecurity，IP安全）是IETF制定的三层隧道加密协议，IPsec协议工作在IP层，可以为IP网络提供透明的安全服务。IPsec通过在特定通信方之间（例如两个安全网关之间）建立“通道”，来保护通信方之间传输的用户数据，该通道通常称为IPsec隧道。

1.2技术优点

IPsec具有如下技术优点：

?数据机密性（Confidentiality）：发送方通过网络传输报文前，IPsec对报文进行加密，保证数据的机密性，防止数据被恶意窃听。

?数据完整性（DataIntegrity）：接收方对收到的IPsec报文的Hash值进行检查，从而判断数据在传输过程中是否被篡改。

?数据来源认证（DataOriginAuthentication）：接收方对收到的IPsec报文的数字签名进行认证，从而判断报文来源的真实性。

?所有基于IP协议进行传输的数据都可以使用IPsec进行保护，而不需要对原始报文进行任何修改。

?IPsec借助IKE协议，可实现密钥的自动协商，简化了IPsec的配置。

?IPsec对数据的加密以数据包为单位，支持抗重放功能，可以有效防范网络攻击。

2技术实现

2.1IPsec基本概念

IPsec包括如下基本概念：安全联盟、安全协议、安全机制、封装模式。

2.1.1安全联盟

1.SA简介

SA（SecurityAssociation，安全联盟）是IPsec的基础，也是IPsec的本质。IPsec在两个端点之间提供安全通信，这类端点被称为IPsec对等体。SA是IPsec对等体间对某些要素的约定，例如，使用的安全协议（AH、ESP或两者结合使用）、协议报文的封装模式