IPSec協議框架

IPSec是一種開放標準的框架結構，特定的通信方之間在IP 層通過加密和數據摘要(hash)等手段，來保證數據包在Inte🉐rnet 網上傳輸時的私密性(confidentiality) 、完整性(data integrity)和真實性(origin authentication)。

IPSec只能工作在IP層，要求乘客協議和承載協議都是IP協議

通過加密保證數據的私密性

1、私密性：防止信息泄漏給未經授權的個人

2、通過加密把數據從明文變成無法讀懂的密文，從而確保數據的私密性

對稱加密

1、如果加密密鑰與解密密鑰相同，就稱為對稱加密

2、由于對稱加密的運算速度快，所以IPSec使用對稱加密算法來加密數據

對數據進行hash運算來保證完整性

1、完整性：數據沒有被非法篡改

2、通過對數據進行hash運算，產生類似于指紋的數據摘要，以保證數據的完整性

對數據和密鑰一起進行hash運算

1、攻擊者篡改數據后，可以根據修改后的數據生成新的摘要，以此掩蓋自己的攻擊行為。

2、通過把數據和密鑰一起進行hash運算，可以有效抵御上述攻擊。

DH算法的基本原理

通過身份認證保證數據的真實性

1、真實性：數據確實是由特定的對端發出

2、通過身份認證可以保證數據的真實性。常用的身份認證方式包括：

Pre-shared key，預共享密鑰

RSA Signature，數字簽名

預共享密鑰

預共享密鑰，是指通信雙方在配置時手工輸入相同的密鑰。

數字證書

1、RSA密鑰對，一個是可以向大家公開的公鑰，另一個是只有自己知道的私鑰。

2、用公鑰加密過的數據只有對應的私鑰才能解開，反之亦然。

3、數字證書中存儲了公鑰，以及用戶名等身份信息。

數字簽名認證

IPSec框架結構

IPSec安全協議

IPSec安全協議描述了如何利用加密和hash來保護數據安全

1、AH (Authentication Header)

只能進行數據摘要(hash) ，不能實現數據加密

ah-md5-hmac、ah-sha-hmac

2、ESP (Encapsulating Security Payload)

能夠進行數據加密和數據摘要(hash)

esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、

IPSec支持兩種封裝模式：傳輸模式和隧道模式

傳輸模式：不改變原有的IP包頭，通常用于主機與主機之間。

IPSec封裝模式

IPSec支持兩種封裝模式：傳輸模式和隧道模式

傳輸模式：不改變原有的IP包頭，通常用于主機與主機之間。

隧道模式：增加新的IP頭，通常用于私網與私網之間通過公網進行通信。

IPSec與NAT

AH模式無法與NAT一起運行

AH對包括🍰IP地址在內的整個IP包進行hash運算，而NAT會改變IP地址，從而破壞AH的𒅌hash值。

ESP模式下：

只進行地址映射時，ESP可與它一起工作。

進行端口映射時，需要修改端口，而ESP已經對端口號進行了加密和/或hash，所以將無法進行。

啟用IPSec NAT穿越后，會在ESP頭前增加一個UDP頭，就可以進行端口映射。

以上就是IPSec協議框架的介紹，

如果你還有其他問題，歡迎進行咨詢探討，希望我們的專業的解決方案，可以解決你目前遇到的這些問題。