IPsec
IP安全(IP Security)协议更常被称为IPsec,它为网络层提供了安全性。IPsec为任意两个网络实体(包括主机和路由器)之间的IP数据报提供了安全。许多机构使用IPsec创建了运行在公共因特网之上的虚拟专用网(Virtual Private Network, VPN)。
AH协议和ESP协议
在IPsec协议族中,有两个主要的协议:鉴别首部(AuthenticationHeader AH)协议和封装安全性载荷(Encapsulation Security Payload, ESP)协议。当某源IPsec实体向一个目的的实体发送安全数据包时,它可以使用AH协议或ESP协议来做到。AH协议提供源鉴别和数据完整性服务,但不提供机密性服务。ESP协议提供了源鉴别、数据完整性服务和机密性服务。因为机密性通常对VPN和其他IPsec应用至关重要,所以ESP协议的使用比AH协议要广泛。
安全关联
IPsec数据报在网络实体对之间发送,两台主机、两台路由或一台主机和一台路由之间,从源实体向目的实体发送IPsec数据报之前,源和目的实体创建了一个网络层的逻辑连接,这个逻辑连接称为安全关联(Security Association, SA)一个SA就是一个单工逻辑连接;也就是说,它是从源到目的的单向的。这两个实体要相互发送安全数据报,则需要创建两个SA,每个方向一个。
IPsec数据报
IPsec有两种不同的分组形式,一种用于所谓的隧道模式(tunnel mode),另外一种用于所谓的运输模式(transport mode)。更适合VPN的隧道模式比运输模式使用更为广泛。
普通IPV4数据报转换成IPsec数据报方法
1.在初始化IPv4数据报(它包括初始首部字段)后面附上一个ESP尾部字段
2.使用算法和由SA规定的密钥加密该结果
3.在这个加密量的前面附加上一个称为ESP首部的字段,得到的包称为enchilada
4.使用算法和由SA规定的密钥生成一个覆盖整个enchilada的鉴别MAC
5.该MAC附加到enchilada的后面形成载荷
6.最后生成一个剧有所有经典IPv4首部字段(通常20字节长)的全新IP首部,该新首部附加到载荷之前
注意得到的IPsec数据报是一个货真价实的IPv4数据报,它剧有传统的IPv4首部字段后跟一个载荷。该载荷包含一个ESP首部、初始IP数据报、一个ESP尾部和一个ESP鉴别字段(具有加密的初始化数据报和ESP尾部)。初始的IP数据报剧有源IP地址和目的IP地址。因为IPsec数据报包括了该初始IP数据报,这些地址被包含和被加密作为IPsec分组负载的组成部分。但是在新IP首部中的源和目的地址即IPsec数据报的最左侧首部该如何处理?它们被设为隧道两端的源和目的的路由器接口,这个新IPv4首部字段中的协议号不被设置为TCP、UDP或SMTP,而是设置为50,指示这是一个使用ESP协议的IPsec数据报
网关路由器将经典的IPv4转换成为IPsec数据报,然后将该IPsec数据报转发进因特网。该IPsec数据报实际上具有传统的IPv4首部,因此在公共因特网中的路由器处理该数据报,仿佛它对路由器而言是一个普通的IPv4数据报。IPsec数据报的载荷包括了一个IPsec首部,该首部被用于IPsec处理;此外,IPsec数据报的载荷是被加密的。当该IPsec数据报到达便携机时,便携机的操作系统解密载荷(并提供其他安全服务,如验证数据完整性),并将解密的载荷传递给上层协议(例如,给TCP或UDP) 。