ipsec由什么協議組成

這篇文章給大家分享的是有關ipsec由什么協議組成的內容。小編覺得挺實用的，因此分享給大家做個參考，一起跟隨小編過來看看吧。

ipsec由“IKE密匙交換協議”、“ESP封裝安全載荷”、“AH認證頭”三種協議組成。IKE提供對稱密碼的鑰匙的生存和交換；ESP提供機密性、數據源認證、無連接完整性、防重放和有限的傳輸流機密性；AH用于實現完整性校驗。

本教程操作環境：windows7系統、Dell G3電腦。

1、IPsec介紹

IPsecurity是一套完整的加密系統

IPsec-VPN提供三個特性：

• authentication  每一個IP包的認證

• data integrity  驗證數據完整性，保證在傳輸過程中沒有被人為改動

• confidentiality（私密性）數據包的加密

2、IPsec組成

IPsec協議集包括三個協議：

①internet keyexchange(IKE)密匙交換協議

在兩個對等體之間建立一條遂道來完成密鑰交換，協商完成再用下面的方法封裝數據。

IKE動態的，周期性的在兩個PEER之間更新密鑰

②encapsulating secutitypayload(ESP)封裝安全負載

可以對數據包認證，加密，封裝，IP中協議號-50，通常使用3DES來進行加密

③authentication header(AH)

只提供認證，封裝，不提供加密，明文傳送，IP中協議號-51

IKE原理

①組成

由三個不同的協議組成：

• ISAKMP：定義了信息交換的體系結構，也就是格式

• SKEME：實現公鑰加密認證的機制

• Oakley：提供在兩個IPsec對等體間達成相同加密密鑰的基本模式的機制

ISAKMP基于UDP，源目端口都是500

安全聯盟（SecurityAssociation，簡稱SA）

SA是兩個通信實體經協商建立起來的一種協定，它們決定了用來保護數據包安全的IPsec協議、轉碼方式、密鑰、以及密鑰的有效存在時間等等。任何IPsec實施方案始終會構建一個SA數據庫（SADB），由它來維護IPsec協議，用來保障數據包安全。

SA是單向的：如果兩個主機（比如A和B）正在通過ESP進行安全通信，那么主機A就需要有一個SA，即SA（OUT），用來處理外發的數據包，另外還需要有一個不同的SA，即SA（IN）用來處理進入的數據包。主機A的SA（OUT）和主機B的SA（IN）將共享相同的加密參數（比如密鑰）。

SA還要根據協議來區分，如果兩個主機間同時使用ESP和AH，對于ESP和AH會生成不同的SA。

SA分為兩種：

• IKE（ISAKMP）SA    協商對IKE數據流進行加密以及對對等體進行驗證的算法（對密鑰的加密和peer的認證）

• IPsec SA           協商對對等體之間的IP數據流進行加密的算法

對等體之間的IKE SA只能有一個

對等體之間的IPsec SA可以有多個

site-to-site ipsecVPN的協商過程，分兩個階段

要想在兩個站點之間安全的傳輸IP數據流，它們之間必須要先進行協商，協商它們之間所采用的加密算法，封裝技術以及密鑰。

階段一：在兩個對等體設備之間建立一個安全的管理連接。沒有實際的數據通過這個連接。這個管理連接是用來保護第二階段協商過程的。

階段二：當對等體之間有了安全的管理連接之后，它們就可以接著協商用于構建安全數據連接的安全參數，這個協商過程是安全的，加密的。協商完成后，將在兩個站點間形成安全的數據連接。用戶就可以利用這些安全的數據連接來傳輸自已的數據了。

第一階段：建立ISAKMPSA協商的是以下信息：

1、對等體之間采用何種方式做認證，是預共享密鑰還是數字證書。

2、雙方使用哪種加密算法（DES、3DES）

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、雙方使用哪種Diffie-Hellman密鑰組

5、使用哪種協商模式（主模式或主動模式）

6、協商SA的生存期

第二階段：建立IPsecSA協商的是以下信息：

1、雙方使用哪種封裝技術，AH還是ESP

2、雙方使用哪種加密算法

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、使用哪種傳輸模式，是隧道模式還是傳輸模式

5、協商SA的生存期

為什么需要兩個SA，它們之間的關系是怎樣的？

第一個隧道ISAKMP SA是用于保護后續的再次協商，

第二次隧道協商的參數是在完全加密的環境下進行的，之后得到的

IPsecSA才真正為數據做加密！

第一階段策略集面向對象是第二階段的協商包，第二階段的轉換集面向對象是最終的數據包。

ESP概述

Encapsulationsecurity payload，用于實現數據機密性以及完整性校驗。

分裝           安全        有效負載，

ESP有兩種模式

傳輸模式：只加密IP頭部以上的數據，對IP頭部不進行加密（適用于GRE （通用路由協議）over IPSEC）      加密地點即通信地點

隧道模式：加密原有數據包，再加入新的頭部   加密地點非通信地點

.AH概述

Authenticationheader，認證頭部，用于實現完整性校驗

感謝各位的閱讀！關于“ipsec由什么協議組成”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，讓大家可以學到更多知識，如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！