一、簡(jiǎn)介

1.簡(jiǎn)述

互聯(lián)網(wǎng)安全協(xié)議（英語(yǔ)：Internet Protocol Security，縮寫為IPsec），是一個(gè)協(xié)議包，通過(guò)對(duì)IP協(xié)議的分組進(jìn)行加密和認(rèn)證來(lái)保護(hù)IP協(xié)議的網(wǎng)絡(luò)傳輸協(xié)議族（一些相互關(guān)聯(lián)的協(xié)議的集合）。

IPsec主要由以下協(xié)議組成：

一、認(rèn)證頭（AH），為IP數(shù)據(jù)報(bào)提供無(wú)連接數(shù)據(jù)完整性、消息認(rèn)證以及防重放攻擊保護(hù)；

二、封裝安全載荷（ESP），提供機(jī)密性、數(shù)據(jù)源認(rèn)證、無(wú)連接完整性、防重放和有限的傳輸流（traffic-flow）機(jī)密性；

三、安全關(guān)聯(lián)（SA），提供算法和數(shù)據(jù)包，提供AH、ESP操作所需的參數(shù)。

2.作用

IPsec協(xié)議工作在OSI模型的第三層，使其在單獨(dú)使用時(shí)適于保護(hù)基于TCP或UDP的協(xié)議（如安全套接子層（SSL）就不能保護(hù)UDP層的通信流）。這就意味著，與傳輸層或更高層的協(xié)議相比，IPsec協(xié)議必須處理可靠性和分片的問(wèn)題，這同時(shí)也增加了它的復(fù)雜性和處理開銷。相對(duì)而言，SSL/TLS依靠更高層的TCP（OSI的第四層）來(lái)管理可靠性和分片。

IPSec協(xié)議有兩種封裝模式：

傳輸模式。在傳輸模式下，AH或ESP被插入到IP頭之后但在所有傳輸層協(xié)議之前，或所有其他IPSec協(xié)議之前。

1. 隧道模式。在隧道模式下，AH或ESP插在原始IP頭之前，另外生成一個(gè)新IP頭放到AH或ESP之前。

1. 傳輸模式用于兩臺(tái)主機(jī)之間的通訊，或者是一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊。在傳輸模式下，對(duì)報(bào)文進(jìn)行加密和解密的兩臺(tái)設(shè)備本身必須是報(bào)文的原始發(fā)送者和最終接收者。

通常，在兩個(gè)安全網(wǎng)關(guān)（路由器）之間的數(shù)據(jù)流量，絕大部分都不是安全網(wǎng)關(guān)本身的通訊量，因此在安全網(wǎng)關(guān)之間一般不使用傳輸模式，而總是使用隧道模式。在一個(gè)安全網(wǎng)關(guān)被加密的報(bào)文，只有另一個(gè)安全網(wǎng)關(guān)能夠解密。因此必須對(duì)IP報(bào)文進(jìn)行隧道封裝，即增加一個(gè)新的IP頭，進(jìn)行隧道封裝后的IP報(bào)文被發(fā)送到另一個(gè)安全網(wǎng)關(guān)，才能夠被解密。

二、報(bào)文

1.報(bào)文格式

AH(AuthenticationHeader) 協(xié)議。

ESP(EncapsulatedSecurityPayload) 協(xié)議。

AH+ESP

IKE（密鑰管理協(xié)議） Header Format