文档介绍：因特网的网络层安全协议族 IPsec . IPsec 与安全关联 SA
IPsec 就是“IP 安全(Security)协议”的缩写。
IPSec执行网络层保密,使所有在 IP 数据报中的数据都是加密的。
IPSec还可在网络层提供源站鉴别和数据完整性检验,即当目的站收到 IP 数据报时,能确信这是从该数据报的源 IP 地址的主机发来的,以及检验数据是否完整和被窜改。
IPSec VPN 应用场景
Site-to-Site(站点到站点或者网关到网关):如3个机构分布在互联网的3个不同的地方,各使用一个 IPSec VPN 网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。
End-to-End(端到端或者PC到PC): 两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。
End-to-Site(端到站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。
IPsec 中最主要的两个组件
鉴别首部 AH (Authentication Header):
AH提供源站鉴别和数据完整性,但不提供加密。
封装安全有效载荷 ESP (Encapsulation Security Payload):
ESP 提供加密,同时也可以做源站鉴别、数据完整性的选项功能。
其中,ESP用得最多。AH使用较少,原因是因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密。
安全关联 SA(Security Association)
在使用 AH 或 ESP 之前,先要从源主机到目的主机建立一条两个网络层实体间的逻辑关联。此逻辑连接关系叫做安全关联 SA。
IPsec 就将传统的因特网上两个网络层实体的无连接关系转换为具有逻辑连接关系,并对该安全关联SA赋予加密密钥、加密及鉴别算法等参数,以在之后根据所使用的SA查知相应的参数进行IPSec处理。
安全关联 SA
安全关联是一个单向连接。它由一个三元组唯一地标识,包括:
(1) 使用何安全协议( AH 或 ESP)
(2) 此单向连接的源 IP 地址
(3) 一个 32 bit 的连接标识符,称为安全参数索引
SPI (Security Parameter Index)
在AH或ESP头中有SPI字段,接收端根据该SPI、以及使用的安全协议、源IP就可对应到使用的SA,从而查知在该SA上使用的密钥、加密、鉴别方法等参数,进行相应的IPSec处理。
鉴别首部 AH
在使用鉴别首部 AH 时,将 AH 首部插在原数据报数据部分的前面,同时将 IP 首部中的协议字段置为 51。
在传输过程中,中间的路由器都不查看 AH 首部。当数据报到达目的站时,目的站主机才处理 AH 字段,以鉴别源主机和检查数据报的完整性。
IP 首部
AH 首部
TCP/UDP 报文段
协议= 51
可鉴别的 IP 数据报
原数据报的数据部分
AH 首部
(1) 下一个首部(8 bit)。标志紧接