IPSec VPN的具体介绍-网络安全-知优网

IPSec (IP SECURITY)是为实现VPN 功能而最普遍使用的协议。通过相应的隧道技术，可实现VPN。IPSec有两种模式：隧道模式和传输模式。

IPSec (IP SECURITY)是为完结VPN 功用而最遍及运用的协议。经过相应的地道技能，可完结VPN。IPSec有两种形式：地道形式和传输形式。

IPSec 不是一个独自的协议，它给出了使用于IP 层上网络数据安全的一整套体系结构。该体系结构包含认证头协议（Authentication Header，简称为AH）、封装安全负载协议（EncapsulatingSecurity Payload，简称为ESP）、密钥办理协议（Internet Key Exchange，简称为IKE）和用于网络认证及加密的一些算法等。

IPSec 规矩了如安在对等体之间挑选安全协议、确认安全算法和密钥交流，向上供给了拜访操控、数据源认证、数据加密等网络安全服务。

认证头协议（AH）：IPsec 体系结构中的一种首要协议，它为IP 数据包供给无衔接完好性与数据源认证，并供给维护以避免重播状况。AH 尽可能为IP头和上层协议数据供给足够多的认证。

IPsec 封装安全负载（ESP）：IPsec 体系结构中的一种首要协议。ESP 加密需求维护的数据并且在IPsec ESP 的数据部分进行数据的完好性校验，以此来确保机密性和完好性。ESP 供给了与AH 相同的安全服务并供给了一种保密性（加密）服务，ESP 与AH 各自供给的认证底子差异在于它们的掩盖规模。

密钥办理协议（IKE）：一种混合型协议，由Internet 安全联盟（SA）和密钥办理协议（ISAKMP）这两种密钥交流协议组成。IKE 用于洽谈AH 和ESP所运用的暗码算法，并将算法所需的必备密钥放到恰当方位。

IPSec作业时，首要两头的网络设备有必要就SA(security association)达到共同，这是两者之间的一项安全战略协议。

安全联盟（Security Association）

IPSec 在两个端点之间供给安全通讯，两个端点被称为IPSec ISAKMP 网关。安全联盟（简称为SA）是IPSec 的根底，也是IPSec 的实质。SA 是通讯对等体间对某些要素的约好，例如运用哪种协议、协议的操作形式、加密算法（DES、3DES、AES-128、AES-192 和AES-256）、特定流中维护数据的同享密钥以及SA 的生计周期等。

安全联盟是单向的，在两个对等体之间的双向通讯，最少需求两个安全联盟来别离对两个方向的数据流进行安全维护。

SA 树立办法

树立安全联盟的办法有两种，一种是手艺办法（Manual），一种是IKE 主动洽谈（ISAKMP）办法。

手艺办法装备比较复杂，创立安全联盟所需的悉数信息都有必要手艺装备，并且IPSec 的一些高档特性（例如守时更新密钥）不能被支撑，但长处是可以不依赖IKE而独自完结IPSec 功用。该办法适用于当与之进行通讯的对等体设备数量较少的状况，或是在小型静态环境中。IKE 主动洽谈办法相对比较简单，只需求装备好IKE 洽谈安全战略的信息，由IKE 主动洽谈来创立和维护安全联盟。该办法适用于中、大型的动态网络环境中。

该办法树立SA 的进程分两个阶段。第一阶段，洽谈创立一个通讯信道（ISAKMP SA），并对该信道进行认证，为两边进一步的IKE 通讯供给机密性、数据完好性以及数据源认证服务；第二阶段，运用已树立的ISAKMP SA 树立IPsec SA。分两个阶段来完结这些服务有助于进步密钥交流的速度。

第一阶段SA

第一阶段SA 为树立信道而进行的安全联盟。第一阶段洽谈的进程是：

1. 参数装备。包含：

认证办法：挑选预同享密钥或数字证书认证

Diffie-Hellman 组的挑选

2. 战略洽谈。包含：

加密算法：挑选DES、3DES、AES-128、AES-192 或AES-256

hash 算法：挑选MD5 或SHA

3. DH 交流。尽管名为“密钥交流”，但事实上在任何时候，两台通讯主机之间都不会交流真实的密钥，它们之间交流的仅仅一些DH 算法生成同享密钥所需求的根本资料信息。DH 交流，可以是揭露的，也可以受维护。在互相交流过密钥生成“资料”后，两头主机可以各自生成出彻底相同的同享“主密钥”，维护紧接这以后的认证进程。

4. 认证。DH 交流需求得到进一步认证，假如认证不成功，通讯将无法继续下去。“主密钥”结合在第一步中确认的洽谈算法，对通讯实体和通讯信道进行认证。在这一步中，整个待认证的实体载荷，包含实体类型、端口号和协议，均由前一步生成的“主密钥”供给机密性和完好性确保。#p#

第二阶段SA

第二阶段SA 为快速SA，为数据传输而树立的安全联盟。这一阶段洽谈树立IPsec SA，为数据交流供给IPSec 服务。第二阶段洽谈音讯受第一阶段SA 维护，任何没有第一阶段SA 维护的音讯将被拒收。第二阶段洽谈（快速形式洽谈）进程是：

1. 战略洽谈，两边交流维护需求：

运用哪种IPSec 协议：AH 或ESP

是否运用hash 算法：MD5、SHA 或NULL

是否要求加密，若是，挑选加密算法：DES 或3DES、AES-128、NULL、AES-192 或AES-256

在上述三方面达到共同后，将树立起两个SA，别离用于入站和出站通讯。

2. 会话密钥“资料”改写或交流。

在这一步中，将经过DH 交流生成加密IP 数据包的“会话密钥”。

3. 将SA 递交给IPSec 驱动程序。

在第二阶段洽谈进程中，假如呼应超时，则主动测验从头进行第二阶段SA 洽谈。

验证算法

AH 和ESP 都可以对IP 报文的完好性进行验证，以判别报文在传输进程中是否被篡改。验证算法的完结首要是经过杂凑函数。杂凑函数是一种可以承受恣意长的音讯输入，并发生固定长度输出的算法，该输出称为音讯摘要。IPSec 对等体核算摘要，假如两个摘要是相同的，则表明报文是完好未经篡改的。一般来说IPSec 运用两种验证算法：

MD5：MD5 输入恣意长度的音讯，发生128bit 的音讯摘要。

SHA-1：SHA-1 输入长度小于2 的64 次方比特的音讯，发生160bit 的音讯摘要。SHA-1 的摘要善于MD5，因而是更安全的。

加密算法

ESP 可以对IP 报文内容进行加密维护，避免报文内容在传输进程中被窥视。加密算法完结首要经过对称密钥体系，它运用相同的密钥对数据进行加密和解密。

StoneOS 完结了三种加密算法：

DES（Data Encryption Standard）：运用56bit 的密钥对每个64bit 的明文块进行加密。

3DES（Triple DES）：运用三个56bit 的DES 密钥（共168bit 密钥）对明文进行加密。

AES（Advanced Encryption Standard）：StoneOS 完结了128bit、192bit 和256bit 密钥长度的AES 算法。

IPSec VPN 的使用

SA 系列安全网关经过“根据战略的VPN”和“根据路由的VPN”两种办法把装备好的VPN 地道使用到安全网关上，完结流量的加密解密安全传输。

根据战略的VPN：将装备成功的VPN 地道称号引用到战略规矩中，使契合条件的流量经过指定的VPN 地道进行传输。

根据路由的VPN：将装备成功的VPN 地道与地道接口绑定；装备静态路由时，将地道接口指定为下一跳路由。