Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1338885
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类:

2012-07-26 13:25:51

最早的Internet没有安全通信的能力。 为了对Internet通信CIA的特性(Confidentiality, Integrity, Authentication), 出现了。Cisco IOS 支持业界标准的协议簇,在此基础上PIX也实现了IPSec协议簇。由于IPSec通信具有CIA特征,IPSec 提供了在共享网络基础设施上的安全的、可信赖的连接服务,这种服务也就是人们说的VPN。VPN不等于IPSec,但是IPSec的确提供VPN服务。


IPSec的秘籍记录在 RFC 2401中,IPSec 包括两个主要协议:认证投标(Authentication Header,AH)和封装安全净载(Encapsulating Security Payload,ESP)。AH为两个系统提供I认证、完整性保护,不提供私密性保护,是通过对数据包应用带密钥的hash函数来创建Hash信息实现 的。ESP通过对IP层packet进行加密来提供私密性,支持各种对称的加密算法,可以同时提供CIA等特性。

Comment:
如果你仅仅希望数据被完整的传输,而不需要加密保护时,使用AH。如果想保证数据的私密性,那就是用ESP。如果有时候跟一些站点做ESP时不通,可以考虑AH。

IPSec有两种运行:
传输模式(Transport Mode)

隧道模式(Tunnel Mode)


传输模式中只对原IP数据包的有效载荷进行封装和保护,隧道模式中要对整个IP数据包进行封装和保护。当IPSec隧道两端都是主机时,可以使用传送模式或通道模式。当隧道两端至少有一个是安全网关(例如,PIX或Cisco Router)时,就必须使用传输模式。

Transforms set 交换集
组合了一下IPSec因子
AH

ESP
IPSec 模式


IPSec 如何工作?
1、触发IPSec过程的感兴趣流量
2、IKE阶段一,鉴别IKE对等体并协商安全关联

3、IKE阶段二,协商IPSec安全关联并在对等体间建立匹配IPSec SA
4、数据传输,基于SA库中的IPSec参数和密钥,
在IPSec对等体间传送数据
5、IPSec隧道终止,IPSec因为被删除或超时而终止。





阅读(681) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~