IPSec基本信息.doc

简介IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供了一种能力，以保护工作组、局域网计算机、域客户端和服务器、分支机构（物理上为远程机构）、Extranet 以及漫游客户端之间的通信。作用目标 1、保护 IP 数据包的内容。 2、通过数据包筛选及受信任通讯的实施来防御网络攻击。 3、其中已接收和发送最为重要。反重播确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。 原来的IP头 AH TCP 数据 传输模式： 新的IP头 AH 原来的IP头 TCP 数据 隧道模式： 封装安全负荷（ESP）：提供数据保密性和肃静完整性认证，ESP也包括了防止重放攻击的顺序号，ESP利用对称密钥对IP数据进行加密，支持的加密方法有： DES-CBC，使用56位的密钥。 3DES-CBC，使用128位的密钥。 AES128-CBC，使用128位的密钥。 ESP的工作模式： 原来的IP头 TCP 数据 ESP前： 原来的IP头 ESP头 TCP 数据 ESP尾 传输模式： 新的IP头 ESP头 原来的IP头 TCP 数据 ESP尾 隧道模式： internet密钥交换协议（IKE）：用于生成和分发在ESP和AH中使用的密钥，IKE也对远程系统进行初始认证。IKE实际上是ISAKMP、Oakley和SKEME这三个协议的混合体。ISAKMP提供了认证和密钥交换的框架，但是没有给出具体地定义，Oakley描述了密钥交换的模式，而SKEME定义了密钥交换技术。 带认证的封装安全负荷（AH-ESP）：这是AH与ESP的结合，即提供了AH的数据完整性保证，又提供了加密功能。主要工作方法是： 带认证的ESP：IPSec使用第一个对称密钥对负荷进行加密，然后使用第二个对称密钥经过加密的数据计算认证值，并将其附加在分组之后，如图所示。 原来的IP头 ESP头 TCP 数据 ESP尾 ESP认证 传输模式： 隧道模式： 新的IP头 ESP头 原来的IP头 TCP 数据 ESP尾 ESP认证 在AH中嵌套ESP。ESP分组可以嵌套在AH分组中。 加密 认证 加密 认证