IPSec(IP Security)是IETF制定的為保證在Internet上傳送數據的安全保密性能的三層隧道加密協定。 IPSec在IP層對IP報文提供安全服務。IPSec協定本身定義了如何在IP數據包中增加欄位來保證IP包的完整性、私有性和真實性,以及如何加密數據包。使用IPsec,數據就可以安全地在公網上傳輸。IPsec提供了兩個主機之間、兩個安全網關之間或主機和安全網關之間的保護。
IPSec包括報文驗證頭協定AH(協定號51) 和報文安全封裝協定ESP(協定號50)兩個協定。 AH可提供數據源驗證和數據完整性校驗功能;ESP除可提供數據驗證和完整性校驗功能外,還提供對IP報文的加密功能。
IPSec有隧道(tunnel)和傳送(transport)兩種工作方式。在隧道方式中,用戶的整個IP數據包被用來計算AH或ESP頭,且被加密。AH或ESP頭和加密用戶數據被封裝在一個新的IP數據包中;在傳送方式中,只是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭和被加密的傳輸層數據被放置在原IP包頭後面。
基本介紹
- 中文名:Internet 密鑰交換協定
- 外文名:IPsec IKE
- 全稱:Internet Key Exchange Protocol
- 簡介:IPsec 體系結構中的一種主要協定
IPsec IKE:Internet 密鑰交換協定
(IPsec IKE: Internet Key Exchange Protocol)
Internet 密鑰交換(IPsec IKE)是 IPsec 體系結構中的一種主要協定。它是一種混合協定,使用部分 Oakley 和部分 SKEME,並協同 ISAKMP 提供密鑰生成材料和其它安全連繫,比如用於 IPsec DOI 的 AH 和 ESP 。
ISAKMP 只對認證和密鑰交換提出了結構框架,但沒有具體定義。ISAKM 與密鑰交換相獨立,支持多種不同的密鑰交換。IKE 是一系列密鑰交換中的一種,稱為“模式”。
IKE 可用於協商虛擬專用網(VPN),也可用於遠程用戶(其 IP 地址不需要事先知道)訪問安全主機或網路,支持客戶端協商。客戶端模式即為協商方不是安全連線發起的終端點。當使用客戶模式時,端點處身份是隱藏的。
IKE 的實施必須支持以下的屬性值:
DES 用在 CBC 模式,使用弱、半弱、密鑰檢查。
MD5[MD5] 和 SHA[SHA]。
通過預共享密鑰進行認證。
預設的組 1 上的 MODP。
另外,IKE 的實現也支持 3DES 加密;用 Tiger [TIGER] 作為 hash;數字簽名標準,RSA[RSA],使用 RSA 公共密鑰加密的簽名和認證;以及使用組 2 進行 MODP。IKE 實現可以支持其它的加密算法,並且可以支持 ECP 和 EC2N 組。
只要實現了 IETF IPsec DOI,IKE 模式就必須實施。其它 DOI 也可使用這裡描述的模式。
協定結構
IKE 信息是由 ISAKMP 頭和 SKEME 以及 Oakley 欄位聯合構成。其特定格式取決於信息狀態和模式。具體細節,請參照相關鏈路文檔。
