因特網協議安全IPSec IETF定義一種***標準的安全框架結構，通信雙方在IP層通過加密、完整性校驗、數據源認證等方式，可以用來保證IP數據報文在 *** 上傳輸的機密性、完整性和防重放；目前IPSec最主要的應用是構造虛擬專用網（VPN）；企業***分支機構可以通過使用IPSec VPN建立安全傳輸通道，接入到企業總部 ***。

文章插圖
--私密性：指對數據進行加密保護，用密文的形式傳送數據 。
--完整性：指對接收的數據進行散列計算，以判定報文是否被篡改 。
--防重放：指防止惡意用戶通過重復發送捕獲到的數據包所進行的攻擊，即接收方會拒絕舊的或重復的數據包 。
--防抵賴：指基于簽名及簽名驗證，可以判斷數據的發送方是真實存在的用戶 。
VPN技術的分類：
1、Peer-to-Peer VPN：例如MPLS-VPN，大部分配置在運營商的PE（Provider Edge）路由器上做，在內網CE（Customer Edge）路由器上做少量配置即可;此種是運營商提供的VPN解決方案，需要向運營商申請，費用較高 。
2、Overlay VPN：例如GRE-VPN和IPsec-VPN；GRE-VPN可以支持任何路由選擇協議和任意類型的數據流量；IPsec-VPN只能支持IPv4、路由器兩端的參數需要完全匹配且只能支持單播流量；目前在兩者基礎上還有一種GRE over IPSec VPN，數據先通過GRE封裝再通過IPSec進行封裝，既保證了數據的兼容性又能保障了數據的安全性，是目前比較完善的VPN解決方案 。
3、IPsec-VPN可分為Site-to-Site VPN和Remote-Access VPN 。
--Site-to-Site VPN；一般部署在兩個辦公場點的邊界路由器上 。
--Remote-Access VPN/撥號VPN；一般用于實現單個PC和公司內網之間的通信；需要結合客戶端軟件使用（easy-vpn） 。
?散列算法：散列函數HASH哈希計算，進行數據幀的完整性校驗
計算 *** 一：CRC（32bit）循環冗余校驗 （Layer2的FCS校驗）
計算 *** 二：MD5 （128bit） SHA-1（160bit） SHA-2（256bit）
計算 *** 三：HMAC散列信息驗證碼，原始數據+散列算法+（密鑰/簽名）
HASH的特點：1.不定長輸入，定長輸出 2.雪崩效應 3.計算不可逆
HMAC（HASH Message Authentication Code）：散列信息認證碼，用于保證流量的完整性，基于DATA和KEY進行計算；一般的HASH算法只針對DATA進行計算
MD5輸出為128位，SHA-1的輸出為160位，SHA-2輸出為256位，但是IPSec只能攜帶前96位，存在著很大的漏洞 。
?加密算法：對稱加密、非對稱加密、數字簽名和DH算法
1、對稱加密：使用一把相同的密鑰對數據進行加密和解密；加密速度快，報文緊湊，可以用于大流量數據的加密；如DES、3DES、AES（256bit以上）；
2.1、非對稱加密：使用一對密鑰對數據進行加密和解密，使用公鑰對數據集進行加密，使用私鑰對數據進行解密；加密速度慢，密文不緊湊，通常只用于數據簽名或加密一些小文件；如RSA、ECC（1024bit以上）；
2.2、數字簽名：私鑰加密，公鑰解密；先對完整數據數據做HMAC計算，再使用私鑰進行加密，用于防數據篡改和用戶身份認證；
3、DH算法：不用交互密鑰本身，通過交互密鑰的材料，生成一把相同的密鑰；還可以周期性生成新的密鑰并自動更換密鑰 。

文章插圖
IPSec架構：

文章插圖
IPSec體系結構主要由IKE/SA、AH和ESP協議套件組成 。
?IKE協議：包含三個協議的主要功能，用來完成之一階段的自動協商加密算法、散列算法和設備身份認證；包含協商參數；產生KEY、交換KEY、更新KEY；對雙方進行身份認證；對密鑰進行管理；組成協議如下：
1.ISAKMP；定義了信息交換的體系結構/格式；基于UDP，源目端口都是500
2.SKEME；實現公鑰加密認證的機制
3.Oakley；提供在兩個IPsec對等體間達成相同加密密鑰的基于模式的機制
?安全聯盟SA：指的一組對等體之間用來保護流量手段的 ***，定義了IPSec通信對等體間使用的數據封裝模式、認證和加密算法、密鑰等參數；SA是單向的，兩個對等體之間的雙向通信至少需要兩個SA，如果兩個對等體希望同時使用AH和ESP安全協議來進行通信，則對等體針對每一種安全協議都需要協商一對SA 。SA由一個三元組來唯一標識，包括安全參數索引SPI、目的IP地址、安全協議 。
?IKE動態協商方式：只需要通信對等體間配置好IKE協商參數，由IKE自動協商來創建和維護SA，動態協商方式建立安全聯盟相對簡單些；對于中、大型的動態 *** 環境中，推薦使用IKE協商建立SA 。

推薦閱讀

• 

  it行業前景 it行業工資一般多少
• 

  廣州有什么好玩的
• 

  黃河的歌曲 黃河的歌曲歌詞
• 

  衛生棉條的優缺點介紹 衛生棉條的優缺點
• 

  下元節十月十五出生的屬馬人命運好嗎，屬馬最吉利的出生日子
• 

  拓跋氏是什么民族？
• 

  水兔之命 出生日期五行查詢 1963年出生是什么命？
• 

  我的理想是警察作文
• 

  白蘭花歌詞 白蘭花葉子邊緣焦黑怎么處理
• 

  手機電子發票在哪里看
• 

  500ml保溫杯需要托運嗎
• 

  正常膽囊內多少膽汁
• 

  靜安司的內鬼是誰
• 

  榮耀90和opporeno10哪個好區別在哪 榮耀10和oppor9s對比
• 

  對象過生日送什么禮物,安利一波誠意滿滿的
• 

  垃圾桶有小飛蟲怎么辦
• 

  垃圾分類8字順口溜 塑料袋是什么垃圾
• 

  如何收集爭取孩子撫養權的證據
• 

  蘋果怎么能保存時間長一些 蘋果怎么能保存時間長
• 

  綠蘿施什么肥料長得好，綠蘿施肥什么肥料好呢？

• 黨組織與入黨申請人談話內容
• 寄怎么組詞 冀怎么組詞
• 電腦關閉自動更新的方法 電腦怎么關閉自動更新
• 沖壓模具維修知識 「沖壓模具組裝基本知識」
• 溢的組詞有什么 溢的組詞
• Md5是什么？MD5怎么校驗？Md5校驗工具怎么用，天涯明月刀更新時提示，更新包MD5校驗失敗，這個怎么解決?。?
• 更新后王者榮耀里的游戲助手在哪里滑出來？
• 小米系統更新后后臺管理在哪里
• 如何在英語課堂中進行小組合作
• 看似水火不容，實則互相吸引的3組星座