IPSec VPN技术原理解析

01

IPSec概念

IPSec（Internet Protocol Security）是IETF定义的一个协议组。

通信双方在IP层通过加密、完整性校验、数据源认证等方式，保证了IP数据报文在网络上传输的机密性、完整性和防重放。

机密性：对数据进行加密保护，用密文的形式传送数据

完整性：指对接收的数据进行认证，以判定报文是否被篡改

防重放：防止恶意用户通过重复发送捕获到的数据包所进行的攻击，即接收方会拒绝旧的或重复的数据包。

应用场景：企业分支通过IPSec隧道接入企业总部

02

IPSec VPN

应用场景及协议

 01  IPSec VPN的应用场景分为3种 

1.  Site-to-Site（站点到站点或者网关到网关）：

如弯曲评论的3个机构分布在互联网的3个不同的地方，各使用一个商务领航网关相互建立VPN隧道，企业内网（若干PC）之间的数据通过这些网关建立的IPSec隧道实现安全互联。

2.  End-to-End（端到端或者PC到PC）： 

两个PC之间的通信由两个PC之间的IPSec会话保护，而不是网关。

3.  End-to-Site（端到站点或者PC到网关）：

两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

 02  IPSec 协议 

VPN只是IPSec的一种应用方式，IPSec其实是IP Security的简称，它的目的是为IP提供高安全性特性，VPN则是在实现这种安全特性的方式下产生的解决方案。

IPSec是一个框架性架构，具体由下面协议组成：

IPSec VPN体系结构主要由下面这些协议套件组成：

AH（Authentication Header）

ESP（Encapsulating Security Payload）

IKE（Internet Key Exchange）

AH协议（使用较少）：提供的功能有数据源验证、数据完整性校验和防报文重放功能。

ESP协议（使用较广）：提供AH协议的所有功能外（ESP的数据完整性校验不包括IP头），还提供对IP报文的加密功能

IKE协议：自动协商AH和ESP所使用的密码算法

为何AH使用较少呢？

因为AH无法提供数据加密，所有数据在传输时以明文传输，而ESP提供数据加密；

其次AH因为提供数据来源确认（源IP地址一旦改变，AH校验失败），所以无法穿越NAT。

当然，IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性，但是此种方案极其少见。

编辑：黄飞