IPSEC大纲。RFC2401协议
IPSEC是IP协议家族的一组扩展。它起作用了IPv4和IPv6的情况基本相同。它提供两项基本服务,以及它们的大量变体。
这两种服务是:
- 身份验证和验证
身份验证意味着您可以确保数据来自它说它来自谁。验证意味着您可以确保它没有被改变。
- 保密性
保密性是指内容对第三方不可见,即使他们可以访问传输中的数据。
这两种服务被认为是不同的,但IPSEC框架以统一的方式支持他们。
在导线格式上。
通过添加身份验证标头(AH)位于基本IP标头之后,包含加密数据和标识信息的安全哈希。哈希可以还包括IP报头本身的不变部分。有几个不同的RFC提供了在AH,但它们都必须遵循RFC2402协议.
通过添加封装安全有效载荷(ESP)标头,以及可能重写的有效负载加密格式。ESP标头不考虑IP的字段头在它前面,因此amkes不保证任何东西,除了有效载荷。必须遵循适用的各种ESPRFC2406协议.ESP报头还可以为有效负载提供身份验证(但不能外部收割台)。
IPSEC功能的正交(主要)划分取决于进行IPSEC封装的端点是否为原始源数据或网关:
- 运输模式由生成数据包的主机使用。在传输模式下,在传输之前添加安全标头层(例如TCP、UDP)标头,然后将IP标头添加到小包裹。换句话说,添加到数据包中的AH将覆盖散列TCP报头和端到端IP报头的一些字段,以及ESP标头将覆盖TCP标头和数据的加密,但不是端到端IP报头。
- 隧道当端到端IP标头已经连接到数据包,安全连接的一端是只有一个网关。在此模式下,AH和ESP收割台用于覆盖整个数据包包括端到端报头和新的IP报头在只覆盖到另一端的跃点的数据包之前安全连接(当然这可能需要几个IP跳转)。
IPSEC安全链接的定义如下安全关联(SA)。每个SA都是针对单个单向数据流定义的,通常(忽略多播)从一个点到另一个点,覆盖可被一些人区分的交通工具唯一选择器.所有交通流量对单个SA的处理相同。一些流量可能会受到几个SA,每个SA都应用一些转换。SA组称为沙特阿拉伯捆绑传入分组可以通过以下方式分配给特定SA三个定义字段(目标IP地址,安全参数索引、安全协议)SPI可以被视为一块被递送的饼干当连接参数为谈判。协议必须是AH或ESP。由于IP接收器的地址是三个地址的一部分,这是一个保证唯一的值。它们可以从外部IP报头和第一个安全性中找到标头(包含SPI和协议)。
隧道模式AH数据包的示例如下:
[IPHDR][IPoptions][AH][IPHDR2][IPoptions][TCP][数据]
传输模式AH数据包的示例如下:
[IPHDR][IPoptions][AH][TCP][数据]
因为ESP标头无法验证外部IP标头,将AH和ESP收割台组合在一起可以获得以下信息:
[IPHDR][IPoptions][AH][ESP][TCP][数据]
这叫做交通邻近.隧道版本将看起来像:
[IPHDR][IPoptions][AH][ESP][IPHDR2][IPoptions][TCP][数据]
然而,RFC中没有特别提及。与运输一样相邻,这将对除了几个报头之外的整个数据包进行身份验证并对有效负载进行加密(以斜体显示)。什么时候?AH和ESP收割台按如下方式一起使用,标题的顺序应该如图所示。在隧道模式下是可能的,进行任意递归封装,以便不指定顺序。
管理接口。(示例实施)
IPSEC系统和网关的配置在某种程度上是留给设计者,然而RFC有一些强烈的建议如何实施,以尽量减少混乱。
有两个管理实体控制小包裹。一个是巴塔巴斯安全协会(SAD)和其他是安全策略数据库(SPD)。每个接口支持IPSEC应具有逻辑上独立的SAD和SPD。
它们类似于给定的一些选择器,这些选择器描述了一些流量,它们将提供一个描述所需处理的条目。然而,SPD是从实际处理中删除的两个步骤。这个SPD用于传出数据包,以决定应该使用哪些SAD条目SAD条目依次描述实际过程和参数。SPD条目指定已创建的SAD条目使用(如果是一个捆绑包,可以有多个),但如果没有它已经是一个合适的,用于创建新的。的字段正在创建的SA可以从SPD条目或数据包中获取这就是创作的初衷。
传出数据包从SPD条目进入特定SA以进行编码参数。传入数据包直接使用SPI/DEST/Proto三重,然后从那里进入SPD条目。
SPD还可以指定哪些流量应绕过IPSEC以及哪些流量应删除,因此还必须咨询传入的非IPSEC流量。SPD条目必须显式排序,因为多个条目可能与特定的数据包,并且处理必须是可复制的。
SPD可以看作类似于包过滤器,其中的操作决定SA流程的激活。选择器可以包括src和dest地址、端口号(如果相关)、应用程序和用户ID如果可用(仅在基于主机的传输SA上),主机名,安全敏感性级别、协议等。
SAD条目包括:
- 目标IP地址
- Ipsec原型(SA或ESP)
- SPI(cookie)
- Seqence计数器
- 序列O/F标志
- 反重播窗口信息
- AH类型和信息
- ESP类型和信息
- 终身信息
- 隧道/运输模式标志
- PATH MTU信息
SPD条目将包含:
每个沙特阿拉伯可以定义一个ESP头和一个AH头。所以IPSEC会话必须有一个或另一个或两者都有,但无法定义都不使用,否则将没有标头来指定SPI公司查找沙特阿拉伯。RFC没有说明如果AH和ESP标头对SPI值不一致。有人会认为这意味着一个捆绑包中有多个SA。
这些值和SAD条目应该可以由一些人手动添加(实现依赖)接口,但IETF也定义了自动机制用于初始化会话和密钥交换等。这些是定义于RFC2407协议,RFC2408,和RFC2409协议
IKE公司
IKE是一种在IPSEC端点之间分发关键信息的带外机制。因此,它不是IPSEC规范的一部分。它在中指定RFC2409协议.
有关更新信息,请参阅RFC7296协议