1. IPSec概念简介

什么是IPSec？

IPSec（Internet Protocol Security）是IETF（Internet Engineering Task Force）制定的一组开放的网络安全协议。它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合。

IPSec用来解决IP层安全性问题的技术，IPSec被设计为同时支持IPv4和IPv6网络。

IPSec主要包括网安协议AH（Authentication Header）和ESP（Encapsulating Securtiy Payload），密钥管理交换协议IKE（Internet Key Exchange）以及用于网络认证及加密的一些算法。

IPSec主要通过加密与验证等方式，为IP数据包提供安全服务。

IPSec提供的服务：

IPSec通过加密与验证等方式，从以下几个方面保障了用户数据在Internet中的安全传输：

• 数据来源验证：接收方验证发送方身份是否合法。
• 数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。
• 数据完整性：接收方对接收到的加密数据进行验证，判定数据是否完整。
• 抗重性：接收方拒绝旧的或者重复的数据包，防止恶意用户通过重复发送捕获到的数据包进行攻击。

2. IPSec框架

IPSec是一个框架，并不是某个协议，而是定义了一个框架，由各种协议组和协商而成。该框架涉及到的主要有加密算法、验证算法、封装协议、封装模式等等。

2.1 加密

加密算法分为两种：对称加密和非对称加密算法。

对称加密算法：

        特点：用相同的密钥进行加解密。

        加解密过程：

                加密：铭文数据——共享密钥加密——得到密文数据

                解密：密文数据——共享密钥解密——明文数据

         对称加密算法的优点：

• • 速度快
  • 安全
  • 紧凑

         对称加密算法的缺点：

• • 明文传输共享密钥，容易出现被劫持、窃听的问题。
  • 密钥数量是以参与者数量平方的速度增长。即指数增长。
  • 数量过多，所以管理和存储问题会很大。
  • 不支持数字签名和不可否认性。

        适用场景：

              适用于做大数据加密

        常见对称加密算法：

• • DES，数据加密标准DES（Data Encryption Standard）它使用56位的密钥对一个64位的明文块进行加密。
  • 3DES，3DES（Triple Data Encryption Standard），3DES是一种增强型的DES标准，它在需要保护的数据上使用3次DES，即使用三个不同的56位的DES密钥（共168位密钥）对明文进行加密。
  • AES, 先进加密标准AES（Advanced Encryption Standard）
    AES被设计用来替代3DES，提供更快和更安全的加密功能。AES可以采用三种密钥：AES-128、AES-192和AES-256，其密钥长度分为128位、192位、256位。

        非对称加密算法：

                特点：非对称秘钥算法，一对密钥，公钥和私钥。公钥加密，私钥解密。

        非对称加密算法的优点：

• • 安全
  • 因为不必发送密钥给接受者，所以非对称密钥不必担心密钥被中途截获的问题。
  • 密钥数目和参与者数目一样。
  • 不需要事先在各参与者之间建立关系以交换密钥。
  • 技术支持数字签名和不可否认性。

        非对称加密算法的缺点：

• • 非常非常慢。
  • 密文会很长。
  • 适用于小数据加密。

        常见非对称加密算法：

• • RSA， 512/768/1024/2048bit ro lager。
  • DH，768,、102/1536bit or lager。只适用于虚拟专用网 。