ipsec的两种工作模式

TIME:2019-01-23   click: 808 次

ipsec协议工作模式分为传输模式与隧道模式两种。

ipsec协议的AH协议与ESP协议都可在这两种模式下工作。这样可产生四种组合,即传输模式下的ESP、隧道模式下的ESP、传输模式下的AH和隧道模式下的AH。两种工作模式可嵌套用,从而达到多层次的安全保障。

1.传输模式

①保护方式:IP头与上层协议头间得插进1个特别的ipsec头。

②对IP包的部分信息给出安全保护,即向IP数据包的上层数据(TCP、UDP、ICMP消息等)给出安全保护。

③用AH传输模式,主要认证保护IP数据包,除IP头中的可变信息。

④用ESP传输模式,加密与认证双重保护IP数据包的上层信息。

⑤安企通道上的传输为端到端的, ipsec在端点进行加密与认证,主机必须配置ipsec。

一般状况下,传输模式仅用在两台主机间的安全通信。

2.隧道模式

①保护方式:需保护的整个IP包均要封装进另一个IP数据报里,同时在外部和内部IP头间插进一个ipsec头,向新的IP数据包给出安全保护。

②保护整个IP数据包。

③用AH隧道模式,除可变字段外,认证保护整个IP数据包。

④用ESP隧道模式,给整个IP数据包进行加密与认证双重保护。

⑤隧道终点就是安全性网关,也说网关与目的主机间的通信是安全的,其思想为先把数据包用ipsec策略传至安全性网关,再通过安全性网关正常传至目的主机。

全部原始的或内部包由该隧道在IP网的一端传至另一端,沿途的路由器只检查最外面的IP报头,内部本来的IP报头不检查。因加了一个新的IP报头,所以新IP报文的目的地址可能和本来的不一样。

描述了ipsec的传输模式:在漫游主机A与单位内部网络下,主机B或主机C之间用传输模式下的ESP进行端对端的安全保护。

在ipsec传输模式中,若需同时用AH与ESP,它们的次序是很重要的。应先用ESP,再拿AH再次保护保护后的数据包,这样就会在ESP的整个载荷上也能达到数据的完整性。若先拿AH保护再借助ESP,而ESP头是在AH之后添加的,那么由AH给出的数据完整性就仅适用在传输载荷,无法保护ESP头,与期望的尽可能多地以数据为基础计算出数据的完整性不符合,这样不能达到完整性保护的目的。

上一篇:ipsec包括哪些协议 下一篇:pgp加密算法特点