V**技术之IPsec V**技术介绍

简介

IPsec（IP Security，IP安全）是IETF制定的一个开放的IP层安全框架协议，它通过在特定通信方之间建立IPsec隧道，为网络中传输的数据提供高质量、基于密码学的安全保证。

IPsec是一种传统的实现三层V**（Virtual Private Network，虚拟专用网络）的安全技术。

协议框架

IPsec协议不是一个单独的协议，它是一系列为IP网络提供安全保障的协议和服务的集合，主要包括通信保护协议（AH、ESP）和密钥交换管理协议（IKE、IKEv2）。

AH协议

AH（Authentication Header，认证头）协议可提供数据来源认证、数据完整性检查和抗重放功能，但不能对数据进行加密。

ESP协议

ESP （ Encapsulating SecurityPayload，封装安全载荷）协议可提供数据来源认证、数据完整性检查和抗重放功能，且能够对数据进行加密。

IKE协议

IKE（Internet Key Exchange，互联网密钥交换）协议采用DH（Diffie Hellman）交换技术实现在不安全的网络中安全地传输密钥，可为IPsec提供密钥交换服务，并能管理和维护IPsec隧道，简化管理员配置。

IKEv2协议

IKEv2 （ Internet Key ExchangeVersion 2，互联网密钥交换协议第2版）是IKE协议的增强版本。相对于IKE，IKEv2具有更强的抗攻击能力和密钥交换能力，且交互的报文数量更少。

技术价值

保护数据的机密性

IPsec采用对称密钥系统对数据进行加密，保证数据的机密性。用于加密和解密的对称密钥可以手工配置，也可以通过IKE协议自动协商生成。常用的对称加密算法包括DES、3DES、AES、SM4等。

认证数据的真实性

IPsec通过认证算法对IP通信发送方进行数据来源认证和数据完整性检查，从而保证数据真实可靠。用于认证的对称密钥可以手工配置，也可以通过IKE协议自动协商生成。常用的认证算法包括MD5、SHA1、SM3等。

防御重放报文攻击

重放报文是指已经被IPsec处理过的重复报文。对重放报文的处理没有实际意义，且解封装会消耗设备大量资源。IPsec通过抗重放窗口机制检查重放报文，将重放报文在解封装之前丢弃，降低设备资源消耗。

动态智能切换IPsec隧道

IPsec可以在网络存在多条链路的情况下，选择高质量的链路建立IPsec隧道，实现多条优质IPsec隧道动态切换，有效提高网络稳定性和可靠性。

运行机制

IPsec基本运行机制如下：

1. 通信两端通过如下方式确认数据保护及认证策略（主要包括安全协议、认证算法、加密算法、共享密钥以及密钥的生存时间等），并建立IPsec隧道：
2. 静态手工方式：通过命令行配置IPsec隧道的所有信息，配置完成后，隧道即建立。
3. IKE自动协商方式：通过IKE动态协商IPsec策略，完成IKE配置后，由发送的数据流触发建立隧道。
4. 量子加密方式：通过从量子密钥服务器获取的量子密钥自动协商建立隧道，配置完成后，由发送的数据流触发建立隧道。
5. 通过安全协议对IPsec隧道上发送和接收的报文进行加密和认证，实现对特定数据的安全传输。

应用场景

1、局域网之间的安全互联

企业分支与总部之间、企业分支与分支之间通过在各自的IPsec网关之间建立IPsec隧道，实现局域网之间的安全互联。局域网之间的安全互联主要包括如下三种组网方式：

• 点到点V** - IPsec tunnel：IPsec网关之间建立IPsec隧道，保障局域网之间IP报文的安全性。
• 点到点V** - L2TP over IPsec tunnel：IPsec网关之间的报文先进行L2TP封装，再用IPsec封装，借助IPsec保障局域网之间L2TP报文的安全性。
• 点到点V** - GRE over IPsec tunnel：先对报文进行GRE封装，再进行IPsec封装，借助IPsec保障局域网之间GRE报文的安全性。

2、移动用户远程安全接入

远程接入是指，出差员工或合作伙伴在非固定场所，通过不安全的网络接入核心网络，并访问核心网络的内部资源。移动用户可通过L2TP方式远程接入企业总部网络，但是L2TP没有加密功能，安全性较低。通过部署L2TP over IPsec V**，在用户终端和IPsec网关之间建立L2TP over IPsec隧道可以保障通信数据的安全性。