曲径通幽论坛

标题: IPSec 简介及工作模式 [打印本页]

作者: beyes 时间: 2012-8-27 14:14
标题: IPSec 简介及工作模式
IPSec (IP 安全) 是 IETF (因特网工程部) 设计的一组协议，用来对因特网上传送的分组提供安全性。IPSec 没有定义任何特定的加密或鉴别方法。相反，它提供了框架和机制，它让实体选择加密/鉴别和散列方法(如采用 hmac-md5，hmac-sha1 或 3des-cbc 等等的加密算法)。

和 Netfilter 一样，在 Linux 里也通过加载外部模块来支持 IPSec 机制，而这些模块的位置如下所示：

[root@beyes beyes]# ls /lib/modules/3.5.0-2.fc17.i686.PAE/kernel/net/ipv4/
ah4.ko inet_diag.ko  ipip.ko    tunnel4.ko       xfrm4_mode_transport.ko
esp4.ko  ipcomp.ko    netfilter udp_diag.ko       xfrm4_mode_tunnel.ko
gre.ko ip_gre.ko    tcp_diag.ko  xfrm4_mode_beet.ko  xfrm4_tunnel.ko

上面，ah4.ko 和 esp4.ko 就是 Linux 在 IPV4 环境下支持的 IPSec 模块，正如上面所说的，ah4.ko 和 esp4.ko 其实只是执行 AH 和 ESP 协议的一个机制而已。

AH 是 IPSec 提供的认证机制，它能够使数据的接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到了篡改。
ESP 是 IPSec 提供的加密机制，通过它对数据编码确保数据的机密性，以防止数据在传输过程中北窃听。

如果我们不提供验证算法，加密算法以及加密密钥等，那么 ah4.ko 和 esp4.ko 就只能是个框架而已，加载进系统后，除了占用点内存之外，什么事情都做不了。

IPSec 根据不同的需求会采用不同的工作模式：传输模式(Transport Mode) 和隧道模式(Tunnel Mode) 。下面介绍这两种工作模式的使用环境(以 VPN 应用为例)。

传输模式
所谓传输模式的 IPSec VPN 是指可以将两台主机之间所传输的数据加密。比如出差外地的员工，需要收取公司内部邮件服务器上的邮件。他可以先拨入公司的 VPN 网络，然后再使用 POP3 协议收取邮件。此时，可以在邮件服务器和员工的计算机之间建立传输模式的 IPSec VPN，如下图所示：
[attach]828[/attach]

在有 IPSec 保护后，即使有人在 VPN 服务器上设置嗅探器想捕获数据或想将邮件截获篡改，那么窃取数据的难度已经很大。

隧道模式
如果要使用 IPSec VPN 来加密两个不同的网段所传输的数据内容，或者需要将两个私有 IP 的网段通过 IPSec VPN 来跨越因特网连接，那么就需要用到隧道模式的 IPSec VPN 。工作框架如下图所示：
[attach]829[/attach]

欢迎光临曲径通幽论坛 (http://www.groad.net/bbs/)