IP 安全 (IPSec)

IP 安全 (IPSec)是互联网工程任务组 (IETF) 标准协议套件，位于 IP 网络上的 2 个通信点之间，提供数据认证、完整性和机密性。它还定义了加密、解密和认证的数据包。其中定义了安全密钥交换和密钥管理所需的协议。

IP安全的使用——
IPsec 可用于执行以下操作：

• 加密应用层数据。
• 为通过公共互联网发送路由数据的路由器提供安全性。
• 提供不加密的身份验证，例如验证数据是否来自已知发件人。
• 通过使用 IPsec 隧道设置电路来保护网络数据，其中在两个端点之间发送的所有数据都被加密，就像虚拟专用网络 (VPN) 连接一样。

IP 安全的组成部分 –
它具有以下组件：

1. 封装安全有效负载 (ESP) –
   它提供数据完整性、加密、身份验证和反重放。它还为有效负载提供身份验证。
2. 身份验证标头 (AH) –
   它还提供数据完整性、身份验证和防重放，并且不提供加密。防重放保护，防止未经授权的数据包传输。它不保护数据的机密性。

   

3. 互联网密钥交换 (IKE) –
   它是一种网络安全协议，旨在动态交换加密密钥并在 2 个设备之间通过安全关联 (SA) 找到方法。安全关联 (SA) 在 2 个网络实体之间建立共享安全属性以支持安全通信。提供身份验证和密钥交换框架的密钥管理协议 (ISAKMP) 和 Internet 安全协会。 ISAKMP 说明安全关联 (SA) 的设置方式以及使用 IPsec 的两台主机之间的直接连接方式。

   Internet 密钥交换 (IKE) 提供消息内容保护，同时也是一个开放框架，用于实施标准算法，如 SHA 和 MD5。该算法的 IP sec 用户为每个数据包生成一个唯一标识符。然后，该标识符允许设备确定数据包是否正确。未经授权的数据包将被丢弃并且不提供给接收者。

   

IP 安全工作 –

1. 主机检查是否应使用 IPsec 传输数据包。这些数据包流量会为自己触发安全策略。这是在发送数据包的系统应用适当的加密时完成的。主机还会检查传入的数据包是否正确加密。

2. 然后IKE 阶段 1开始，其中 2 台主机（使用 IPsec）相互验证自己以启动安全通道。它有2种模式。 Main 模式提供更高的安全性，而Aggressive 模式使主机能够更快地建立 IPsec 电路。

3. 然后使用在最后一步中创建的通道来安全地协商 IP 电路将通过 IP 电路加密数据的方式。

4. 现在， IKE 阶段 2通过安全通道进行，在该通道中，两台主机协商在会话中使用的加密算法类型，并就与这些算法一起使用的密钥材料达成一致。

5. 然后通过新创建的 IPsec 加密隧道交换数据。这些数据包由使用 IPsec SA 的主机加密和解密。

6. 当主机之间的通信完成或会话超时时，IPsec 隧道通过两个主机丢弃密钥来终止。