ike internet key exchangeINTERNET密鑰交換協議
在×××中交換加密密鑰。IKE是混合協議,由ISAKMP(INTERNET安全關聯和密鑰管理協議)和OAKLEY、SKEME組成
IPsec (IP SECURITY PROTOCOL,IP安全協議)是一組開放標準集,他們協同工作來確保對等設備之間的數據機密性、數據完整性以及數據認證。
Tunnel Mode : 產生新的可路由頭部,可以解決不同私有網絡之間跨越Internet 數據包的加密傳送,加密點不是通信點
Transport Mode: 不產生新的IP頭部,要求原IP包可以在Internet路由,要求通信點和加密點爲同一個IP
IPSEC支持HDLC、ATM、PPP、幀中繼串行封裝
IPSEC能與GRE一級IP-IN-IP封裝第三層隧道協議共同工作。IPSEC不支持DLSW(data-link switching),SRB(source-route bridging)或其他三層隧道協議
IPSEC不支持多端點隧道
IPSEC只能以單播形式工作,不能以組播或廣播形式工作
IPSEC爲每個分組數據提供認證,速度比CET(CISCO ENCRYPTION TECHNOLOGY)更慢
IPSEC提供分組擴展,導致分段存儲和IPSEC分組的重新組裝
使用NAT時,需要確定NAT在IPSEC封裝前有效,以便IPSEC有全局地址
IPSEC用來提供通信安全的協議時AH(authentication header,認證頭),ESP(encapsulating security payload,封裝安全負載)。
IKE和IPSEC在對等實體之間協商加密及認證服務,協商以在安全對等實體之間建立SA爲結束。IKE SA是雙向的,IPSEC SA不是雙向,爲了建立雙向通信×××對等實體的每個成員必須建立IPSEC。爲了在對等實體之間建立安全通信,在每個對等實體上必須有一個相同的SA。
每個SA相關信息存在SADB,並且被分配一個SPI,當它與目的地IP地址以及安全協議(AH或ESP)結合在一起,就能唯一標示一個SA
AH,認證頭。IP端口51。
它提供數據完整性、數據源認證以及反重傳。AH不提供加密,分組以明文形式傳送。