ipsec 安全策略

IPSec協議簡介

針對Internet的安全需要，Internet工程任務組(IETF)頒佈了IP層安全標準IPSec。IPSec在IP層對數據包進行高強度的安全處理，提供包括訪問控制、無連接的完整性、數據源認證、抗重播(replay)保護（序列完整性(sequence integrity)的一個組成部分）、保密性和有限傳輸流保密性在內的服務。這些服務是基於IP層的，提供對IP及其上層協議的保護。

SA的定義

安全關聯（Security Association，SA）是兩個應用IPsec實體（主機、路由器）間的一個單向邏輯連接，決定保護什麼、如何保護以及誰來保護通信數據。它規定了用來保護數據包安全的IPsec協議、轉換方式、密鑰以及密鑰的有效存在時間等等。SA是單向的，要麼對數據包進行“進入”保護，要麼進行“外出”保護。 SA用一個三元組（安全參數索引SPI、目的IP地址、安全協議）唯一標識。

SA的作用

SA提供的安全服務取決於所選的安全協議（AH或ESP）、SA模式、SA作用的兩端點和安全協議所要求的服務。

des加密原理

DES 使用一個 56 位的密鑰以及附加的 8 位奇偶校驗位，產生最大 64 位的分組大小。這是一個迭代的分組密碼，使用稱爲 Feistel 的技術，其中將加密的文本塊分成兩半。使用子密鑰對其中一半應用循環功能，然後將輸出與另一半進行“異或”運算；接着交換這兩半，這一過程會繼續下去，但最後一個循環不交換。DES 使用 16 個循環，使用異或，置換，代換，移位操作四種基本運算。

esp

IPsec 封裝安全負載（IPsec ESP）是 IPsec 體系結構中的一種主要協議，其主要設計來在 IPv4 和 IPv6 中提供安全服務的混合應用。IPsec ESP 通過加密需要保護的數據以及在 IPsec ESP 的數據部分放置這些加密的數據來提供機密性和完整性。根據用戶安全要求，這個機制既可以用於加密一個傳輸層的段（如：TCP、UDP、ICMP、IGMP），也可以用於加密一整個的 IP 數據報。封裝受保護數據是非常必要的，這樣就可以爲整個原始數據報提供機密性。

tunnel協議

tunnel中文譯爲隧道，計算機網絡使用tunnel協議，當一個網絡協議（傳輸協議）封裝不同的有效載荷協議。通過使用tunnel1（例如）進行了一個不兼容的交付網絡的有效載荷，或通過一個不受信任的網絡提供一個安全的路徑。

tunnelOSI或TCP / IP分層協議模型如那些通常對比。傳遞協議通常（但不總是）在更高層次的模型相比，有效載荷的協議，或在同一水平。

如圖上的一個實驗