隧道模式

兩個通信保護協(xié)議（兩個安全協(xié)議）

AH（鑒別頭協(xié)議）

GRE協(xié)議號47

可以提供的安全服務(wù)

報頭

安全索引參數(shù)SPI

序列號

認(rèn)證數(shù)據(jù)

AH要保護數(shù)據(jù)是以完整性校驗來保護的，它會將后面數(shù)據(jù)hash，然后放在認(rèn)證數(shù)據(jù)里面

AH保護范圍

傳輸模式

隧道模式

ESP(封裝安全載荷協(xié)議)

屬于網(wǎng)絡(luò)層協(xié)議，封裝在IP協(xié)議之上,協(xié)議號：50

可以提供的安全服務(wù)

ESP的頭部

ESP報尾，當(dāng)加密時使用分組交換的時候，要滿足一定位數(shù)，當(dāng)位數(shù)不夠的時候，報尾的填充和填充頭部就可以用來補充。下一頭部可以標(biāo)識上層協(xié)議。認(rèn)證數(shù)據(jù)是所有東西都校驗完了放東西的地方。

ESP保護范圍

傳輸模式

IP頭部不加密原因是要過其他層加密了就過不去了

隧道模式

AH和ESP對比

AD和ESP傳輸模式聯(lián)合使用

IKE

IPSec手工創(chuàng)建流程

1、創(chuàng)建acl抓取流量

2、配置IPSec安全提議，首先選擇協(xié)議類型也就是選AH還是ESP，然后再選擇加密算法、再選擇校驗算法、如果選了AH的話就選AH的校驗，再選擇封裝模式。

3、做IPSec策略，首先關(guān)聯(lián)流量和安全提議，再去定義自己的通道和對端的通道地址。標(biāo)識SPI的id，再配置一個和認(rèn)證有關(guān)的，也就是對方過來的時候需要的證書

4、接口處調(diào)用相應(yīng)的安全策略

（注：手工建立后這個通道將一直存在）

IPSec自動創(chuàng)建流程

使用IKE，動態(tài)建立IPSEC SA

IKE版本

IKE協(xié)議包含的三個協(xié)議

ISAKMP是IKE協(xié)議的主體，剩下的兩個協(xié)議用來提供支持

SKEME ：提供有關(guān)密鑰的一些支持

OAKLEY ：提供加密算法有關(guān)的支持

ISAKMP（互聯(lián)網(wǎng)安全聯(lián)盟密鑰管理協(xié)議 ）：用來協(xié)商

ISAKMP是一個應(yīng)用層協(xié)議基于傳輸層工作，他在傳輸層是基于UDP500端口，且ISAKMP要求源和目標(biāo)端口都是UDP的500，協(xié)商成功與否與這個有很大關(guān)系，所以配置的時候防火墻需要放通UDP的500端口。

IKE的兩個階段

階段1

協(xié)商構(gòu)建IKE SA（ISAKMP SA）其主要目的是獲得建立IPSEC SA時參數(shù)協(xié)商過程中的安全通道，對協(xié)商參數(shù)進行安全保護。IKE SA和IPSec SA不同IKE SA是不區(qū)分源和目標(biāo)也就是單向的。

階段1過程

主模式

默認(rèn)使用IP地址作為身份標(biāo)識（因為身份標(biāo)識發(fā)送是在第五六個數(shù)據(jù)包中，但是我們在前面的幾個數(shù)據(jù)包過程都需要提取預(yù)共享密鑰計算，需要身份標(biāo)識來確定是要用哪個預(yù)共享密鑰，要是等身份標(biāo)識的話等不下去了，因為這里有一個時間上的錯位，所以只能看IP地址了，然后在第五六個數(shù)據(jù)包的時候?qū)P地址和ID對比，再進行身份認(rèn)證確認(rèn)。所以這個東西也很怕NAT），這個身份標(biāo)識和身份認(rèn)證是不一樣的，在IPSec中多使用預(yù)共享密鑰進行身份認(rèn)證，然后這個預(yù)共享密鑰可能一個人和另外好幾個人都有。如何區(qū)分不同的人的預(yù)共享密鑰就依靠這個身份標(biāo)識。

交互過程的數(shù)據(jù)包

需要經(jīng)過6個數(shù)據(jù)包交互來完成IKE SA的建立，安全性較高

第一，二個數(shù)據(jù)包：SA的交換，也就是安全聯(lián)盟的參數(shù)交換

Ci，Cr攜帶的是cookie，這個是IKEV1版本中的做法，唯一標(biāo)識一個SA。到了V2版本，這里使用的是SPI，在V1版本中，其作用是相似

Sai,Sar用來進行進行安全參數(shù)協(xié)商，使用“五元組”來協(xié)商，下面是五元組

加密算法，哈希算法，身份認(rèn)證，DH組，SA存活時間

DES???????????? MD5 ? ? ?? PSK ? ? ?? ?? DH2????? 86400S

注意：這里協(xié)商的所有參數(shù)，是為了構(gòu)建IKE SA使用參數(shù)

注意：如果是手工建立的SA，則將永久有效，但是，如果使用IKE建立的SA，則將存在老化時間，默認(rèn)是86400S，如果時間到了，則將拆除通道，重新建立。

注意：DH算法分組，常用分組為DH1，DH2，DH5，DH14，組號越大，則安全性越高

注意：這里的身份認(rèn)證是在協(xié)商身份認(rèn)證的方式

如果對方在回復(fù)時，發(fā)現(xiàn)里面的參數(shù)本地不支持，則將回復(fù)一個負(fù)載拒絕報文，則中斷SA的構(gòu)建。但是，其中的SA存活時間可以不同，如果不同，則按照較小的來執(zhí)行

第三，四個數(shù)據(jù)包

Ni，Nr --- 是兩端發(fā)送時攜帶的一個隨機數(shù),參與DH算法

X，Y --- DH算法中需要交換的兩個參數(shù)

在DH算法中我們會生成4把密鑰

且在密鑰的計算中就用到了預(yù)共享密鑰，不用傳遞預(yù)共享而是直接蘊涵在計算的過程中。所有其他密鑰在計算時，都需要加入種子密鑰

SKEYID_e是加密密鑰，可以用于第5.6個數(shù)據(jù)包以及第二階段IPSEC SA協(xié)商過 程中的數(shù)據(jù)加密

CKY_I，CKY_R --- 前面過程中傳遞的cookie值

SKEYID_a是驗證密鑰，他是在第一階段5，6個數(shù)據(jù)包以及第二個階段中進行HASH算法時使用的密鑰，哈希算法也可以結(jié)合密鑰一起使用，其技術(shù)叫做HMAC（HMAC是融入密鑰的hash相比普通的hash來說更安全）

SKEYID_d是推導(dǎo)密鑰，他可以用來計算最終密鑰（建立IPSec SA用來加密數(shù)據(jù)的密鑰）的一個參數(shù)

第五，六個數(shù)據(jù)包用來進行身份認(rèn)證以及數(shù)據(jù)驗證,這兩個數(shù)據(jù)包是進行加密的

第五、六個數(shù)據(jù)包進行身份認(rèn)證是依靠上面種子密鑰計算時用到的預(yù)共享密鑰，另外一方只要可以解密這兩個數(shù)據(jù)包就可以用到這個預(yù)共享密鑰，所以數(shù)據(jù)包種就不用攜帶預(yù)共享密鑰了

Idi/Idr --- 身份標(biāo)識(IP地址)

Hashi/Hashr --- 使用哈希算法來校驗之前傳遞的安全參數(shù) --- 通過HMAC來進行運算，使用之前計算的驗證密鑰SKEYID_a

野蠻模式

可以自定義身份標(biāo)識，并且，速度較快，僅需使用3個數(shù)據(jù)包就可以完成IKE SA的建立

建立過程

注意：野蠻模式前兩個數(shù)據(jù)包中的參數(shù)用來協(xié)商密鑰信息，則第三個數(shù)據(jù)包可以進行加密傳輸，因為，身份信息是通過明文傳遞的，所以，安全性較低

主模式和野蠻模式區(qū)別

階段2????????????????????????????????????????????

通過階段一構(gòu)建的安全通道，傳遞需要建立IPSEC SA使用的安全參數(shù)，用來協(xié)商最終的密鑰。

快速模式

階段2過程