IPSec和SSL

2020-04-29 本文已影响0人 fantasy5328

一、IPSec和SSL VPN

两种网络安全协议（包）都可以起到 VPN（虚拟专用网络的作用）。
实际上这两种安全协议要做到机密性保护就需要建立连接，而 VPN的核心也是连接。

区别：

IPSec：
网络层，可以利用传输层的UDP协议，可以添加新的IP头部。
但是必须处理可靠性和分片的问题，增加了它的复杂性和处理开销。
SSL：
建立在TCP协议的基础上，实现端口到端口（应用到应用）之间的安全传输。
可依赖TCP来管理可靠性和分片。
无法使用UDP。

二、TLS：

暂略。

三、IPSEC：

互联网安全协议（英语：Internet Protocol Security，缩写：IPsec）是一个协议包，透过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。
IPsec主要由以下协议组成：一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护；二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性；三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。
注：AH和ESP属于同一层的协议，目前AH用的很少，ESP比较常见。

RFC

rfc5406-Guidelines for Specifying the Use of IPsec Version 2
rfc6071- IP Security (IPsec) and Internet Key Exchange (IKE) Document Roadmap

IKE

IKE是一个混合协议，由三个协议组成。

SKEME决定了KE的密钥交换方式，KE主要使用DH来实现密钥交换。
Oakley决定了 IPSec的框架设计，让 IPSec能够支持更多的协议。
ISAKMP是IKE的本质协议，它决定了IKE协商包的封装格式，交换过程和模式切换。ISAKMP是IKE的核心协议，所以我们经常会把IKE与 SAKMP这两个术语互换使用。
在配置 PSec vPn的时候，主要配置内容也是 SAKMP另外， SKEME和 Oakley没有仼何相关的配置内容，因此很多网络技术人员常常会认为IKE和ISAKMP是相同的概念。
ipsec组成
isakmp在ike中的位置