ipsec网络安全

1. 用于保障ip通信数据安全的ipsec协议,是属于网络协议中的什么安全协议

互联网安全协议（英语：Internet Protocol Security，缩写为IPsec），是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族（一些相互关联的协议的集合）。其工作原理就是在发送端对数据进行加密，在接收端进行解密，从而实现信息的安全传输功能。

2. IPSEC是什么意思

IPsec：IP层协议安全结构

（IPsec：Security Architecture for IP network）

IPsec 在 IP 层提供安全服务，它使系统能按需选择安全协议，决定服务所使用的算法及放置需求服务所需密钥到相应位置。 IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。

IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包（部分序列完整性形式）、保密性和有限传输流保密性。因为这些服务均在 IP 层提供，所以任何高层协议均能使用它们，例如 TCP 、 UDP 、ICMP 、 BGP 等等。

这些目标是通过使用两大传输安全协议，头部认证（AH） 和封装安全负载 （ESP），以及密钥管理程序和协议的使用来完成的。所需的 IPsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。

当正确的实现、使用这些机制时，它们不应该对不使用这些安全机制保护传输的用户、主机和其他英特网部分产生负面的影响。这些机制也被设计成算法独立的。这种模块性允许选择不同的算法集而不影响其他部分的实现。例如：如果需要，不同的用户通讯可以采用不同的算法集。

定义一个标准的默认算法集可以使得全球因英特网更容易协同工作。这些算法辅以 IPsec 传输保护和密钥管理协议的使用为系统和应用开发者部署高质量的因特网层的加密的安全技术提供了途径。

3. IPsec安全策略主要由哪两个交互的数据库

SAD(安全关联数据库)和SPD(安全策略数据库)。
它并不是一个单独的协议，而是一系列为IP网络提供安全性的协议和服务的集合。IPSec主要包括安全协议AH和ESP，密钥管理交换协议IKE以及用于网络认证及加密的一些算法等。

4. ipsec安全联盟是由哪些元素组成

IPsec主要由以下协议组成：

一、认证头（AH），为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护；

二、封装安全载荷（ESP），提供机密性、数据源认证、无连接完整性、防重放和有限的传输流（traffic-flow）机密性；

三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。

四、密钥协议（IKE），提供对称密码的钥匙的生存和交换。

历史

从1920-70年代初开始，美国高级研究项目局赞助了一系列实验性的ARPANET加密设备，起初用于本地ARPANET数据包加密，随后又用于TCP/IP数据包加密。

从1986年到1991年，美国国家安全局在其安全数据网络系统（SDN）计划下赞助了互联网安全协议的开发，包括摩托罗拉在内的各种供应商聚集在一起，于1988年生产了一种网络加密设备，这项工作于1988年由NIST公开发表，其中第3层的安全协议（SP3）演变为ISO标准的网络层安全协议（NLSP）。

5. IPSec 是什么服务

IPv4缺乏对通信双方真实身份的验证能力，缺乏对网上传输的数据的完整性和机密性保护，并且由于IP地址可软件配置等灵活性以及基于源IP地址的认证机制，使得IP层存在着网络业务流易被监听和捕获、IP地址欺骗、信息泄露和数据项被篡改等攻击，而IP是很难抵抗这些攻击的。为了实现安全IP，Internet工程任务组IETF于1994年开始了一项IP安全工程，专门成立了IP安全协议工作组IPSEC，来制定和推动一套称为IPSec(IP Security)的IP安全协议标准。其目标就是把安全特征集成到IP层，以便对Internet的安全业务提供低层的支持。IETF于1995年8月公布了一系列关于IPSec的RFC建议标准。

完整的IPsec核心文档集处在提议标准阶段。包括：

下面是这些域的说明：

• 下一个头（Next Header）：这个8比特的域指出AH后的下一个载荷的类型。例如，如果AH后面是一个ESP载荷，这个域将包含值50。如果在我们所说的AH后面是另一个AH，那这个域将包含值51。RFC1700中包含了已分配的IP协议值信息。
• 载荷长度（Payload length）：这个8比特的域包含以32比特为单位的AH的长度减2。为什么要减2呢？AH实际上是一个IPv6扩展头，IPv6规范RFC1883中规定计算扩展头长度时应首先从头长度中减去一个64比特的字。由于载荷长度用32比特度量，两个32比特字也就相当于一个64比特字，因此要从总认证头长度中减去2。
• 保留（Reserved）：这个16比特的域被保留供将来使用。AH规范RFC2402中规定这个域被置为0。
• 安全参数索引（SPI）：SPI是一个32比特的整数，用于和源地址或目的地址以及IPSec协议（AH或ESP）共同唯一标识一个数据报所属的数据流的安全关联（SA）。SA是通信双方达成的一个协定，它规定了采用的IPSec协议、协议操作模式、密码算法、密钥以及用来保护它们之间通信的密钥的生存期。关于SPI域的整数值，1到255被IANA（Internet Assigned Number Authority）留作将来使用；0被保留用于本地和具体实现使用。所以说目前有效的SPI值是从256到232-1。
• 序列号（Sequence number）：这个域包含有一个作为单调增加的计数器的32位无符号整数。当SA建立时，发送者和接收者的序列号值被初始化为0。通信双方每使用一个特定的SA发出1个数据报就将它们的相应的序列号加1。序列号用来防止对数据包的重放，重放指的是数据报被攻击者截取并重新传送。AH规范强制发送者总要发送序列号到接收者；而接收者可以选择不使用抗重放特性，这时它不理会进入的数据流中数据报的序列号。如果接收端主机启用抗重放功能，它使用滑动接收窗口机制检测重放包。具体的滑动窗口因不同的IPSec实现而不同；然而一般来说滑动窗口具有以下功能。窗口长度最小为32比特。窗口的右边界代表一特定SA所接收到的验证有效的最大序列号。序列号小于窗口左边界的包将被丢弃。将序列号值位于窗口之内的数据包将被与位于窗口内的接收到的数据包相比较。如果接收到的数据包的序列号位于窗口内并且数据包是新的，或者它的序列号大于窗口右边界且小于232，那么接收主机继续处理计算认证数据。对于一个特定的SA，它的序列号不能循环；所以在一个特定的SA传输的数据包的数目达到232之前，必须协商一个新的SA以及新的密钥。
• 认证数据：这个变长域包含数据报的认证数据，该认证数据被称为完整性校验值（ICV）。对于IPv4数据报，这个域的长度必须是32的整数倍；对于IPv6数据报，这个域的长度必须是64的整数倍。用来生成ICV的算法由SA指定。用来计算ICV的可用的算法因IPSec的实现的不同而不同；然而为了保证互操作性，AH强制所有的IPSec实现必须包含两个MAC：HMAC-MD5和HMAC-SHA-1。如果一个IPv4数据报的ICV域的长度不是32的整数倍，或一个IPv6数据报的ICV域的长度不是64的整数倍，必须添加填充比特使ICV域的长度达到所需要的长度。

6. 什么是IPSec VPN安全网关

渔翁IPSec VPN安全网关是渔翁信息技术股份有限公司独立自主研发的高速网络安全设备，遵循国家密码管理局最新颁布的《IPSec VPN技术规范》，通过国家密码管理局鉴定，获得公安部计算机信息系统安全专用产品销售许可证。
产品内置渔翁自主研发的高速密码模块，全面支持国家密码管理局指定的SM1、SM2、SM3、SM4密码算法，为网络传输的数据提供高性能加密、签名验证服务。产品通过隧道技术为企业总部与分支机构、政府各级单位的网络之间建立起专用的安全通道，采用严格的加密、认证措施来保证通道中传送数据的私密性、完整性和真实性。
渔翁信息的IPSec VPN安全网关产品部署简单，配置灵活，无需对现有网络进行改动，可广泛应用于政府、公安、能源、交通、税务、企业集团等领域。

7. IPSEC是什么意思

IPsec是一个协议包，通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议族。

安全特性

IPSec的安全特性主要有：

1、不可否认性

"不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。

由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。

2、反重播性

"反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。

3、数据完整性

防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。

4、数据可靠性

在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。

(7)ipsec网络安全扩展阅读：

IPSec的应用场景和协议组成

IPSec 的应用场景分为3种：

1、Site-to-Site（站点到站点或者网关到网关）：如弯曲评论的3个机构分布在互联网的3个不同的地方，各使用一个商务领航网关相互建立VPN隧道，企业内网（若干PC）之间的数据通过这些网关建立的IPSec隧道实现安全互联。

2、End-to-End（端到端或者PC到PC）： 两个PC之间的通信由两个PC之间的IPSec会话保护，而不是网关。

3、End-to-Site（端到站点或者PC到网关）：两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

VPN只是IPSec的一种应用方式，IPSec其实是IP Security的简称，它的目的是为IP提供高安全性特性，VPN则是在实现这种安全特性的方式下产生的解决方案。

IPSec是一个框架性架构，具体由两类协议组成：

1、AH协议（Authentication Header，使用较少）：可以同时提供数据完整性确认、数据来源确认、防重放等安全特性；AH常用摘要算法（单向Hash函数）MD5和SHA1实现该特性。

2、ESP协议（Encapsulated Security Payload，使用较广）：可以同时提供数据完整性确认、数据加密、防重放等安全特性；ESP通常使用DES、3DES、AES等加密算法实现数据加密，使用MD5或SHA1来实现数据完整性。

8. IPSec VPN安全网关有哪些应用价值

由于上述两种方式的VPN都有专门的资料介绍，因此，简单点讲，IPSec VPN因其应用广泛，用户基础庞大（微软的功劳），技术成熟，是大部分VPN用户的首选。建网模式上，Site to Site采用硬件构建，成本低廉且较为可靠，但用户认证方式较为单一，策略配置复杂，对于多种边界的网络不太适用。SSL VPN虽然前景广泛，但目前主要用于对大量需要移动用户接入的组网方式，比如需要移动办公人员接入，电力抄表员、保险的网上办公、电信级运营用户，需要对广泛用户进行接入的网络使用SSL VPN可以轻松的实现网络安全策略的配置。

更多资料请自己查询两者的基础知识。