什么是IPSec认证与加密?

IPSec认证

IPSec认证包头(AH)用于提供IP数据报告的完整性和认证机制。其完整性是确保数据报告不会以无意或恶意的方式改变，而认证则验证数据来源（识别主机、用户、网络等）。AH事实上，它不支持任何形式的加密，也不能保证通过互联网发送数据的可信度。AH在地方政府限制加密出口、进口或使用的情况下，可以改善全国Intenret安全。实现所有功能后，将通过认证IP并减少基础IP欺骗攻击机会提供更好的安全服务。AH标准包头IPv4和IPv6包头与下一个高层协议帧(如TCP、UDP、ICMP等)之间。

AH协议通过整个协议IP在数据报告中实施新闻摘要计算，以提供完整性和认证服务。新闻摘要是一个特定的单向数据函数，它可以创建数据报告中唯一的数字指纹。将新闻摘要算法的输出结果放入AH包头的认证数据(Authentication_Data)区。新闻文摘5算法(MD5)它是一个单向的数学函数。当应用于分组数据时，它将整个数据分成几个128比特的信息分组。每128比特为一组的信息是大分组数据的压缩或摘要。这样使用时，MD5只提供数字完整性服务。消息摘要可以在发送前和接收到数据后根据一组数据计算。如果两次计算的摘要值相同，则在传输过程中不会改变分组数据。这防止了无意或恶意的变化。在使用中HMAC-MD5在认证的数据交换中，发送者使用之前交换的密钥首次计算数据报告的64比特分组MD5摘要。从一系列16比特中计算出来的摘要被累加成一个值，然后放入AH包头认证数据区，然后将数据报告发送给接收者。接收者还必须知道密钥值，以计算正确的信息摘录，并适应接收到的认证信息摘录。如果计算值等于收到的摘录值，则数据报告在发送过程中没有改变，并且可以相信它是由只知道密钥的另一方发送的。

IPSec加密

封包安全协议(ESP)包头提供IP数据报告的完整性和可信度服务ESP该协议以两种方式设计：隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。整个隧道模式IP数据报都在ESP包装和加密负载。完成后，真的IP源地址和目的地址目的地址互联网发送的普通数据。这种模式的一个典型用法是防火墙-主机或拓扑隐藏在防火墙之间通过虚拟专用网连接时。在传输模式下，只有更高层次的协议帧(TCP、UDP、ICMP等)加密后IP数据报的ESP负载部分。在这种模式下，源和目的IP地址和一切IP包头域不加密发送。

IPSec所有要求ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准(DES)这是一种非常常见的加密算法。它最初是由美国政府公布的，最初用于商业应用。到目前为止DES专利保护期已到期，全国免费实现。IPSec ESP标准要求一切ESP支持密码分组链(CBC)的DES作为缺省算法。DES-CBC通过完整的组成IP在下一个更高层协议帧(传输模式)的8比特数据组中添加数据函数进行工作。DES-CBC用8比特组的加密数据(密文)代替8比特组的未加密数据(明文)。随机的8比特初始化向量(IV)用于加密第一个明文分组，以确保加密信息的随机性，即使在明文信息开头相同。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此，它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此，DES-CBC该算法的有效性取决于密钥的安全性，ESP使用的DES-CBC密钥长度为56比特。