IPSec协议

 1. IPSec体系结构

  IPSec协议簇主要包含AH(Authentication Header，验证头)和ESP(Encapsulating Security Payload，封装安全载荷)两个安全协议。其中AH协议提供数据源认证、完整性保证与抗重播保护；ESP协议除具有AH协议的功能外，还可以利用加密技术保障数据的机密性，但该协议使用的开销要大。 

  ①如果将AH头插入IP头之后，上层协议数据之前，则称这种封装为传输模式。 

  ②如果将AH头插入原IP分组的IP头之前，并在AH头之前插入新的IP头，则称这种封装为隧道模式。

  

  在实际中多数用ESP，而不用AH。AH不被广泛运用的原因：

  1） AH不提供加密服务。

  2） AH协议封装的IPSec数据包不能穿越NAT。

  DH密钥交换算法 ：

  ①甲方（消息发送方，下同）构建密钥对（公钥+私钥），甲方公布公钥给乙方（消息接收方，下同）；

  ②乙方以甲方发送过来的公钥作为参数构造密钥对（公钥+私钥），将构造出来的公钥公布给甲方；

  ③甲方用“甲方的私钥+乙方的公钥”构造本地密钥；

  ④乙方用“乙方的私钥+甲方的公钥”构造本地密钥；

  ⑤甲乙两方本地新构造相同密钥，甲乙双方可以通过本地密钥进行数据的加密和解密；

  ⑥使用AES等对称加密算法进行数据安全传送。 

DH密钥交换算法数学原理  ：