网络安全中的三大核心协议一、概述本课程主要讲解网络安全中的三大核心协议： SSL/TLS 协议（传输层安全） IPse

一、概述

本课程主要讲解网络安全中的三大核心协议：

SSL/TLS 协议（传输层安全）
IPsec 协议（网络层安全）
SSH 协议（远程管理安全）

二、IPsec 协议详解

2.1 IPsec 基本概念

位置：网络层协议

核心组成：

IKE 协议（Internet Key Exchange，互联网密钥交换）- 负责握手和密钥协商
AH 协议（Authentication Header，认证头）- 协议号 51
ESP 协议（Encapsulating Security Payload，封装安全载荷）- 协议号 50

与 SSL 协议的对比：

SSL 位于传输层与应用层之间
IPsec 位于网络层
IKE 相当于 SSL 的握手协议
AH/ESP 相当于 SSL 的记录层协议

2.2 SA（安全联盟）

定义：类似于 SSL 的密码算法套件，定义了通信双方使用的安全参数

生成方式：

手工配置（适用于小型网络、站对站场景）
自动生成（IKE 自动建立、维护、删除）

特性：

单向性：一个 SA 只能实现一个功能（如机密性或完整性）
如需多个功能，需要建立多个 SA

2.3 IKE 协议（ISAKMP）

两个阶段：

第一阶段：主模式（Main Mode）

目的：建立 ISAKMP SA（也叫 IKE SA）
消息数量：6 条消息（4+2 结构）
- 前 4 条：明文状态（协商 SA、交换证书、交换参数）
- 后 2 条：密文状态（确认信息）

主模式工作流程：

消息 1-2：协商 SA（类似 Client Hello / Server Hello）
消息 3-4：交换证书和密钥参数
- 使用带签名的数字信封保护 ID 和 Nonce
- ID：身份信息（密文）
- Nonce：随机数（密文）
- SK：临时对称密钥（用对方加密证书的公钥加密）
- 签名值：保证完整性和真实性
消息 5-6：确认协商结果

生成的密钥：

2 个工作密钥（一个用于加密，一个用于完整性校验）
1 个会话密钥参数（用于生成第二阶段的会话密钥）

重要提示：主模式生成的工作密钥不是用来保护业务数据的，而是用来保护第二阶段（快速模式）的协商过程！

第二阶段：快速模式（Quick Mode）

目的：建立 IPsec SA
消息数量：3 条消息
状态：全部为密文（使用主模式生成的工作密钥保护）

快速模式协商内容：

使用 AH 还是 ESP 协议
使用传输模式还是隧道模式
加密算法和完整性算法
生成会话密钥（真正用于保护业务数据）

2.4 SA 中的关键参数

在 Wireshark 中查看 SA 时，需要关注：

加密算法：SM4-CBC（国密）或 AES（国际）
- SM1: 值 128
- SM4: 值 127 或 129
完整性算法：HMAC-SM3 或 HMAC-SHA
- HMAC-SM3: 值 20
- HMAC-SHA: 值 2
认证方式：
- 公钥数字信封（合规）
- 预共享密钥（不合规，未使用密码技术）
公钥算法：SM2（国密）或 RSA（国际）
- SM2: 值 2

2.5 AH vs ESP

特性	AH 协议	ESP 协议
机密性	❌ 不支持	✅ 支持
完整性	✅ 支持	✅ 支持
身份认证	✅ 支持	✅ 支持
抗重放	✅ 支持	✅ 支持

使用建议：

需要机密性：使用 ESP
不需要机密性：可使用 AH
需要完整保护：AH + ESP 嵌套使用（此时不启用 ESP 的身份认证功能）

2.6 传输模式 vs 隧道模式

传输模式：

不改变原 IP 头
只保护 IP 载荷
适用于端到端通信

隧道模式：

新增一个 IP 头
保护原 IP 头和载荷
适用于站到站通信（VPN 场景）

2.7 IPsec 三层密钥体系

设备密钥（非对称）
    ↓
工作密钥（对称）- 保护快速模式
    ↓
会话密钥（对称）- 保护业务数据

与 SSL 的区别：

SSL：设备密钥 → 预主密钥 → 主密钥 → 工作密钥（保护业务数据）
IPsec：设备密钥 → 工作密钥（保护协商） → 会话密钥（保护业务数据）

2.8 IPsec 应用场景

站到站（最常见）：总公司 ↔ 分公司
端到站：远程办公 ↔ 公司网络
端到端：终端 ↔ 终端

典型应用：

跨单位系统互联（如社保系统 ↔ 银行系统）
分支机构互联
VPN 隧道

三、SSL/TLS 协议要点

3.1 协议位置

位于传输层和应用层之间
HTTPS 的核心就是 SSL/TLS

3.2 核心组成

握手协议：身份认证、密钥协商、算法协商
记录层协议：数据封装、加密、完整性保护

3.3 握手过程（四个阶段）

阶段 1：Client Hello / Server Hello（协商版本和算法）
阶段 2：服务端发送证书和参数
阶段 3：客户端发送证书和参数（可选）
阶段 4：双方确认（密文状态）

3.4 身份认证

单向认证：只验证服务端证书（常见）
双向认证：同时验证服务端和客户端证书（需要证书请求）

四、SSH 协议

4.1 基本概念

用途：远程管理网络设备和服务器
优势：相比 Telnet，SSH 提供加密传输

4.2 版本要求

SSH 1.0：不安全（使用 CRC 校验，非密码技术）❌
SSH 2.0：相对安全 ✅
GM SSH（国密 SSH）：符合国密标准，但目前无成熟产品

4.3 协商过程（四个阶段）

版本协商（1.0 还是 2.0）
算法协商（加密算法、完整性算法）
密钥协商
认证确认

4.4 Wireshark 分析要点

查看 SSH 数据包时关注：

版本：v1 还是 v2
加密算法：如 AES-128-CBC
完整性算法：如 HMAC-MD5

4.5 合规性

SSH 2.0 可以得分，但得不了满分（因为不是国密）
远程管理通道的常见方式

五、协议对比总结

特性	SSL/TLS	IPsec	SSH
协议层	传输层-应用层	网络层	应用层
应用场景	HTTPS、端到站	VPN、站到站	远程管理
握手协议	握手协议	IKE (ISAKMP)	版本+算法协商
数据封装	记录层协议	AH/ESP	加密通道
身份认证	单向/双向	双向（对等）	双向
密钥体系	3 层	3 层	2 层

六、重要考点提示

6.1 数值记忆

SM4 加密算法：127、129
SM1 加密算法：128
HMAC-SM3：20
HMAC-SHA：2
SM2 公钥算法：2

6.2 协议号

AH 协议：51
ESP 协议：50

6.3 关键概念

抗重放：核心是随机性、唯一性、无规律
预共享密钥：不合规（未使用密码技术）
主模式 vs 快速模式：
- 主模式生成 IKE SA（保护快速模式）
- 快速模式生成 IPsec SA（保护业务数据）
传输模式 vs 隧道模式：
- 传输模式：不新增 IP 头
- 隧道模式：新增 IP 头

6.4 Wireshark 分析技巧

过滤 IPsec：使用 isakmp 过滤器
主模式：6 条消息（4 明文 + 2 密文）
快速模式：3 条消息（全密文）
查看 SA 参数：加密算法、完整性算法、认证方式、公钥算法

七、学习建议

理解协议分层：明确每个协议在 OSI 模型中的位置
掌握密钥体系：理解设备密钥、工作密钥、会话密钥的关系
实践抓包分析：使用 Wireshark 分析真实数据包
对比学习：SSL、IPsec、SSH 的异同点
关注国密标准：GM/T 0022（IPsec）、GM/T 0129（SSH）

八、测评要点

网络和通信安全

身份认证：单向（三级及以下）、双向（四级及以上）
机密性：使用国密算法（SM1/SM4）
完整性：使用 HMAC-SM3
边界访问控制：VPN 需有认证证书

合规性判断

✅ 合规：SSL（国密套件）、IPsec（公钥数字信封）、SSH 2.0（部分分）
❌ 不合规：Telnet、SSH 1.0、IPsec（预共享密钥）

本文章涵盖 IPsec、SSL/TLS、SSH 三大协议的核心知识点。