IPsec-VPN通过IKE(Internet Key Exchange)协议协商密钥,通过IPsec协议对数据进行加密传输。IKE阶段和IPsec阶段均需配置加密算法、认证算法和DH分组。本文详细列出所有支持的算法及其参数,帮助您选择合适的算法组合。
推荐使用AES256-GCM-16 + SHA256 + DH Group 14作为IKE和IPsec阶段的算法组合(增强型VPN网关)。如果使用传统型VPN网关或绑定转发路由器,推荐AES256 + SHA256 + DH Group 14。
IKE加密算法
IKE阶段使用加密算法保护密钥协商过程中的数据交换。
|
算法名称 |
密钥长度 |
安全性 |
性能 |
绑定VPN网关 |
绑定转发路由器 |
推荐度 |
|
AES256-GCM-16 |
256位 |
极高 |
高(硬件加速) |
仅增强型 |
不支持 |
推荐 |
|
AES128-GCM-16 |
128位 |
高 |
极高(硬件加速) |
仅增强型 |
不支持 |
推荐 |
|
AES256 |
256位 |
高 |
中 |
增强型 / 传统型 |
支持 |
推荐 |
|
AES192 |
192位 |
高 |
中 |
增强型 / 传统型 |
支持 |
可用 |
|
AES128 |
128位 |
中 |
高 |
增强型 / 传统型 |
支持 |
可用 |
|
3DES |
168位 |
低 |
低 |
增强型 / 传统型 |
支持 |
不推荐 |
|
DES |
56位 |
极低 |
中 |
增强型 / 传统型 |
支持 |
不推荐 |
|
SM4 |
128位 |
高(国密标准) |
中 |
仅传统型 |
不支持 |
国密场景推荐 |
DES(56位密钥)和3DES(168位有效密钥)已被广泛认为不够安全,存在被暴力破解的风险。生产环境中请使用AES128及以上等级的加密算法。
GCM模式说明
AES-GCM(Galois/Counter Mode)是一种经过认证的加密模式(AEAD),同时提供数据加密和完整性校验。与CBC模式相比,GCM模式具有以下优势:
-
性能更高:支持并行处理和硬件加速,吞吐量显著高于CBC模式。
-
安全性更强:内置完整性校验,无须单独配置认证算法。
-
延迟更低:加密和认证在同一步完成,减少处理延迟。
AES128-GCM-16和AES256-GCM-16仅在绑定增强型VPN网关的IPsec连接中可用。绑定传统型VPN网关或转发路由器时不支持。
IKE认证算法
IKE阶段使用认证算法验证数据包的完整性,防止数据被篡改。
|
算法名称 |
摘要长度 |
安全性 |
性能 |
绑定VPN网关 |
绑定转发路由器 |
推荐度 |
|
SHA512 |
512位 |
极高 |
低 |
增强型 / 传统型 |
支持 |
高安全场景推荐 |
|
SHA384 |
384位 |
高 |
中 |
增强型 / 传统型 |
支持 |
可用 |
|
SHA256 |
256位 |
高 |
高 |
增强型 / 传统型 |
支持 |
推荐 |
|
SHA1 |
160位 |
中 |
高 |
增强型 / 传统型 |
支持 |
兼容场景可用 |
|
MD5 |
128位 |
低 |
极高 |
增强型 / 传统型 |
支持 |
不推荐 |
|
SM3 |
256位 |
高(国密标准) |
中 |
仅传统型 |
不支持 |
国密场景推荐 |
MD5认证算法存在已知的碰撞攻击漏洞,安全性不足。生产环境建议使用SHA256或更高等级的认证算法。
IPsec加密算法
IPsec阶段使用加密算法对实际传输的数据流量进行加密。IPsec加密算法的可选范围与IKE加密算法相同。
|
算法名称 |
密钥长度 |
安全性 |
性能 |
绑定VPN网关 |
绑定转发路由器 |
推荐度 |
|
AES256-GCM-16 |
256位 |
极高 |
高(硬件加速) |
仅增强型 |
不支持 |
推荐 |
|
AES128-GCM-16 |
128位 |
高 |
极高(硬件加速) |
仅增强型 |
不支持 |
推荐 |
|
AES256 |
256位 |
高 |
中 |
增强型 / 传统型 |
支持 |
推荐 |
|
AES192 |
192位 |
高 |
中 |
增强型 / 传统型 |
支持 |
可用 |
|
AES128 |
128位 |
中 |
高 |
增强型 / 传统型 |
支持 |
可用 |
|
3DES |
168位 |
低 |
低 |
增强型 / 传统型 |
支持 |
不推荐 |
|
DES |
56位 |
极低 |
中 |
增强型 / 传统型 |
支持 |
不推荐 |
|
SM4 |
128位 |
高(国密标准) |
中 |
仅传统型 |
不支持 |
国密场景推荐 |
IKE阶段和IPsec阶段的加密算法可以不同。例如IKE阶段使用AES256保护密钥协商,IPsec阶段使用AES128加密数据流量以获得更高的传输性能。但为简化配置和维护,建议两个阶段使用相同的加密算法。
IPsec认证算法
IPsec阶段使用认证算法验证传输数据的完整性。可选范围与IKE认证算法相同。
|
算法名称 |
摘要长度 |
安全性 |
性能 |
绑定VPN网关 |
绑定转发路由器 |
推荐度 |
|
SHA512 |
512位 |
极高 |
低 |
增强型 / 传统型 |
支持 |
高安全场景推荐 |
|
SHA384 |
384位 |
高 |
中 |
增强型 / 传统型 |
支持 |
可用 |
|
SHA256 |
256位 |
高 |
高 |
增强型 / 传统型 |
支持 |
推荐 |
|
SHA1 |
160位 |
中 |
高 |
增强型 / 传统型 |
支持 |
兼容场景可用 |
|
MD5 |
128位 |
低 |
极高 |
增强型 / 传统型 |
支持 |
不推荐 |
|
SM3 |
256位 |
高(国密标准) |
中 |
仅传统型 |
不支持 |
国密场景推荐 |
使用AES-GCM加密算法时,GCM模式自身已包含完整性校验(AEAD),此时认证算法的配置仅用于IKE阶段的协商保护,IPsec阶段的数据完整性由GCM模式保证。
DH分组
DH分组(Diffie-Hellman Group)用于IKE密钥交换过程中生成共享密钥。DH分组的密钥长度越大,安全性越高,但协商过程的计算开销也越大。IPsec阶段的PFS(Perfect Forward Secrecy)也使用DH分组。
|
DH分组 |
密钥长度 |
安全性 |
性能 |
推荐度 |
说明 |
|
Group 1 |
768位 |
极低 |
极高 |
不推荐 |
已被认为不安全,仅用于兼容极老旧设备 |
|
Group 2 |
1024位 |
低 |
高 |
不推荐 |
安全性不足,建议升级到Group 14 |
|
Group 5 |
1536位 |
中 |
中 |
可用 |
安全性一般,适合过渡期使用 |
|
Group 14 |
2048位 |
高 |
中 |
推荐 |
当前主流选择,安全性和性能均衡 |
|
Group 24 |
2048位(椭圆曲线) |
高 |
高 |
可用 |
基于椭圆曲线的DH交换,性能优于Group 14 |
推荐使用DH Group 14(2048位)。Group 1和Group 2的密钥长度已不满足现代安全要求,不建议在生产环境使用。IPsec阶段建议开启PFS并使用与IKE阶段相同的DH分组。
国密算法
国密算法是中国国家密码管理局认定的国产商用密码算法。IPsec-VPN支持SM4加密算法和SM3认证算法。
SM4加密算法
|
属性 |
说明 |
|
算法类型 |
对称分组密码算法 |
|
密钥长度 |
128位 |
|
分组长度 |
128位 |
|
安全等级 |
高(符合中国国家密码标准) |
|
适用阶段 |
IKE加密、IPsec加密 |
|
适用范围 |
仅绑定传统型VPN网关的IPsec连接 |
SM4算法的安全强度与AES128相当,是中国商用密码体系中的核心对称加密算法,广泛应用于金融、政务等领域。
SM3认证算法
|
属性 |
说明 |
|
算法类型 |
密码杂凑算法 |
|
摘要长度 |
256位 |
|
安全等级 |
高(符合中国国家密码标准) |
|
适用阶段 |
IKE认证、IPsec认证 |
|
适用范围 |
仅绑定传统型VPN网关的IPsec连接 |
SM3算法的安全强度与SHA256相当,是中国商用密码体系中的核心杂凑算法,用于数据完整性校验和数字签名。
使用国密算法时请注意以下限制:
-
国密算法仅在绑定传统型VPN网关的IPsec连接中可用。
-
绑定增强型VPN网关或转发路由器时不支持国密算法。
-
使用国密算法时,VPN网关不支持基于私网建立IPsec连接。
-
国密算法仅在中国内地地域可用。
-
SM4和SM3需配合使用,不支持与其他算法混用(例如不支持SM4 + SHA256的组合)。
推荐算法组合
根据安全需求和设备兼容性,选择以下算法组合:
|
安全等级 |
加密算法 |
认证算法 |
DH分组 |
适用场景 |
|
极高(推荐) |
AES256-GCM-16 |
SHA256 |
Group 14 |
增强型VPN网关,追求高安全性和高性能 |
|
高 |
AES256 |
SHA256 |
Group 14 |
通用生产环境,兼容性好 |
|
中 |
AES128 |
SHA256 |
Group 14 |
对传输性能要求较高的场景 |
|
基础 |
AES128 |
SHA1 |
Group 2 |
兼容无法升级的老旧设备 |
|
国密 |
SM4 |
SM3 |
Group 14 |
合规要求使用国密算法的场景 |
常见问题
如何选择IKE版本?
-
IKEv2(推荐):协商效率更高,原生支持多网段互通,支持NAT穿越检测,安全性更强。
-
IKEv1:兼容老旧设备,但协商过程更复杂,多网段配置受限。
如果对端网关设备支持IKEv2,请优先使用IKEv2。
IKE和IPsec阶段是否需要使用相同算法?
不需要。IKE阶段和IPsec阶段可以独立配置不同的加密算法和认证算法。但为简化运维和降低配置出错概率,建议两个阶段使用相同的算法组合。
对端设备不支持AES-GCM怎么办?
AES-GCM算法需要对端设备也支持才能协商成功。如果对端设备不支持AES-GCM,请使用AES256 + SHA256 + DH Group 14的组合,该组合兼容性好且安全性高。
PFS是否需要开启?
建议开启。PFS(Perfect Forward Secrecy,完美前向加密)确保即使长期密钥泄露,之前的会话密钥也不会被破解。开启PFS后,每次重新协商SA时都会执行一次新的DH密钥交换。PFS使用的DH分组建议与IKE阶段相同。