SPD、SAD、Traffic Selector和IKE收发数据包的处理过程

最新推荐文章于 2024-03-04 16:52:52 发布
最新推荐文章于 2024-03-04 16:52:52 发布
阅读量6.3k 收藏 13
点赞数 2
分类专栏: ISAKMP & IPSec 文章标签: 解密 加密 security database 路由器 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangwlee/article/details/7397150
版权

在IPSec的安全体系中,有两个很重要的数据库。一个是SPD - Security Policy Database;另一个是SAD - Security Association Database。顾名思义,SPD中定义了若干策略,说明对于各个IP数据流应当做出怎样的处理,是透传、丢弃,还是执行IPSec加解密。SAD则负责保存已经建立的SA相关信息,比如SA的各种参数,如加密算法、认证算法、生存时间等。


下面以一个例子为线索,说明它们之间的关联关系。网络结构如下:



描述:

设备10.0.68.5在Spoke-2-East的局域网10.0.68.0/24内部。它想要跟另一台位于VPN-GW1-EAST的局域网10.1.1.0/24中的设备10.1.1.5进行通信。


通信过程如下:

1. 当一个IP包从10.0.68.5发往目的地址10.1.1.5,数据包首先通过局域网设备到达路由器SPOKE-2-EAST。它上面的配置信息确定了通过网络接口serial0/0来讲此数据包路由到Internet。

2. 在数据包被路由出去之前,路由器会首先检查serial0/0接口的SPD。


SPD的内容如下:


研究一下这个SPD。其中每一行代表一个SPD Entry。Local IP / Local Port / Remote IP / Remote Port / Protocol都是traffic selector。Action表示对满足条件的IP流执行怎样的策略,是DISCARD / BYPASS,或者是应用IPSEC加密? Policy表示,一旦采用IPSec加密,那么在协商SA时应当建议怎样的算法等等。目前SA entry都为空,因为还没有建立任何SA。


再仔细观察,可以发现每个Traffic Selector都有一个sharing? 这表示什么意思呢?RFC4301规定,每个Selector都包含一个PFP flag(Populate from packet)。它可以设置成True或者False。当此标志被设定为True,则表示在创建一个SA时使用packet中的Traffic selector payload来作为selector,否则使用SPD中的Selector。举一个具体的例子,比如,现在10.0.68.5想要想10.1.1.5发送http请求。根据SPD,它满足最上面的index为9的规则。由于SA不存在,所以在IKE_AUTH交换后将生成必要的SA。在生成新的SA时,发现规则9中的Local IP / Remote IP的PFP flag都为false,也就是说允许SA sharing。那么将利用规则9中的Traffic Selector来生成一个共享SA,所有从10.0.68.5到10.1.1.0/24网段的TCP流都将使用这个新生成的SA来加密。相反的,如果PFP为True,也就是不允许SA sharing,那么在生成SA时将使用IKE_AUTH消息中的Traffic Selector Payload中协商好的Traffic Selector。假如Traffic Selector Payload中指定Tsi为10.0.68.5,而Tsr为10.1.1.5,那么新生成的SA只对10.0.68.8和10.1.1.5之间的TCP数据流提供IPSec保护。


稍作总结,PFP flag描述了在生成一个SA时是使用SPD Entry中的Traffic Selector还是使用IKE_AUTH / IKE_CREATE_CHILD消息的Traffic Selector Payload中的Traffic Selector。如果使用前者,意味着SPD中的每条规则将只对应一对SA,如此处的从10.0.68.5与10.1.1.0/24网段的一对SA。而如果使用后者,那么生成的新SA可能只是对应着SPD Entry中描述的一个子集,如此处,可能10.0.68.5和10.1.1.5之间就有一对专用SA,而10.0.68.5再与10.1.1.8通信可能会建立起另外一对SA。这样,一个SPD Entry所对应的Policy可能生成多个SA。


在这里,我们发现在SPD Entry中有一对SAD Entry的指针。但是,其实在RFC4301中对SPD Entry结构的定义中,并没有要求在SPD Entry中包含SAD Entry的指针。此处的SPD表只是实现的一种方式。在具体实现中,完全可以没有这个指针。当从SPD中了解到需要对一个IP流采用的策略后,再到SAD中查找是否有对应的SA。在SPD中包含SAD Entry的指针可以提高效率。但是如果一个SPD Entry对应多个SA,此处就需要有一种机制从多个SA Entry指针中找到最匹配的一个。


SAD:

SPD是一个策略数据库,描述了对每一个IP数据报应该采取的策略,是透传、丢弃或者做IPSec加解密。同时,它还为SA的建立提供协商用的参数,比如,加密套件,生存时间等。新生成的SA则被插入到SAD中。每当发出或者接收到一个数据包的时候,如果对它的策略是IPSec,那么就要去SAD中找到对应的SA,根据SA中提供的参数,对数据包进行加解密、生成校验和、封装成AH/ESP等操作。


3. 到目前为止,我们已经从SPD和SAD中了解到负责此IP数据报的SA还没有建立。Spoke-2-East将首先向远端的VPN-GW1-East发起第一个IKE的协商请求。协商成功后,两个安全网关之间将为从10.0.68.5和10.1.1.0/24之间的通信生成一个Ipsec SA。


4. 当VPN-GW1-East收到加密的数据包的时候。它将首先利用外层的目的地址、ESP协议号和ESP头部的SPI为索引,从SAD中检索SA。如果找到,利用SA的参数对数据包进行解密,然后对解密的数据包应用SPD规则。此时,使用的是内部IP,因为数据包已经被解密了。


jiangwlee
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
IKEv2的认证数据生成过程
JwLee的专栏
05-21 8556
IKEv2的第三个消息和第四个消息中,双方都会向对方发送一个AUTH Payload来证明自己的身份。这个过程是通过对各自发送的第一个消息进行签名来实现的。比如,如果一个Responder想证明自己的身份,那么,当它发送IKE_SA_INIT消息时,需要把这个消息完整的缓存下来。然后在发送IKE_SA_AUTH之前,将缓存的IKE_SA_INIT消息和Nonce_I,以及它自身的ID的MAC值连
Ipsec 的SPDSAD详解
热门推荐
bytxl的专栏
11-03 1万+
8.6.1 IPSec机制的SPD SPD 的内容用来存放IPSec 的规则,而这些规则用来定义哪些流量需要走IPSec,这个数据库的内容相当多,笔者仅介绍我们需要知道的部分,这些信息有目的端IP、来源端IP、只执行AH 或ESP、同时执行AH 及ESP、目的端Port、来源端Port、走Transport 或Tunnel 模式。图8-35 即为SPD 的结构,从结构内容我们可以看到第一笔及
使用 ipsec-tools 设置 SADSPD
bytxl的专栏
01-21 5035
在 《 IPSec 中的 AH 机制详解》 和 《IPSec 中的 ESP 机制详解》 里分别介绍了 IPSec 中的 AH 和 ESP 这两种协议,并给出了 wireshark 的抓包截图,但没有给出如何配置这两种情况的实验环境。 如果要让 IPSec 可以正常工作,那么需要适当的管理工具来管理 AH 和 ESP 运行所需要的参数,这些管理工具在开源领
IPsec原理与应用
qq_70288605的博客
06-30 1716
如果该数据包的源地址、目标地址、协议类型或端口号等与SPD中的某个条目匹配,则该数据包需要进行特定的保护措施,例如加密或认证。安全关联数据库(SAD)是IPsec中另一个重要的数据库,它保存了IPsec相关信息,例如加密算法、哈希算法、密钥等。在IPsec中,通信的双方必须协商出相同的安全参数,以便在数据传输时使用相同的加密算法和哈希算法。在未来,IPsec将适应新技术和安全需求的发展趋势,例如在5G和物联网(IoT)等新兴技术中,IPsec可以提供更全面的安全保障。
IPsec
weixin_43289702的博客
11-30 557
概述 IPsec是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议。 提供服务: 访问控制,无连接的完整性,数据来源认证,拒绝重播包,保密,和有限的传输流保密。 IPsec主要由以下协议组成: 一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护; 二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流机密性; 三、安全关联(SA),提供算法数据包,提供AH、ESP操作所需的参数。 四、密钥协议(IKE),提供对称密码的钥匙的生存和交
IPSEC---VPN
最新发布
zhoutong2323的博客
03-04 1884
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
spd:符号数据包动态测试平台(SPD
03-15
"SPD"代表Symbolic Packet Dynamic,这表明该平台利用了符号执行的概念来分析和测试网络协议在处理动态数据包流时的行为。 【描述详述】 描述中提到的"符号数据包动态测试平台(SPD)"是基于ISSTA 2017...
内存SPD刷写打包(内含刷写工具和多种SPD)
09-20
内存SPD刷写打包资源包含了内存SPD刷写软件以及多种不同类型的SPD文件,如DDR2、DDR和DDR3等。这些资源对于电脑硬件爱好者和技术人员来说是宝贵的,因为它们能够帮助用户自定义和优化他们的内存配置。下面将详细解释...
利用SPD实现嵌入式系统中内存的自动识别和配置
08-11
自动识别和配置的过程大致如下: 1. 系统启动后,启动代码初始化I2C控制器。 2. 通过I2C协议读取内存条上的SPD EEPROM。 3. 解析读取到的数据,获取内存条的型号、容量、速度等参数。 4. 根据SPD规范将这些参数转换...
spdlog,VC2022外部依赖库
02-02
**标题解析:** "spdlog,VC2022外部依赖库" 指的是一个名为 "spdlog" 的...总的来说,"spdlog,VC2022外部依赖库" 提供了一个便捷的方式来在VS2022项目中实现高效、灵活的日志管理,简化了开发过程,提升了开发效率。
日志输出库spdlog
12-29
`spdlog`不依赖于其他大型库,所以安装过程相对简单。 ### 3. 使用基础 #### 创建日志器 在`spdlog`中,日志器(logger)是记录日志的核心对象。可以通过以下方式创建一个简单的日志器: ```cpp #include <spd...
数据包结构分析
weixin_34000916的博客
03-30 1514
通过wireshark抓取在不同链路上的数据包,分析数据在网上传输过程。首先要有下面基础知识。 1,网络数据封装过程,数据包发送的时候从上往下封装的,解封装反过来。 从下往上看 最下面是以太网帧,位于osi参考模型的数据链路层。该层帧格式有以太网帧(常用),802.2/802.3帧和ppp帧。 对应网络层,主要协议有ip,ICMP,IGMP。如...
IPSec逻辑体系架构
weixin_33894640的博客
05-15 197
以下内容摘自业界唯一一本真正从全局视角介绍网络安全系统设计的图书——《网络工程师必读——网络安全系统设计》一书。目前该书在卓越网上仅需要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&amp;uid=479-8465001-9671654&amp;prodid=bkbk975360   8.5.1 IPSec逻辑体系架构 有多个RFC定义了I...
IPSec
wwt2014的博客
03-04 472
IPsec学习笔记 目录 IPsec学习笔记 虚拟专用网络简介 IPSec概述 通信安全要求 SA SA的建立方式 安全协议 AH协议 ESP协议 IPSec数据传输模式 传输模式 隧道模式 ...
IPsec学习笔记
hao_wujing的专栏
11-19 565
IPsec学习笔记 目录 IPsec学习笔记 虚拟专用网络简介 IPSec概述 通信安全要求 SA SA的建立方式 安全协议 AH协议 ESP协议 IPSec数据传输模式 传输模式 隧道模式 IPSec通信过程 虚拟专用网络简介 IPSec概述 IPSec 可以理解成一个框架,通过这个框架来实现建立虚拟专用网 通信安全要求 SA SA的建立方式 安全协议 AH协议 ESP协议 IPSe...
VPN、IPSEC、AH、ESP、IKE、DSVPN
xiaooxiangg的博客
04-14 3876
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 8880
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
华为IPSec解决方案
DREW德鲁
07-30 2449
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。 机密性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送数据。 完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。 防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。 其他安全要求:源认证(确认信息真实的发送者和接收者)、不可否
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9712
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值