【计算机网络】8.安全技术之安全隧道

文章目录​​​​​​​

一、安全隧道

1.1 隧道(tunneling)

1.2 隧道协议(tunneling)

1.3 互联网安全协议（Internet Protocol Security，IPsec）

1.4 认证头协议（Authentication Header，AH）

1.5 封装安全载荷（Encapsulating Security Payload，ESP）

二、虚拟专用网（virtual private network，VPN）

2.1 VPN

2.2 IPsec VPN

2.3 安全关系（Security association，SA）

2.4 IPsec VPN 操作

2.5 Diffie–Hellman key exchange

总结

---

一、安全隧道

1.1 隧道(tunneling)

1. 隧道是建立逻辑链接的技术，涉及在两个端点之间，将一种协议与不同的运营商协议嵌套的过程。

2. 在发送端，原始数据包(original packet)（包括payload 和 inner header）被封装加上一个新的outer header，然后隧道包(tunneled packet)根据outer header中的信息路由到目的地，最后在接收端解封装outer header。原始数据包可以根据inner header中的信息继续被路由。

1.2 隧道协议(tunneling)

隧道协议可以不安全(无加密)和安全的(加密)。

1. 不安全的协议包括:
   1. 第 2 层隧道协议(L2TP)
   2. 通用路由封装(GRE)
2. 安全协议包括:
   1. 互联网协议安全(IPsec) 

1.3 互联网安全协议（Internet Protocol Security，IPsec）

1. 互联网协议安全(IPsec) 是一个可以保护网络层IP流量的框架，具有以下特点:
   ▪保密性：除了发送者和接收者之外，没有人能够通过加密数据来读取数据。
   ▪完整性：没有人更改数据包中的数据。通过计算哈希值，发送方和接收方将能够检查数据包是否发生了变化。
   ▪验证性：发送者和接收者将相互验证，以确保他们真的在与他们想要的设备交谈。
   ▪防重放：即使数据包被加密和验证，攻击者也可以尝试捕获这些数据包并再次发送它们。通过使用序列号，IPsec 将不会传输任何重复的数据包。

2. IPsec 子协议

   1. 互联网协议安全(IPsec) 由以下子协议组成:

      1. 认证头（Authentication Header，AH）：通过使用散列函数验证数据包的完整性来保护 IP 数据包。在outer header和inner header 之间添加一个auth hreder，防止写入。

      2. 封装安全载荷（Encapsulating Security Payload，ESP）：通过使用对称加密算法加密整个数据包来保护 IP 数据包数据免受干扰。在Outer Header和Inner Header 之间添加一个ESP Header，同时在payload 尾添加两片。防止写入。  

   2. IPsec 子协议支持两种操作模式：一种运输模式(transport mode)，用于保护两台主机之间的通信；另一种隧道模式(tunnel mode)多用于构建安全隧道(VPN)，保护两个路由器之间的通信。

1.4 认证头协议（Authentication Header，AH）

1. 认证头(AH) 协议提供了一种方法来验证数据包的内容和来源的真实性和完整性。可以通过使用密钥和 MD5 或 SHA 哈希函数通过哈希消息验证码 (HMAC) 计算的校验和来验证数据包：

2. 使用两种算法

   1. Message Digest 5 (MD5)——从任意⻓度的消息和 16 字节密钥中生成 128 位散列(也称为数字签名或消息摘要) 的算法。生成的哈希用于验证内容和来源的真实性和完整性，就像输入的指纹一样。

   2. Secure Hash Algorithm (SHA)——从任意⻓度的消息和 20 字节的密钥生成 160 位散列的算法。它通常被认为比 MD5 更安全，因为它产生的哈希值更大。因为计算处理是在 ASIC 中完成的，所以性能成本可以忽略不计。

3. 两种模式下的数据包

   1. 携带AH Header的完整信息属于第三层的信息。

   2. 运输模式(transport mode)：就在原来的IP header后添加AH Header，将原始IP packet 变成AH transport mode，将验证整个IP数据包（ESP的transport mode不适用整个IP数据包），也就是从不安全→安全(authenticated) 

   3. 隧道模式(tunnel mode)：在原来IP header前面添加一个New IP Header，在New IP header后，IP header前，添加AH Header，将原始IP packet 变成AH Tunnel mode，也就是验证整个，从不安全→安全(authenticated) 

1.5 封装安全载荷（Encapsulating Security Payload，ESP）

1. 封装/保护整个数据包
2. 使用三种算法
   1. 数据加密标准 (Data Encryption Standard,DES)：具有 56 位密钥的加密块算法。
   2. Triple DES (3DES)：更强大的 DES 版本，其中原始 DES 算法在三轮中应用，使用 168 位密钥。 DES 提供了显着的性能节省，但对于许多机密或敏感材料传输来说被认为是不可接受的。
   3. 高级加密标准 (Advanced Encryption Standard,AES)：一种加密标准，可提供与其他设备更好的互操作性。 Junos OS 支持具有 128 位、192 位和 256 位密钥的 AES。

3. 两种模式下的数据包（不验证整个）

   1. 运输模式(transport mode)：使用原始IP头，并添加ESP头和尾。传输层(例如 TCP)和有效负载将被加密。它还提供身份验证，但与 AH 不同，它不适用于整个 IP 数据包。

   2. 隧道模式(tunnel mode)：添加了一个新的头部，原来的IP头部现在也被加密了，保护整个数据包，也就是从不安全→安全(authenticated) 

二、虚拟专用网（virtual private network，VPN）

2.1 VPN

1. 连接方式：是专用网络，通过公共网络(eg.Internet)连接>=2个远程站点，但它不使用网络间的专用物理连接，而是使用虚拟连接（安全隧道）通过公共网络路由。

2. 作用：运行分离的专用网络通过公共网络(eg.Internet)进行通信，让他们好像是通过专用连接（eg.WAN）直接链接的一样。

3. VPN安全性：

   ▪数据保密：证明没有加密密钥就无法解释捕获的数据包。它由密码算法提供，例如DES,3DES和AES.
   ▪数据完整性：证明数据在传输过程中未被修改。它是通过使用哈希算法提供的，例如MD5和SHA.
   ▪数据源认证：证明数据已被授权用戶访问。它由身份验证方法提供，例如PSK和RSA.

4. VPN类型：通过建立虚拟的点对点连接来创建，调用一个安全隧道，使用隧道协议，分为两类：

   1. 站点对站点VPN(Site-to-site VPN)：连接整个网络(entire networks)安全地互相连接

   2. 远程访问VPN(Remote-access VPN)：连接个别主机(individual hosts)到网络

2.2 IPsec VPN

1. IPsec VPN是一种协议，由用于建立VPN连接的一组标准组成。应用于隧道模式(tunnel mode)，同时支持认证头（Authentication Header，AH）协议和封装安全载荷（Encapsulating Security Payload，ESP）。
2. IPsec VPN tunnel 由tunnel setup & applied security组成：
   1. SA
   2. 安全参数

2.3 安全关系（Security association，SA）

1. 是一种协议，关于密钥、算法、方法
2. 功能
   1. 隐私-加密
   2. 数据完整-数据认证
   3. 身份验证-数据源认证

2.4 IPsec VPN 操作

1. 启动进程
2. IKE 1--生成IKE SA用于下一步
3. IKE 2--生成IPsec SA用于数据传输
4. IPsec对等方之间的数据传输
5. IPsec 隧道终止

2.5 Diffie–Hellman key exchange

迪菲-赫尔曼密钥交换（Diffie–Hellman key exchange，缩写为D-H） 是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道创建起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。   

---

总结

安全隧道技术