IPsec介绍

最新推荐文章于 2024-05-20 22:54:13 发布
最新推荐文章于 2024-05-20 22:54:13 发布
阅读量552 收藏
点赞数
原文链接:https://yq.aliyun.com/articles/497064
版权

VPN:虚拟专用网络,类似于专线

专线,通过专线提供给用户接入公共网络的桥梁。一般的专线有电话专线、分组网专线、DDN专线、
专线不需要拨号,开机即可上网,专线分配的是固定的公网IP地址,而非动态的IP地址
专线的优势是稳定,延时较短,避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点

DDN数字数据网。它是利用数字信道提供永久性连接电路,用来传输数据信号的数字传输网络


VPN特性

安全性:认证机制和数据加密机制
可靠性:校验纠错
可控性:路由控制


IPsec协议不是单独的协议,它给出了应用IP层上网络数据安全的一整套体系结构包括网络认证协议AH、ESP、IKE和加密算法等,目前IPSec只支持IPv4


IPsec提供了两种安全机制:认证和加密
认证机制IP通信的数据接收方能够确认数据发送方的真实身份以及数据传输过程中是否遭到篡改(控制层面)
加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃取(数据层面)


认证方式:MD5、SHA-1 

加密算法:DES、3DES、AES 


IKE协议用于协商密钥,AH和ESP协议提供安全服务

名词解释:

1、IKE(Internet Key Change)互联网密钥交换:针对密钥安全
2、AH认证头:只是隐藏数据包,并没有被加密

3、ESP封装安全载荷:保护数据安全,对数据头部加密


IKE互联网密钥交换,可实现密钥的自动协商功能建立SA,减少了密钥协商的开销

ISAKMP互联网安全联盟和密钥管理协议IKE为IPsec提供了自动协商交换密钥、建立SA的服务

IKE协议来建立SA,SA协议建立在由ISAKMP定义框架

IKE不是在网络上直接传输密钥,而是通过一系列数据交换,最终计算双方共享的密钥,并且即使第三方截获了双方用于计算密钥所有交换数据,无法计算出真正的密钥
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份,分发密钥,建立IPsec SA
数据认证
身份认证:确认通信双方的身份,预共享密钥(pre-shared-key)认证和基于PKI的数字签名认证
身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护


注释:

IKE的认证方式有三种:pre-shared keys 、PKI、encrypted nonce(RSA)
1、pre-shared keys 最简单的最常用的,由管理员预先定义好的密码,认证时,只有双方密码匹配之后,后续的工作才能继续,配置时通常可以包含IP地址,子网掩码,指定任意地址来替代固定地址,适用于IP地址不固定的环境
2、PKI是使用第三方证书做认证,叫做CA,里面包含名字,序列号,有效期以及其它可以用来确认身份的参数,证书也可以被取消


IKE两个阶段
1、本端VPN对等体发起到远端VPN对等体的连接会话
2、ISAKMP/IKE阶段1;设备验证、密钥交换、算法协商等操作
3、阶段2;对等体协商参数和密钥信息来保护数据连接
4、建立完,即可数据通信

wKiom1kpQ5Ww9P0EAAGKTTZAZ-E156.jpg

IKE维护SA的服务,简化了IPsec的使用和管理

SA安全联盟:IPsec在两个端点之间提供安全通信,端点被称为IPsec对等体

对等体之间采用认证机制,确保会话是来自于真正的对等体而不是攻击者

SA是通信对等体间对某些要素的约定,使用哪种协议、封装模式、加密算法


transform set是一组算法集合,通过它来定义ESP、AH封装IP报文
Crypto Map 是IPSec的组件,执行两个主要功能:    
1、选择需要加密处理的数据(transform set)、

2、定义数据加密的策略以及数据发往的对端(感兴趣流、目的地址)


AH协议定义认证应用方法、提供数据源认证和完整性保证;ESP协议定义加密和可选认证的应用方法,提供数据可靠保证
AH协议(IP协议号51)工作原理:在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5、SHA-1等
ESP协议(IP协议号50)工作原理:在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。
ESP协议与AH协议不同的是,ESP保护用户数据进行加密后再封装到IP包中,保证数据的机密性

AH和ESP联合使用方式:先对报文进行封装ESP,再对报文进行AH封装


SA手工方式适用场合小型静态环境,
SA自动协商方式适用场合大型的动态网络环境环境,只需要配置好IKE协商安全策略的信息,有IKE自动协商来创建和维护SA

IPsec工作模式:传输模式、隧道模式封装格式

wKiom1j2u2DAQMrIAAC0lPiiL7E611.jpg

传输模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在厡IP包头后面

适用场合:两台主机之间通讯,一台主机和一个安全网关之间通讯

transport mode 模式只有安全功能,没有隧道功能

transport mode 多应用于局域网

DPD:(Dead Peer Detection)隧道检测机制,为了防止“隧道黑洞”,只对第一阶段生效

隧道模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中

适用场合:两个安全网关之间的通讯

wKioL1j2u-nTkKGgAADLogRuRoc736.jpg



加密认证都需要占用大量CPU资源,对于模块的路由器可以使用加密卡,完成数据的IPsec运算
路由器将需要加/解密处理的数据发送给加密卡,加密卡对数据进行加/解密运算并给数据添加/删除加密帧头










本文转自 周小玉 51CTO博客,原文链接:http://blog.51cto.com/maguangjie/1891408,如需转载请自行联系原作者
weixin_33698823
关注
IPSec:互联网协议安全机制的深度解析与应用
IT技术分享社区
07-01 964
因特网密钥交换(IKE):IKE协议IPSec中的核心组件,负责协商和管理IPSec连接的安全参数和密钥,包括建立安全关联(Security Associations, SAs)。而安全关联则是IPSec操作的具体实例,包含了所使用的安全协议(AH、ESP或两者)、加密和认证算法、密钥以及SA的有效期限等具体参数。封装安全载荷(ESP):ESP协议除了提供类似AH的完整性保护外,还支持数据加密功能,通过在原始IP数据包外附加一个加密的安全载荷部分来保证数据的机密性。
IPSec协议详细介绍.ppt
08-09
IPSec协议原理详细介绍,很经典的教材
名词解释
懂得让我微笑的人.
05-17 922
1.什么是DES?DES算法全称为Data Encryption Standard,即数据加密算法,它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个:Key、Data、Mode。其中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。 DES算法把64位的明文输入块变为
IPsec+预共享密钥的lKE主模式
zero_number的博客
10-21 1445
指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定义的安全标准框架,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全——在两个公共网关间提供私密数据封包服务 IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。
IPSec简介
最新发布
学徒心
05-20 883
本文全面介绍IPSec,包括其简介、原理、组件、应用、配置以及与 SSL VPN 的对比。IPSec 是保护 IP 通信安全的协议簇,通过 AH 和 ESP 协议提供多种安全功能,工作时建立安全关联。其组件涵盖安全策略数据库、安全关联数据库等多个模块。IPSec 广泛应用于 VPN 构建、企业网络安全等领域,配置需明确需求、选择合适协议算法等。最后对比了 IPSec VPN 和 SSL VPN 的优劣势,IPSec VPN 安全性高、支持大规模网络但配置复杂等,SSL VPN 使用方便、对移动设备友好但
IPSec介绍
congguanliu5887的博客
12-24 3646
1、IPSec VPN体系结构 安全协议:负责保护数据,AH/ESP 工作模式:传输模式:实现端到端保护,隧道模式:实现站点到站点保护 密钥交换:IKE:为安全协议执行协商 2、IPSec的安全协议 AH 数据的完整性校验和源验证 有限的抗重播能力 不能提供数据加密功能 ESP 保证数据的机密性 数据的完整性校验和源验证 一定的抗重播能力 3、IPSec的两种模式 3.1、传输模式 传输模式(Transport Mode)是IPSec的默认模式,又称端到端(End-to-
IPSEC介绍.docx
01-28
IPSEC介绍.docx
计算机网络原理-146第7章 网络安全--网络层安全IPSec介绍.mp4
07-04
计算机网络原理-146第7章 网络安全--网络层安全IPSec介绍.mp4
IPsec协议详解
weixin_43965325的博客
04-25 1560
关于IPsec协议详解
IPSEC简析
qq_36169917的博客
08-18 236
简介 ipsec不是单一的协议,而是由一系列开放的标准构成。 工作在网络层 ipsec可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等问题 IPSEC体系结构 ipsec概述 安全协议 定义加密和验证算法 AH(验证头):提供数据完整性校验、数据源验证、可选的抗重播服务,但是不支持机密性保护 ESP(封装安全载荷):提供ah所有功能,还能提供加密服务。ah和esp可以组合使用。
加密流量协议(1)--IPSec协议介绍_ipsec加密,阿里程序员的网络安全之路
2401_84254057的博客
04-11 905
源目IP为明文状态,适用于主机间传输数据。源IP及数据重新封装,适用于VPN等加密流量通信。
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 9054
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了三种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
浅谈IPsec的工作原理及优缺点
guanglianfnet的博客
04-09 7543
什么是IPsec? IPsec(IP安全性)是一套协议,旨在确保IP网络上数据通信的完整性,机密性和身份验证。虽然IPsec标准的灵活性已引起商业市场的兴趣,但由于其复杂性,导致识别协议存在若干问题,与其他安全系统一样,维护不良很容易导致关键系统故障。 IPsec可用于三个不同的安全域:虚拟专用网络、应用程序级安全性和路由安全性。目前,IPsec主要用于VPN,当在应用程序级安全性或路由安全性中使...
IPSec基础知识
weixin_51045259的博客
02-04 4413
IPSec简介 定义 IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。 通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全
"IPSec协议族安全框架和VPN介绍
IPSec VPN是基于IPSec协议族构建的在IP层实现的安全虚拟专用网,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。通过使用ESP来保障IP数据传输过程的机密性,同时利用AH/ESP提供数据完整性、数据源验证和抗报文重放...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值