计算机网络-IPSec VPN工作原理

最新推荐文章于 2025-05-01 19:59:01 发布
最新推荐文章于 2025-05-01 19:59:01 发布
阅读量1.9k 收藏 26
点赞数 35
文章标签: 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43483442/article/details/144345680
版权

一、IPSec VPN工作原理

昨天我们大致了解了IPSec是什么,今天来学习下它的工作原理。

IPsec的基本工作流程如下:

  • 通过IKE协商第一阶段协商出IKE SA。
  • 使用IKE SA加密IKE协商第二阶段的报文,即IPsec SA。
  • 使用IPsec SA加密数据。
IPsec基本工作流程
IPsec基本工作流程

简单理解就是先创建一条安全协商的道路(IKE SA),然后通过IKE SA经过算法达到一个秘钥(IPSec SA),接着使用IPSec SA对传输的流量进行加密与验证,这第三步就涉及到哪些流量需要加密,我们需要通过一些方式将对应流量引入到IPSec VPN隧道中来进行传输。

二、IKE 协商

前面我们学习了IPSec双方需要协商出一个SA来进行算法的匹配,一般情况下我们使用IKE方式建立IPsec SA。IKE是建立在ISAKMP定义的框架上,是基于UDP的应用层协议。它为IPsec提供了自动协商密钥、建立IPsec安全联盟的服务,能够简化IPsec的配置和维护工作。

简单说就是我们通过IKE这个框架协商出双方认可的加密算法、认证算法、传输模式等等。而IKE目前有两个版本:IKEv1和IKEv2。

2.1 IKEv1

采用IKEv1协商安全联盟主要分为两个阶段:

  • 第一阶段:通信双方协商并建立IKE协议本身使用的安全通道,即建立一个IKE SA;
  • 第二阶段:利用第一阶段已通过认证与安全保护的安全通道,建立一对用于数据安全传输的IPsec SA。
IKEv1
最低0.47元/天 解锁文章
IPSec VPN的原理与配置
2301_78256093的博客
06-14 1万+
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
IPsec原理
Goallegoal的博客
04-08 858
IPsec 应用场景 既可以在路由器、防火墙上部署,也可以配置专业的 VPN 网关产品。企业员工出差时,只要安装了客户端,就可以通过拨号访问公司的内网。 1、传统专线价格比较昂高; 2、IPsec VPN 基于加密线路传输; 3、部署非常方便,客户能够既上网又能与分支相互通信; 4、IPsec VPN 在企业网络/校园网络分支之间使用。 IPsec原理 IP security 是一套完整的加密系...
IPSec协议原理及IPSec VPN技术
最新发布
📚【自学笔记】技术探索进阶之路
05-01 1312
IP报文本身不集成任何安全特性,恶意用户很容易便可伪造IP报文的地址、修改报文的内容、重放IP数据包以及在传输过程中拦截并查看数据包内容,因此,传统IP层协议不能保证收到数据包的安全,IPSec正是用来解决IP层安全性问题的技术。AH(Authentication Header)协议。
ipsec工作原理
2401_83911225的博客
10-14 2030
在数字信封认证中,发送方首先随机产生一个对称密钥,使用接收方的公钥对此对称密钥进行加密(被公钥加密的对称密钥称为数字信封),发送方用对称密钥加密报文,同时用自己的私钥生成数字签名。与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。SA约定通信的IPSec对等体间的一些要素,例如:对等体间使用何种安全协议(AH或ESP)、对等体间传输的数据的封装模式、协议采用的加密算法、验证算法,以及用于数据安全转换和传输的密钥以及SA的生存周期等。
IPsec工作原理
weixin_34128501的博客
10-11 283
*ipsec体系结构 *ipsec安全协议 *ipsec加密算法 *ipsec密钥管理 *基于windows实现传输模式××× *基于windows实现隧道模式××× ipsec---在网络层对数据加密解密 优点 --密钥协商的开销被大大的消减了 --需要改动的应用程序很少 --很容易构建××× 缺点 --很难解决“抗抵赖”之类的...
IPSec 原理
爱意随风起,人生不可弃。
04-11 7055
虚拟专用网络(VPN,Virtual Private Network)就是在公共网络中建立的连接多个局域网的隧道,如通过配置两端的路由器,可以为两个局域网创建一条隧道,让两个局域网之间能够互相通信。通过加密和身份验证技术实现数据通信的安全,达到像专线一样的效果。 专用网络也叫专线业务,大多面向企业、政府及其其它要求带宽稳定、对服务质量要求较高的客户。可以通过数字数据网(DDN)、帧中继(FR)、数...
IPSec 原理简介
qq_23930765的博客
08-17 3049
一、 概述 IPSec是一项标准的安全技术,它通过在数据包中插入一个预定义头部的方式,来保障上层数据的安全。IPSec主要应用于IP网络层的安全保护。 IPSec技术提供了如下安全特性: 完整性:确保数据在传输中没有被第三方篡改; 源认证:认证数据发送源,确保合法源发送; 私密性:对数据进行加密,即使第三方能够捕获加密后的数据,也不能恢复。 另外IPSec头部有1个序列号片段,单调增长,用来标识一个数据包,从而抵御重放攻击,即第三方将截获的数据包复制,反复发送消耗接收方系统资源的手段。接收方
IPSec基本原理
热门推荐
曹世宏的博客
06-14 5万+
IPSec简介 为什么要实施? 实施的最大动机是省钱。 虚拟专用网络的分类: 虚拟专用网分类方法很多。 **站点到站点的虚拟专用网 ** ATM,Rrame Relay, GRE, MPLS 虚拟专用网 , **IPSec 虚拟专用网 **。 常用的是IPSec 虚拟专用网 。 远程拨号虚拟专用网 。 IPSec 虚拟专用网 , PPTP, L2TP + IPSec, **SSL 虚拟专用网 **。 常用的是SSL 虚拟专用网。 什么是IPSecIPSec(Internet Protocol
IPSec工作原理
weixin_33794672的博客
02-06 242
Author:残风 IPSec的目标 l为IPv6和IPv6提供具有较强的互操作能力 l高质量的基于密码的安全 l 在IP层实现多种安全服务,包括:访问控制,无连接完整性,数据源验证,抗重播,机密性和有限的业务流机密性 IPSec安全体系结构图 IPSec安全体系内容 验证头部AH: 为IP包提供数据完整性校验和身...
1. 全面讲解 IPSec 基本原理
weixin_38387929的博客
06-02 8877
转者注: 此篇转载 曹世宏 先生博文;本人在自己 IPSec 实践应用基础上,对此篇博文内容增加章节编号;在 封装协议章节中、删减两种抓包图片。 IPSec 通讯两端是互为 client 、server 的方式,双方对等加密和认证。 1. IPSec 概念简介 什么是IPSecIPSec(Internet Protocol Security)是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性
ipsec原理讲解
03-15
很翔实,讲的很不错,可以用来加深理解。。
ipsec基本原理
夜离人吖的博客
06-28 367
IPSec VPN
weixin_46719506的博客
09-27 1548
IPsec VPN采用IPsec协议来实现两个或多个网络之间的安全通信。它通过加密和封装技术,在公共网络上为私有网络之间建立安全的通信隧道,确保数据传输的机密性、完整性和认证性。功能:IPsec VPN提供了强大的安全保护机制,包括加密、认证和数据防篡改功能。它能够确保传输的数据在不被未授权用户窃取或篡改的同时,验证通信双方的身份,防止中间人攻击等安全威胁。
IPSEC---VPN
zhoutong2323的博客
03-04 6430
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
IPSEC VPN
2203_76138235的博客
07-25 1183
IPSec VPN是基于IPSec 协议处理的VPN技术,属于三层VPN,不支持组播,不支持路由协议。用于保障设备间连接的协议。IPsec有助于保持通过公共网络发送的数据安全。它通常用于建立VPN,其工作原理是对IP数据包进行加密,同时验证数据包的来源。IPSec提供的安全服务访问控制在IPSEC中可以抓取感兴趣流,即可以设定哪些流量需要进入到ipsec通道中,进行保密传输,哪些不需要进入通道机密性(Confidentiality):数据加密。不可否认性(Non-repudiation):数字签名。
ipsec VPN技术(基础篇二)
BUG_MeDe的博客
06-04 3704
双方响应IKE安全提议报文,同时在自己配置的ipsec 安全规则中寻找匹配的安全规则,主要匹配:加密算法、认证算法、身份认证方法、DH组标识,需要双方具有相同的匹配,才能协商成功。其中的数据是加密的。启用PFS后,在进行IPSec SA协商时会进行一次附加的DH交换,重新生成新的IPSec SA密钥,提高了IPSec SA的安全性。该ISAKMP协商使用的主模式,IKE SA协商双方发送了6个报文,后面的IPsec SA的协商使用的快速模式。:保护一个网络中的设备的安全,通常是两台网关设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不喜欢热闹的孩子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值