IPsec VPN
一、IPSEC协议簇安全框架
1、概念
(1)IPSec是一组基于网络层的,应用密码学的安全通信协议簇。IPSec不是具体指哪个协议,而是开放的协议簇。
(2)设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务
(3)IPSec VPN:
是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用户保护TCP、UDP、ICMP和隧道的IP数据包。
(4)用到的加密算法
对称加密 非对称加密 hash hmac 证书 dh
2、提供的安全服务
访问控制有限的流量保密等其他安全服务
(1)不可否认性
(2)重传攻击保护
(3)数据源鉴别
(4)完整性
(5)机密性
3、IPSEC协议簇安全框架
4、IPSec协议簇
二、IPSEC工作模式
1、传输模式
主要应用场景:经常用户主机和主机之间端到端通信的数据保护
封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成保护的数据。
2、隧道模式
主要场景:经常用于私网与私网之间通过公网进行通信,建立安全VPN通道。
封装方式:增加新的IP(外网IP)头,其后是ipsec包头,之后再将原来的整个数据包封装。
三、IPSEC通信协议
1、AH(认证报头)协议
(1)AH提供的安全服务
1)无连接数据完整性
通过哈希函数(如MD5、SHA1)产生的校验来保证。
2)数据源认证
通过在计算验证吗时加入一个共享密钥来实现
3)AH报头中的序列号可以防止重放攻击
(2)AH不提供任何保密性服务(它不加密所保护的数据包)
不论时传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTL和TOS字段)
2、ESP(封装安全有效载荷)协议
(1)提供的安全服务
1)无连接数据完整性
ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。
2)数据源认证
3)抗重放服务
4)数据保护
保密服务通过使用密码算法加密 IP 数据包的相关部分来实现
5)有限的数据流保护
数据流保密由隧道模式下的保密服务提供。
3、AH和ESP对比
四、IPSEC建立阶段
安全联盟SA:
定义:SA是通信对等体间对某些要素的约定,通信的双方符合SA约定的内容,就可以建立SA。
三元组:安全参数索引、目的IP地址、安全协议号
1、IKE协商阶段
(1)产生的背景
1)用IPSec保护一个IP包之前,必须先建立安全联盟(SA)
2)IPsec的安全联盟可以通过手工配置的方式建立。但是当网络中节点较多时,手工配置将非常困难,而且难以保证安全性。这时就可以使用IKE(Internet密钥交换)自动进行安全联盟建立与密钥交换的过程。IKE就用于动态建立SA,代表IPSec对SA进行协商
(2)工作过程
IKE经过两个阶段为IPSec进行密钥协商并建立安全联盟
1) 通信各方彼此之间建立了一个已通过身份验证和安全性保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,,即IKE SA。两种协商模式为:主模式协商和野蛮模式协商
2)用已经建立的安全联盟为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,产生真正可以用来加密数据流的密钥,IPSec SA用于最终的IP数据安全传送。
2、数据传输阶段
数据传输阶段是通过AH或者ESP通信协议进行数据的传输。建立在网络层。
2093
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
