文章目录
VPN
vpn—virtual private network
分类
业务:
client to LAN(access vpn)
LAN TO LAN(site to site)
网络层次划分
应用层 SSL VPN等
传输层 Sangfor VPN
网络层 IPSec GRE等
网络接口层 L2F/L2TP PPTP等
VPN的常用技术
隧道技术
加解密技术
数据认证技术 什么是数据认证?
身份认证技术 什么是身份认证?
密钥管理传输技术
隧道技术
封装技术来实现
1.私有网络之间的通信
2.异种网络的通信
隧道技术的比较
IPSEC VPN
ipsec是一种基于网络层,应用密码学的安全通信协议族。目的是在网络环境ipv4,ipv6提供灵活的安全传输服务
ipsec vpn基于ipsec构建在ip层实现的安全虚拟专用网。
IPSec 的安全服务
机密性
完整性
数据源鉴别
重传保护
不可否认行
IPSec的技术协议族架构
ipsec有两个安全封装协议
ESP
加密算法
鉴别算法
机密性 完整性 可用性
AH
鉴别算法
完整性 可用性
密钥管理与分发协议
IKE internet key exchange
架构
IKE
协商封装协议以及工作模式 esp ah
协商加密和鉴别算法
密钥参数的协商——密钥产生算法,密钥有效期,密钥分发者身份认证,密钥长度,认证算法
两种工作模式
传输模式
隧道模式
两个通信协议
ESP encapsulation security header 封装安全载荷
AH authenticition header 鉴别头
密钥管理协议
IKE
阶段1
主模式
野蛮模式
阶段2
快速模式
两个数据库
安全策略数据库 SPD
安全管理数据库 SAD
解释域
负责运行
传输模式
使用场景
主机之间端到端安全通信
通信网问题已经解决,需要ipsec解决安全问题
封装结构
隧道模式
使用场景
私网之间的安全通信
通信问题和安全问题都需要解决
封装结构
如果遇到既有安全也有通信问题的场景
用ipsec的隧道模式
用其他隧道协议+ipsec的传输模式
AH
authenticition header鉴别头 协议号51
安全服务
数据源认证——通过计算验证码时加入一个共享密钥来实现,和ospf的认证类似。
数据抗重放——AH包头中的序列号
数据完整性——hash算法,校验hash值来实现
没有机密性,没有使用加密算法
传输模式
隧道模式
AH头部结构
做认证时对于易变值是不做认证的,IP包中TTL和TOS是不参与认证的
ESP
协议号50
安全服务
数据完整性
数据源认证
数据抗重放
数据机密性
数据流保护
传输模式
隧道模式
ESP头部结构
安全联盟
SA——security association 是通信对等体之间对某些要素的约定,通信的双方符合SA约定的内容,就可以建立SA
SA标识:安全参数索引 目的IP地址 安全协议号
有了SA之后对等体就可以进行安全通信了,SA怎末建立?
静态
动态
IKE
建立安全联盟有两种,一种是静态,一种是动态。如果需要建立安全联盟的节点较多时静态手工配置将会非常困难,也容易出错,并且安全低。可以使用动态的方式进行协商来解决,IKE internet key exchange自动协商安全联盟建立密钥交换过程。
IKE用途
为ipsec通信双方,动态的建立安全联盟SA,对SA进行管理与维护
为ipsec生成密钥,提供AH/ESP加解密和验证使用
两个阶段
第一阶段:IKE SA 对等体之间的身份认证,IPSEC之间的密钥生成和交换
第二阶段:IPSEC SA
IKE工作过程
IKE经过两个阶段为ipsec进行密钥协商并建立安全联盟:
第一个阶段
通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道,交换建立一个iskmp安全联盟,iskmp sa
主模式
野蛮模式
第二个阶段
用已经建立的安全联盟iskmp sa(ike sa)的安全通道为ipsec协商安全服务,建立ipsec sa,产生用于业务数据加密的密钥
IKE SA
主模式
六个包交互,默认使用IP地址作为身份标识,默认传递自己的接口地址作为身份标识,对方的公网地址作为对端身份标识去检查。
安全提议:加密算法,hash算法,身份认证方式,密钥交换算法,密钥有效期
野蛮模式
IPSEC SA
快速模式