IPsec vpn
2021-05-19 22:57:23 8 举报AI智能生成
IPsec VPN技术详解。码字不易,拒绝白嫖!
作者其他创作
大纲/内容
概述:IPsec vpn是一种综合的密码协议,实际为一套协议集合,IPsec 工作在网络层,它为网络层上的数据提供一整套的安全体系结构,包括IKE协议、认证头(AH)协议、封装安全载荷(ESP)协议和用于网络身份鉴别及加密的一些算法。支持采用多种密码技术为通信交互中的数据提供全面安全保护,包括数据保密性、完整性校验、数据源身份鉴别和抗重放攻击等。
应用场景
企业分支可以通过IPsec VPN接入到企业总部网络
加密的实现层次
IPsec架构
IPsec 体系结构模型图
AH
AH的功能:数据源认证和数据完整性保护和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。
AH的工作原理:是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。可选择的认证算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)、SM3等。
ESP
ESP的功能:提供加密、数据源认证、数据完整性校验和防报文重放功能
ESP的工作原理:是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。常见的加密算法有DES、3DES、AES、SM1、SM4等。同时,作为可选项,用户可以选择SM3、MD5、SHA-1算法保证报文的完整性和真实性。
IKE:IKE为IPsec提供了自动协商交换密钥、建立SA的服务,能够简化IPsec的使用和管理,大大简化IPsec的配置和维护工作。
工作流程
SA(security association):是两个通信实体经协商建立起来地一种协议,它们决定了用来保护数据包安全地IPsec协议,转码方式,密钥,以及密钥地有效存在时间等等
IKE(isakmp)SA:协商对IKE数据流进行加密以及对对等体进行验证地算法(对密钥地加密和peer地认证)对等体之间只能存在一个
整个IPSec VPN地实现基本简化为两个SA协商完成
第一阶段:建立ISAKMP SA协商的是以下信息
1、对等体之间采用何种方式做认证,是预共享密钥还是数字证书。
2、双方使用哪种加密算法(DES、3DES)
3、双方使用哪种HMAC方式,是MD5还是SHA
4、双方使用哪种Diffie-Hellman密钥组
5、使用哪种协商模式(主模式或主动模式)
6、协商SA的生存期
第二阶段:建立IPsec SA协商的是以下信息
1、双方使用哪种封装技术,AH还是ESP
2、双方使用哪种加密算法
3、双方使用哪种HMAC方式,是MD5还是SHA
4、使用哪种传输模式,是隧道模式还是传输模式
5、协商SA的生存期
工作模式
传输模式(Transport Mode)
在传输模式下,AH或ESP报头和传输层报头之间。上图表示AH和ESP协议的作用部位,以及实际应用中两者结合使用。
隧道模式(Tunnel Mode)
在隧道模式下,IPsec 会另外生成一个新的IP头,并封装在AH或ESP之前
安全性基本要求
机密性:防止数据被未获得授权的查看者理解 ,通过加密算法实现
完整性:防止数据在存储和传输的过程中受到非法的篡改 ,使用单向散列函数
身份验证:判断一份数据是否源于正确的创建者 ,单向散列函数、数字签名和公开密钥加密
0 条评论
下一页
