安基網 首頁 安全 安全學院 查看內容

IPsec VPN工作原理詳解

2019-10-18 07:59| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 我們知道VPN相當于是基于Internet上建立了一個虛擬的專用通道,和物理專線還是不一樣,數據其實還是通過Internet在傳輸的,那這樣還是不能夠保證這些私有的數據傳輸安全,所以VPN是需要有一個保護機制的,最常用的就是IPsec,IPsec是IP security的縮寫,即IP安全協議。它不是一個單獨的協議,而是一系 ...

我們知道VPN相當于是基于Internet上建立了一個虛擬的專用通道,和物理專線還是不一樣,數據其實還是通過Internet在傳輸的,那這樣還是不能夠保證這些私有的數據傳輸安全,所以VPN是需要有一個保護機制的,最常用的就是IPsec,IPsec是IP security的縮寫,即IP安全協議。它不是一個單獨的協議,而是一系列為IP網絡提供安全性的協議和服務的集合。

IPSec是一個框架性架構,具體由兩類協議組成:

  • AH協議(Authentication Header,使用較少):可以同時提供數據完整性確認、數據來源確認、防重放等安全特性,不具備加密功能。
  • ESP協議(Encapsulated Security Payload,使用較廣):可以同時提供數據完整性確認、數據加密、防重放等安全特性,具備加密功能。

這些部分都可以采用多種算法來實現。我們來看一下IPsec主要涉及到的一些協議和密碼算法是怎么來滿足信息安全性的。關于這些算法的原理內容這里就細說了,有興趣可以去看一看密碼學。

1. 通過加密把數據從明文變成無法讀懂的密文,從而確保數據的私密性。

如果加密密鑰與解密密鑰是相同的稱為對稱加密,由于對稱加密的運算速度比較快,所以IPsec使用對稱加密算法來加密數據。

主要有:

  • DES(Data Encryption Standard)數據加密標準,是一種應用比較廣泛的傳統加密算法標準。
  • 3DES三重數據加密標準,相當于是對每個數據塊執行三次標準的DES加密算法。比DES更加安全。
  • AES(Advanced Encryption Standard)高級加密標準,它的安全性機制高于DES,3DES。

2、通過對數據進行hash運算,產生類似于指紋的數據摘要,以保證數據的完整性。

主要是兩種hash算法:

  • MD5:使用128位共享安全秘鑰和變長消息組合在一起運行輸出一個128位的哈希值,該值被附加在原始消息的后面發往遠端。
  • SHA-1:使用160位共享安全密鑰和變成消息組合一起運行輸出160位哈希值,該值被附加在原始消息的后面發往遠端。SHA-1安全性高于MD5。

對稱加密和hash都是要求通信雙方具有相同的密鑰,那怎么在雙方之間安全地傳遞密鑰呢?

  • DH(Diffe-Hellman)算法:一種確保共享密鑰安全穿越不安全網絡的方法。使用DH算法建立只有協商兩端才知道的一個共享安全密鑰。

3、通過身份認證保證數據的真實性,確定數據確實是由特定的對端發出的。

常用的身份認證方式:

  • Pre-shared key預共享密鑰:指通信雙方在配置時預先手工輸入相同的密鑰。

IPSec除了一些協議原理外,我們更關注的是協議中涉及到方案制定的內容:

  • 興趣流:IPSec是需要消耗資源的保護措施,并非所有流量都需要IPSec進行處理,而需要IPSec進行保護的流量就稱為興趣流,最后協商出來的興趣流是由發起方和響應方所指定興趣流的交集,如發起方指定興趣流為192.168.1.0/24<>10.0.0.0/8,而響應方的興趣流為10.0.0.0/8<>192.168.0.0/16,那么其交集是192.168.1.0/24<>10.0.0.0/8,這就是最后會被IPSec所保護的興趣流。
  • 發起方:IPSec會話協商的觸發方,IPSec會話通常是由指定興趣流觸發協商。
  • 響應方: IPSec會話協商的接收方,響應方是被動協商,響應方可以指定興趣流,也可以不指定(完全由發起方指定)。
  • 發起方和響應方協商的內容主要包括:雙方身份的確認和密鑰種子刷新周期、AH/ESP的組合方式及各自使用的算法,還包括興趣流、封裝模式等。
  • SA(Security Assocaition)安全關聯:發起方、響應方協商的結果就是SA。

具體執行協商任務的協議叫做互聯網密鑰交換協議IKE(Internet Key Exchange)。我們以最常見的IPSec隧道模式為例,解釋一下IPSec的協商過程:

  1. 發起方定義的興趣流是源192.168.1.0/24目的10.0.0.0/8,所以在接口發送發起方內網PC發給響應方內網PC的數據包,能夠得以匹配。
  2. 滿足興趣流條件,在轉發接口上檢查SA不存在、過期或不可用,都會進行協商,否則使用當前SA對數據包進行處理。
  3. 協商的過程通常分為兩個階段,第一階段是為第二階段服務,第二階段是真正的為興趣流服務的SA,兩個階段協商的側重有所不同,第一階段主要確認雙方身份的正確性,主要目的就是對建立IPSec的雙方進行認證,以確保只有合法的對等體(peer)才能建立IPSec VPN。協商得到的結果就是IKE SA。第二階段則是為興趣流創建一個指定的安全套件,其最顯著的結果就是第二階段中的興趣流在會話中是密文。第二階段的主要目的就是根據需要加密的實際流量(感興趣流),來協商保護這些流量的策略。協商的結果就是IPSec SA。

我們對這一過程做一個簡單的比喻:IKE協商過程就像兩個公司做生意過程。兩個公司在具體合作之前需要相互了解,最簡單的方法可能就是核查對方公司的工商牌照、公司營業和信譽狀況。目的就是相互進行認證,建立基本的信任關系。這個過程其實就是IKE第一個階段需要完成的任務。一個階段完成后,信任關系建立了,相應的IKE SA也就建立了。緊接著的主要任務就是基于具體的項目來簽訂合同。對于IPSec VPN而言,具體的項目就是安全保護通信點之間的流量,具體處理這些流量的策略(IPSec SA)就是合同。IKE第二階段的任務就是基于需要被加密的流量協商相應的IPSec SA。一旦雙方在第一階段建立起了信任關系,他們就沒有必要重復進行認證了。接下來,雙方的議題就是根據第一階段建立的IKE SA,給兩個站點之間的很多需要被加密的流量協商不同的第二階段策略(IPSec SA)。

可以說IPsec VPN內容還是比較多的,而且還比較難理解,后面會有具體的配置案列說明,IPsec在兩種VPN模式站點到站點和遠程訪問下的應用,歡迎大家關注哈~



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6748679531969643011/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧