IPsec虚拟专用网的关键技术
隧道技术数据加密认证密钥管理访问控制网络管理隧道技术
构建虚拟专用网的核心技术隧道:通过互联网提供安全的点到点或端到端数据传输的“安全信道”基本上封装虚拟专用网隧道这是封装通过隧道传输的数据,安全地跨越公共网络(通常是互联网)进行加密和验证,以确保安全数据包进入隧道的时候。 在虚拟专用网上封装的IP数据报在internet上通过隧道安全传输后解封装,不再受常见的虚拟专用网隧道协议的保护。
第2层隧道: PPTP、L2TP主要用于远程客户端接入局域网第3层隧道。 IPSec主要从网关到网关,或者从网关到主机方式不支持典型的远程拨号接入虚拟专用网实现技术
IPSec :最安全、适用范围最广的SSL :具有高层安全协议的优势L2TP :实现远程访问虚拟专用网的最佳技术典型虚拟专用网技术组合: IPSec和SSL
IPsec服务
机密性(confidentiality )数据完整性(data integrity )源认证/身份验证(origin authentication )预防重放攻击)不同的服务
传输模式IPsec数据报的收发由终端系统进行,主机为支持IPsec的" IPsec-ware "隧道" tunneling "模式吉鲁为支持IPsec的" IPsec-ware "两个iiii
提供IPsec服务的两个协议为: AH,IP数据消息报头的协议号为51ESP,IP数据消息报头的协议号由50个验证报头协议ah (授权报头)进行排序不提供机密性封装安全协议的加密安全协议(esp )是四种IPsec模式和协议的组合,具有比ah APP应用更广泛的源验证/验证、数据完整性检查和机密性
传输模式AH
传输模式ESP
隧道模式AH
隧道模式ESP (最普遍、最重要) ) )。
ESP结尾:输入以应用组密码所有组合的所有核心属性
认证字段,基于共享的秘密MAC密钥
SPI,接收实体基于此知道应该做什么
序列号,抵御重放攻击
在新的SA的情况下,发送侧的初始化序列号为0,在每次通过SA发送数据报:时,发送侧增加序列号计数器(1),并将计数器值设置为序列号字段的目的。 预防嗅探和再生分组攻击的接收重复的经认证的IP分组有损于通常的服务方法。 接收端为了检查分组的重复,不需要记录所有的接收分组。 是用窗口总结的
IPsec的传输模式
IPsec的隧道模式
安全相关安全相关(SA ) )。
在发射数据之前,面对着需要在发射实体与接收实体之间建立安全关联的安全关联(sa )SA是单工的: 单向发射实体和接收实体确认sa的状态信息IPsec是面向连接的! 与安全相关的主要参数:
安全参数索引(SPI ) 32位SA唯一标识符(ID )加密密钥、 认证密钥加密算法标识符序列号) 32位)抗重放攻击重放窗口)接收方使用滑动窗口检测恶意主机重放数据报的生存期)规定SA有效使用期限的运行模式)传输模式
SP )安全策略(SPD )是一种称为“选择器”的结构,包括目标IP、源IP、传输层协议、源和源,其中SP是重要的信息
IPsec端点将SA的状态存储在安全相关数据库(sad )中,并处理IPsec数据报。 这些信息发送IPsec数据报,其中包含n个销售代表、一个分支机构虚拟专用网和总部路由器R1的sad上的2n个SAs。 访问r1SAD,确定如何处理数据报当IPsec数据报到达R2 R2时,IPsec数据报中的SPI使用SPI获取sad处理数据报过程隧道模式ESP
R1:将原始IP数据报转换为IPsec数据报
搜索SPD,确定处理策略,搜索SAD,确定SA是否包含原始IP数据报(包括原始IP报头域! 后加“ESP末尾”。 利用SA定义的算法和密钥对上述结果进行加密。 在加密结果之前附加“ESP头部”,制作“加密”。 对于整个enchilada,利用SA定义的算法和密钥,制作消息认证码MAC; 在enchilada之后添加MAC以配置载荷(新IP数据报载荷); 构建包括所有经典IPv4报头字段的新IP报头; 将新的IP标头附加在载荷之前。 R2:开封IPsec
从原始IP数据报中提取选择器,搜索SPD,确定处理策略是否被丢弃,或者转发到系统IP协议栈以供IPsec数据报是否从报头中提取SPI进行后续处理,然后搜索SAD由SA找到如果找到,SA将打开数据报,并获取原始IP数据报