IPSec:Internet Protocol Security
• 源于IPv6
• IETF制定的一套安全保密性能框架
• 建立在网络层的安全保障机制
• 引入多种加密算法、验证算法和密钥管理机制
• 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点
• IPSec VPN是利用IPSec隧道建立的VPN技术
IPSec核心功能:
| 术语 | 备注 |
|---|---|
| 机密性 | 对数据进行加密,确保数据在传输过程中不被其它人员查看 |
| 完整性 | 对接收到数据包进行完整性验证以确保数据在传输过程中没有被篡改 |
| 真实性 | 验证数据源,以保证数据来自真实的发送者(IP报文头内的源地址) |
| 抗重放 | 防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包 |
IPSec技术框架:
• DES和3DES加密算法存在安全隐患,建议优先使用AES、SM1或SM4算法。
• MD5和SHA-1验证算法存在安全隐患,建议优先使用SHA-2或SM3算法。
IPSec核心协议:
IPSec封装模式:
IPSec工作流程中的专业术语:
| 术语 | 备注 |
|---|---|
| Negotiate | 协商,两个节点要开始安全发送数据之前,必须完成的事情。 |
| SA | Security Association,安全联盟,协商的结果,类似合约书。 |
| SPI | Security Parameter Index,安全参数索引,SA内包含,用于区分多个SA。 |
| IKE | Internet Key Exchange,因特网密钥交换,SA协商的方法和标准。 |
• 安全联盟建立方式:手工方式和IKE自动协商方式。二者的主要区别为:
• 密钥生成方式不同
• 手工方式下,建立SA所需的全部参数,包括加密、验证密钥,都需要用户
手工配置,也只能手工刷新,在中大型网络中,这种方式的密钥管理成本很高;
• IKE方式下,建立SA需要的加密、验证密钥是通过DH算法生成的,可以动
态刷新,因而密钥管理成本低,且安全性较高。
• 生存周期不同
• 手工方式建立的SA,一经建立永久存在;
• IKE方式建立的SA,其生存周期由双方配置的生存周期参数控制
• 因此,手工方式适用于对等体设备数量较少时,或是在小型网络中。对于中大型网
络,推荐使用IKE自动协商建立SA。
IKE协商阶段:
| 阶段 | 备注 |
|---|---|
| 阶段1 Phase 1 | 在网络上建立一个 IKE SA,为阶段2协商提供保护 分主模式(Main Mode)和野蛮模式(Aggressive Mode) |
| 阶段2 Phase 2 | 在阶段1建立的IKE SA的保护下完成 IPSec SA 的协商 快速模式(Quick Mode) |
IPSec VPN配置:
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
