我们知道VPN相当于建立了一个基于互联网的虚拟私人通道,但是由于数据实际上是通过互联网进行传输的,所以VPN仍然无法为这些私人数据传输提供安全保障。最常用的保护机制是IPsec。 IPsec 是IP 安全协议的缩写。它不是单一协议,而是为IP 网络提供安全性的协议和服务的集合。
IPSec 是一个框架架构,由两类协议组成,具体来说:
AH协议(认证头,很少使用):可以同时提供数据完整性验证、数据源验证、防重放等安全功能,但没有加密功能。 ESP协议(Encapsulated Security Payload,应用广泛):可以同时提供数据完整性验证、数据加密、防重放等安全特性,并具有加密功能。这些部分可以使用不同的算法来实现。我们来看看IPsec主要涉及的一些协议和密码算法是如何解决信息安全问题的。这里详细解释了这些算法的原理和内容。如果您有兴趣,请研究一下加密。
1、将数据从明文加密为不可读的密文,保证数据隐私。
当加密和解密密钥相同时,称为对称加密。 IPsec 使用对称加密算法来加密数据,因为对称加密的工作速度更快。
有:
DES(Data Encryption Standard)是一种广泛使用的传统加密算法标准。 3DES 三重数据加密标准对应于在每个数据块上运行标准DES 加密算法三次。比DES 更安全。 AES(高级加密标准)是比DES 或3DES 更高级的安全机制。 2. 对数据进行哈希运算,产生类似于指纹的数据摘要,保证数据完整性。
有两种主要的哈希算法。
MD5: 将128 位共享安全密钥与可变长度消息相结合,输出128 位哈希值,该值附加到原始消息并发送到远程端。 SHA-1:使用160位共享安全密钥并将其与消息组合以输出160位哈希值。该哈希值被附加到原始消息并发送到远程端。 SHA-1 比MD5 更安全。对称加密和散列都要求通信双方拥有相同的密钥。那么如何在两方之间安全地传输密钥呢?
DH(Diffe-Hellman)算法:一种确保共享密钥能够安全地穿越不安全网络的方法。使用DH算法建立只有协商双方都知道的共享安全密钥。 3. 通过身份认证确保数据真实性,验证数据是否确实是特定对端发送的。
常用的身份认证方式:
预共享密钥:是指通信双方在设置时预先手动输入相同的密钥。除了IPSec的一些协议原理之外,我们还对制定计划所涉及的协议内容感兴趣。
利益流:IPSec是一种资源密集型保护措施。并非所有流量都需要IPSec 进行处理。最终协商的兴趣流是发起者和响应者指定的兴趣。例如,发起方指定兴趣流为192.168.1.0/2410.0.0.0/8,响应方指定兴趣流为10.0.0.0/8192.168.0.0/16,则交集为192.168.1.0/2410.0.0.0/Masu。 8. 这是最终将受到IPSec 保护的利益流。发起方:IPSec会话协商的触发方,通常由指定的兴趣流触发。响应者:IPSec 会话协商的接收者。响应方可以指定是否指定利息流(完全由发起方指定)。发起方和响应方协商的内容主要包括双方的身份验证和密钥种子刷新周期、AH/ESP如何组合以及各自使用哪些算法、兴趣流和封装方式等。 SA(Security Assocaition)安全关联:发起者和响应者协商的结果是SA。专门执行协商任务的协议称为互联网密钥交换协议(IKE)。为了说明IPSec的协商过程,我们以最常见的IPSec隧道模式为例。
发起方定义的兴趣流为源192.168.1.0/24,目的10.0.0.0/8,这样就可以匹配发起方内网PC到响应方内网PC的接口上发送的数据包。如果满足兴趣流条件并且转发接口上的SA不存在、过期或不可用,则发生协商。否则,使用当前的SA来处理数据包。谈判过程通常分为两个阶段。第一阶段发生在第二阶段,第二阶段实际上对应的是利润流。第一阶段的主要不同在于谈判的重点。主要目的是对建立IPSec的双方进行身份验证,以便只有合法的对等方才能建立IPSec VPN。协商的结果是IKE SA。第二阶段创建特定于兴趣流的安全套件。最重要的结果是兴趣流在第二阶段的会话内被加密。第二阶段的主要目的是协商策略以保护需要加密的实际流量(感兴趣的流)。协商的结果是IPSec SA。 让我们快速浏览一下这个过程。 IKE 协商过程类似于两个公司之间的业务流程。在具体合作之前,两家公司需要有相互了解。最简单的方法就是查看对方公司的工商执照、公司经营情况和信誉情况。目的是相互认证,建立基本的信任关系。这个过程实际上是IKE第一阶段必须完成的任务。该阶段完成后,就会建立信任关系并建立相应的IKE SA。接下来的主要任务是根据具体项目签订合同。对于IPSec VPN,具体项目是保护通信点之间的流量,处理这些流量的具体策略(IPSec SA)就是合同。 IKE第二阶段的任务是根据需要加密的流量协商出相应的IPSec SA。一旦双方在第一阶段建立信任,就无需再次进行身份验证。双方面临的挑战是对两个站点之间需要基于第一阶段建立的IKE SA 进行加密的大部分流量实施不同的第二阶段策略(IPSec SA)。
有关IPsec VPN 的信息太多,仍然难以理解。稍后我们将讨论IPsec在两种VPN模式中的应用:站点到站点访问和远程访问。请大家注意啦~
原创文章,作者:小条,如若转载,请注明出处:https://www.sudun.com/ask/83298.html