标签:专用网 IP SAD 计网 SA vpn 数据 IPsec
目录
虚拟专用网(VPN)
专用网(PN)
虚拟专用网(VPN)
本身总部网络是一个专用网络,外部不能连接,为了让远程客户、合作伙伴、分支机构成为专用网络中的一部分,通过总部的边缘路由器 用internet相连。
即在公共网络上,实现专用网络!
VPN的功能
- 数据机密性保护,数据实际在公网传输,不能被专用网以外的人获取
- 数据完整性认证
- 数据源身份认证,数据是否来自专用网内的用户
- 防重放攻击
- 访问控制,哪些用户可以接入vpn专用网
IP安全(IPsec)
传输模式
IPsec的传输(transport)模式.IPSEC包有主机构建和解析
IPsec的隧道(tunneling)模式。主机和路由器间的ip包是普通ip包,ipsec由路由器构建及解析。
适用于vpn
两个IPsec协议
安全关联(SA)
安全关联SA,可以认为是 网络层的连接,就像tcp连接,但是位于网络层。且是单工,如果要双工,就必须建立两个SA。
什么是面向连接?如tcp,就是两端要维护关于连接状态 的信息。IPsec是面向连接
安全关联主要参数:
- 安全参数索引(SPI):32位SA唯一标识(ID)
- 加密密钥、认证密钥
- 密码算法标识
- 序列号(32位) • 抗重放攻击
- 抗重播窗口 • 接收方使用滑动窗口检测恶意主机重放数据报
- 生存周期 • 规定SA的有效使用周期
- 运行模式:传输模式或隧道模式
- IPSec隧道源、目的地址
下图例子:要加密记录加密算法、用到的秘钥,要验证完整性记录校验方法
- IPsec端点将SA状态保存在安全关联数据库SAD (security association database)中
- 在处理IPsec数据报时,定位这些信息 对于n个销售人员,1个分支机构的VPN,总部的 路由器R1的SAD中存储2 + 2n条SAs。 2是分支机构与总部双工,所以是两个SA连接。2n是n个销售人员和总部双工,所以2n个连接
- 当发送IPsec数据报时,R1访问SAD,确定如何 处理数据报
- 当IPsec数据报到达R2 ,R2检验IPsec数据报中的SPI , 利用SPI检索SAD ,处理数据报
R1访问SAD,确定如何 处理数据报:
- 先通过选择符搜索SPD,找匹配的SP
- 再找SP指向的SA
IPsec数据报
ESP认证,用MAC认证,如MD5
传输
隧道
数据报处理过程
看一下最常用的 隧道ESP过程。以下图为例,总部向分支机构发送 IPsec包
R1: 将原IP数据报转换为IPsec数据报
- 检索SPD,确定处理策略
- 检索SAD,确定SA
- 在原IP数据报(包括原IP首部域!)后面附加“ESP尾部”.
- 利用SA定义的算法与密钥,加密上述结果.
- 在加密结果前面附加“ESP头”,创建“enchilada”.
- 针对整个enchilada,利用SA定义的算法与密钥,创建报 文认证码MAC;
- 在enchilada后面附加MAC,构成载荷(新IP数据报载荷);
- 构造全新的IP头,包含所有经典的IPv4首部字段;
- 将新IP头附加在载荷的前面
R2: 解封IPsec数据报
- 从原始IP数据报中提取选择符,并搜索SPD,确 定处理策略 。丢弃或转入系统IP协议栈进行后继处理
- 判断是否为IPsec数据报
- 从头部提取,并检索SAD
- 若找不到SA,则触发IKE或丢弃包;
- 若找到,则根据SA解封数据报,得到原始IP数据报
SA的建立和密钥管理
标签:专用网,IP,SAD,计网,SA,vpn,数据,IPsec 来源: https://blog.csdn.net/u014203449/article/details/118393931
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。