新聞資訊  快訊  焦點  財經  政策  社會
互 聯 網   電商  金融  數據  計算  技巧
生活百科  科技  職場  健康  法律  汽車
手機百科  知識  軟件  修理  測評  微信
軟件技術  應用  系統  圖像  視頻  經驗
硬件技術  知識  技術  測評  選購  維修
網絡技術  硬件  軟件  設置  安全  技術
程序開發  語言  移動  數據  開源  百科
安全防護  資訊  黑客  木馬  病毒  移動
站長技術  搜索  SEO  推廣  媒體  移動
財經百科  股票  知識  理財  財務  金融
教育考試  育兒  小學  高考  考研  留學
您當前的位置:首頁 > 互聯網百科 > 百科

IPSec VPN基本原理

時間:2019-06-06 12:51:11  來源:  作者:

Ipsec VPN是目前VPN技術中點擊率非常高的一種技術,同時提供VPN和信息加密兩項技術,這一期專欄就來介紹一下IPSec VPN的原理。

IPSec VPN應用場景

 

技術點詳解---IPSec VPN基本原理

 

 

IPSec VPN的應用場景分為3種:

1. Site-to-Site(站點到站點或者網關到網關):如彎曲評論的3個機構分布在互聯網的3個不同的地方,各使用一個商務領航網關相互建立VPN隧道,企業內網(若干PC)之間的數據通過這些網關建立的IPSec隧道實現安全互聯。

2. End-to-End(端到端或者PC到PC): 兩個PC之間的通信由兩個PC之間的IPSec會話保護,而不是網關。

3. End-to-Site(端到站點或者PC到網關):兩個PC之間的通信由網關和異地PC之間的IPSec進行保護。

VPN只是IPSec的一種應用方式,IPSec其實是IP Security的簡稱,它的目的是為IP提供高安全性特性,VPN則是在實現這種安全特性的方式下產生的解決方案。IPSec是一個框架性架構,具體由兩類協議組成:

1. AH協議(Authentication Header,使用較少):可以同時提供數據完整性確認、數據來源確認、防重放等安全特性;AH常用摘要算法(單向Hash函數)MD5和SHA1實現該特性。

2. ESP協議(Encapsulated Security Payload,使用較廣):可以同時提供數據完整性確認、數據加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法實現數據加密,使用MD5或SHA1來實現數據完整性。

為何AH使用較少呢?因為AH無法提供數據加密,所有數據在傳輸時以明文傳輸,而ESP提供數據加密;其次AH因為提供數據來源確認(源IP地址一旦改變,AH校驗失敗),所以無法穿越NAT。當然,IPSec在極端的情況下可以同時使用AH和ESP實現最完整的安全特性,但是此種方案極其少見。

IPSec封裝模式

介紹完IPSec VPN的場景和IPSec協議組成,再來看一下IPSec提供的兩種封裝模式(傳輸Transport模式和隧道Tunnel模式)

 

技術點詳解---IPSec VPN基本原理

 

 

上圖是傳輸模式的封裝結構,再來對比一下隧道模式:

 

技術點詳解---IPSec VPN基本原理

 

 

可以發現傳輸模式和隧道模式的區別:

1. 傳輸模式在AH、ESP處理前后IP頭部保持不變,主要用于End-to-End的應用場景。

2. 隧道模式則在AH、ESP處理之后再封裝了一個外網IP頭,主要用于Site-to-Site的應用場景。

從上圖我們還可以驗證上一節所介紹AH和ESP的差別。下圖是對傳輸模式、隧道模式適用于何種場景的說明。

 

技術點詳解---IPSec VPN基本原理

 

 

從這張圖的對比可以看出:

1. 隧道模式可以適用于任何場景

2. 傳輸模式只能適合PC到PC的場景

隧道模式雖然可以適用于任何場景,但是隧道模式需要多一層IP頭(通常為20字節長度)開銷,所以在PC到PC的場景,建議還是使用傳輸模式。

為了使大家有個更直觀的了解,我們看看下圖,分析一下為何在Site-to-Site場景中只能使用隧道模式:

 

技術點詳解---IPSec VPN基本原理

 

 

如上圖所示,如果發起方內網PC發往響應方內網PC的流量滿足網關的興趣流匹配條件,發起方使用傳輸模式進行封裝:

1. IPSec會話建立在發起方、響應方兩個網關之間。

2. 由于使用傳輸模式,所以IP頭部并不會有任何變化,IP源地址是192.168.1.2,目的地址是10.1.1.2。

3. 這個數據包發到互聯網后,其命運注定是杯具的,為什么這么講,就因為其目的地址是10.1.1.2嗎?這并不是根源,根源在于互聯網并不會維護企業網絡的路由,所以丟棄的可能性很大。

4. 即使數據包沒有在互聯網中丟棄,并且幸運地抵達了響應方網關,那么我們指望響應方網關進行解密工作嗎?憑什么,的確沒什么好的憑據,數據包的目的地址是內網PC的10.1.1.2,所以直接轉發了事。

5. 最杯具的是響應方內網PC收到數據包了,因為沒有參與IPSec會話的協商會議,沒有對應的SA,這個數據包無法解密,而被丟棄。

我們利用這個反證法,巧妙地解釋了在Site-to-Site情況下不能使用傳輸模式的原因。并且提出了使用傳輸模式的充要條件:興趣流必須完全在發起方、響應方IP地址范圍內的流量。比如在圖中,發起方IP地址為6.24.1.2,響應方IP地址為2.17.1.2,那么興趣流可以是源6.24.1.2/32、目的是2.17.1.2/32,協議可以是任意的,倘若數據包的源、目的IP地址稍有不同,對不起,請使用隧道模式。

IPSec協商

 

技術點詳解---IPSec VPN基本原理

 

 

IPSec除了一些協議原理外,我們更關注的是協議中涉及到方案制定的內容:

1. 興趣流:IPSec是需要消耗資源的保護措施,并非所有流量都需要IPSec進行處理,而需要IPSec進行保護的流量就稱為興趣流,最后協商出來的興趣流是由發起方和響應方所指定興趣流的交集,如發起方指定興趣流為192.168.1.0/24à10.0.0.0/8,而響應方的興趣流為10.0.0.0/8à192.168.0.0/16,那么其交集是192.168.1.0/24ßà10.0.0.0/8,這就是最后會被IPSec所保護的興趣流。

2. 發起方:Initiator,IPSec會話協商的觸發方,IPSec會話通常是由指定興趣流觸發協商,觸發的過程通常是將數據包中的源、目的地址、協議以及源、目的端口號與提前指定的IPSec興趣流匹配模板如ACL進行匹配,如果匹配成功則屬于指定興趣流。指定興趣流只是用于觸發協商,至于是否會被IPSec保護要看是否匹配協商興趣流,但是在通常實施方案過程中,通常會設計成發起方指定興趣流屬于協商興趣流。

3. 響應方:Responder,IPSec會話協商的接收方,響應方是被動協商,響應方可以指定興趣流,也可以不指定(完全由發起方指定)。

4. 發起方和響應方協商的內容主要包括:雙方身份的確認和密鑰種子刷新周期、AH/ESP的組合方式及各自使用的算法,還包括興趣流、封裝模式等。

5. SA:發起方、響應方協商的結果就是曝光率很高的SA,SA通常是包括密鑰及密鑰生存期、算法、封裝模式、發起方、響應方地址、興趣流等內容。

我們以最常見的IPSec隧道模式為例,解釋一下IPSec的協商過程:

 

技術點詳解---IPSec VPN基本原理

 

 

上圖描述了由興趣流觸發的IPSec協商流程,原生IPSec并無身份確認等協商過程,在方案上存在諸多缺陷,如無法支持發起方地址動態變化情況下的身份確認、密鑰動態更新等。伴隨IPSec出現的IKE(Internet Key Exchange)協議專門用來彌補這些不足:

1. 發起方定義的興趣流是源192.168.1.0/24目的10.0.0.0/8,所以在接口發送發起方內網PC發給響應方內網PC的數據包,能夠得以匹配。

2. 滿足興趣流條件,在轉發接口上檢查SA不存在、過期或不可用,都會進行協商,否則使用當前SA對數據包進行處理。

3. 協商的過程通常分為兩個階段,第一階段是為第二階段服務,第二階段是真正的為興趣流服務的SA,兩個階段協商的側重有所不同,第一階段主要確認雙方身份的正確性,第二階段則是為興趣流創建一個指定的安全套件,其最顯著的結果就是第二階段中的興趣流在會話中是密文。

IPSec中安全性還體現在第二階段SA永遠是單向的:

 

技術點詳解---IPSec VPN基本原理

 

 

從上圖可以發現,在協商第二階段SA時,SA是分方向性的,發起方到響應方所用SA和響應放到發起方SA是單獨協商的,這樣做的好處在于即使某個方向的SA被破解并不會波及到另一個方向的SA。這種設計類似于雙向車道設計。

IPSec雖然只是5個字母的排列組合,但其所涉及的協議功能眾多、方案又極其靈活,本期主要介紹IPSec的基本原理,在后續專欄還會繼續介紹IPSec的其它方面知識。
 



Tags:VPN   點擊:()  評論:()
聲明:本站部分內容來自互聯網,內容觀點僅代表作者本人,如有任何版權侵犯請與我們聯系,我們將立即刪除。
▌相關評論
發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
▌相關推薦
據了解,Forcepoint VPN Client for Windows軟件的6.6.0及之前版本存在一處特權升級漏洞。目前,Forcepoint已發布針對性更新...【詳細內容】
2019-09-24   VPN  點擊:(25)  評論:(0)  加入收藏
如果這篇文章對您有幫助,請關注并點贊,感謝您的支持,如果還有其他問題,請私信給我1.VPN的基礎知識:虛擬專用網絡(Virtual Private Network,VPN)是在公用網絡上建立專用網絡的...【詳細內容】
2019-09-10   VPN  點擊:(50)  評論:(0)  加入收藏
想通過VPN上網,因為各種免費或收費的VPN工具不是不穩定就是怕不靠譜,所以打算自己搭一個玩玩。以下是搭建的大致過程:因為只是做個實驗環境,所以申請了一個騰訊云的15天免費服...【詳細內容】
2019-08-21   VPN  點擊:(59)  評論:(0)  加入收藏
SSL VPN作為遠程接入型的VPN,已經具備非常廣闊的前景,它的主要適應場景是取代L2TP Over IPSec,但功能要比L2TP Over IPSec更豐富,方案也更加靈活。一、SSL VPN簡介何謂SSL VPN,首...【詳細內容】
2019-08-20   VPN  點擊:(87)  評論:(0)  加入收藏
一、 場景需求總部及多分支機構之間資源或文件共享,傳統且常見的方式就是借助一些聊天工具、網絡云盤、郵件等方式進行傳輸,甚至存儲,但這些方式帶來了便利的同時,也給文件或資...【詳細內容】
2019-07-30   VPN  點擊:(36)  評論:(0)  加入收藏
IPSec VPNIPSec是為實現VPN功能而使用的協議。IPSec給出了應用于IP層上網絡數據安全的一整套體系結構。該體系結構包括認證頭協議(Authentication Header,簡稱為AH)、封裝安全...【詳細內容】
2019-07-29   VPN  點擊:(47)  評論:(0)  加入收藏
VPN是一個經常會運用到的功能,即“虛擬專用網絡”,可以把它理解成虛擬的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業內...【詳細內容】
2019-06-11   VPN  點擊:(2603)  評論:(0)  加入收藏
對某些人來說,VPN是允許他們安全地生活和工作的重要工具。在使用公共WiFi時,它們是增加一點額外安全性的好方法。無論目的是什么,VPN泄漏都會妨礙并造成嚴重危險。在某些情況下...【詳細內容】
2019-06-11   VPN  點擊:(95)  評論:(0)  加入收藏
IPSec VPN是目前VPN技術中點擊率非常高的一種技術,同時提供VPN和信息加密兩項技術,這一期專欄就來介紹一下IPSec VPN的原理。IPSec VPN應用場景 IPSec VPN的應用場景分為3種...【詳細內容】
2019-06-06   VPN  點擊:(80)  評論:(0)  加入收藏
推薦資訊
相關文章
欄目更新
欄目熱門
31选7开奖11185