三.IPsec與VPN簡(jiǎn)介
IPSec,因特網(wǎng)協(xié)議安全,是由IETF(Internet Engineering Task Force)定義的一套在網(wǎng)絡(luò)層提供IP安全性的協(xié)議。
1. 基于Ipsec的VPN,如阿姆瑞特VPN,由兩部分組成
1.Internet密鑰交換協(xié)議(IKE)
2.IPsec協(xié)議(AH/ESP/二者都有)
第一部分,IKE是初始協(xié)商階段,兩個(gè)VPN端點(diǎn)在這個(gè)階段協(xié)商使用哪種方法為下面的IP數(shù)據(jù)流提供安全。而且,通過(guò)定義一套安全聯(lián)盟(SA),IKE用于管理連接;SA面向每個(gè)連接的。SA是單向的,因此每個(gè)Ipsec連接至少有2個(gè)SA。在IKE(因特網(wǎng)密鑰交換)部分對(duì)此有更詳細(xì)的描述。
另一部分是IKE協(xié)商后,用加密和認(rèn)證方法實(shí)際傳輸?shù)腎P數(shù)據(jù)。有幾種方法,如IPsec協(xié)議ESP, AH或兩者結(jié)合在一起都可以做到這一點(diǎn)。IPsec協(xié)議(ESP/AH)部分對(duì)此進(jìn)行了解釋。
2. 建立VPN事件的流程可做如下簡(jiǎn)要描述
IKE協(xié)商如何保護(hù)IKE
IKE協(xié)商如何保護(hù)Ipsec
Ipsec在VPN中傳輸數(shù)據(jù)
Internet密鑰交換協(xié)議(IKE)
這部分描述IKE,因特網(wǎng)密鑰交換協(xié)議,及其使用的參數(shù)。
加密和認(rèn)證數(shù)據(jù)比較直接,唯一需要的是加密和認(rèn)證算法,及其使用的密鑰。因特網(wǎng)密鑰交換協(xié)議(IKE),用作分配這些對(duì)話用密鑰的一種方法,而且在VPN端點(diǎn)間,規(guī)定了如何保護(hù)數(shù)據(jù)的方法。
3.IKE主要有三項(xiàng)任務(wù)
a.為端點(diǎn)間的認(rèn)證提供方法
b.建立新的IPsec連接(創(chuàng)建一對(duì)SA)
c.管理現(xiàn)有連接
IKE跟蹤連接的方法是給每個(gè)連接分配一組安全聯(lián)盟(SA)。SA描述與特殊連接相關(guān)的所有參數(shù),包括使用的Ipsec協(xié)議(ESP/AH/二者兼有),加密/解密和認(rèn)證/確認(rèn)傳輸數(shù)據(jù)使用的對(duì)話密鑰。SA本身是單向的,每個(gè)連接需要一個(gè)以上的SA。大多數(shù)情況下,只使用ESP或AH,每個(gè)連接要?jiǎng)?chuàng)建2個(gè)SA,一個(gè)描述入站數(shù)據(jù)流,另一個(gè)描述出站數(shù)據(jù)流。同時(shí)使用ESP和AH的情況中就要?jiǎng)?chuàng)建4個(gè)SA。
4.IKE 協(xié)商
協(xié)商對(duì)話參數(shù)過(guò)程中包含許多階段和模式。下面對(duì)其進(jìn)行具體描述。
事件流程如下描述:
IKE階段1 協(xié)商應(yīng)該如何保護(hù)IKE
IKE階段2 協(xié)商應(yīng)該如何保護(hù)Ipsec
源自階段1的密鑰交換生成一些新的加密信息,以提供VPN數(shù)據(jù)流加密和認(rèn)證中使用的對(duì)話密鑰。
IKE和Ipsec連接都有使用期限的限制,使用時(shí)間(秒)和數(shù)據(jù)大小(KB)來(lái)描述。使用期限用于防止連接建立的時(shí)間過(guò)長(zhǎng),從密碼學(xué)的角度看,這是有必要的。
IPSec的使用期限一般要比IKE的使用期限短。這樣通過(guò)進(jìn)行階段2協(xié)商時(shí),對(duì)Ipsec連接再次加密。不必進(jìn)行另外的階段1協(xié)商直至到IKE使用期限。
相關(guān)推薦:北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |