IPSec VPN技术原理解析

通信网络

650人已加入

描述

01

IPSec概念

IPSec(Internet Protocol Security)是IETF定义的一个协议组。

通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。

机密性:对数据进行加密保护,用密文的形式传送数据

完整性:指对接收的数据进行认证,以判定报文是否被篡改

防重放:防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。

应用场景:企业分支通过IPSec隧道接入企业总部

数据完整性

02

IPSec VPN

应用场景及协议

 01  IPSec VPN的应用场景分为3种 

数据完整性

1.  Site-to-Site(站点到站点或者网关到网关):

如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关相互建立VPN隧道,企业内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。

2.  End-to-End(端到端或者PC到PC): 

两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。

3.  End-to-Site(端到站点或者PC到网关):

两个PC之间的通信由网关和异地PC之间的IPSec进行保护。

 02  IPSec 协议 

VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。

IPSec是一个框架性架构,具体由下面协议组成:

数据完整性

IPSec VPN体系结构主要由下面这些协议套件组成:

AH(Authentication Header)

ESP(Encapsulating Security Payload)

IKE(Internet Key Exchange)

AH协议(使用较少):提供的功能有数据源验证、数据完整性校验和防报文重放功能。

ESP协议(使用较广):提供AH协议的所有功能外(ESP的数据完整性校验不包括IP头),还提供对IP报文的加密功能

IKE协议:自动协商AH和ESP所使用的密码算法

为何AH使用较少呢?

因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;

其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。

当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。

编辑:黄飞

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分