网络安全协议
Internet 协议安全(IPsec) 是一种用于创建虚拟专用网络的技术。除了IP协议之外,还使用 IPsec,为 TCP/IP 通信添加安全性和隐私性。IPsec 已集成到 Microsoft 操作系统以及许多其他操作系统中。例如,Windows XP 及更高版本附带的 Internet 连接防火墙中的安全设置允许用户打开 IPsec 进行传输。IPsec 是由IETF开发的一组协议,用于支持数据包的安全交换。IPsec 已被广泛部署来实现 VPN。
IPsec 有两种加密模式:传输加密模式和隧道加密模式。传输模式的工作原理是对每个数据包中的数据进行加密,但不对标头进行加密。这意味着源地址和目标地址以及其他标头信息未加密。隧道模式对标头和数据进行加密。这比传输模式更安全,但工作速度更慢。在接收端,符合 IPsec 的设备对每个数据包进行解密。为了使 IPsec 发挥作用,发送设备和接收设备必须共享一个密钥,这表明 IPsec 是一种单密钥加密技术。除了已经描述的两种模式之外,IPsec 还提供另外两种协议:
·身份验证标头 (AH): AH 协议提供仅用于身份验证的机制。AH 提供数据完整性、数据源身份验证和可选的重播保护服务。通过使用 HMAC-MD5 或 HMAC-SHA 等算法生成的消息摘要来确保数据完整性。通过使用共享密钥创建消息摘要来确保数据源身份验证。
·封装安全负载 (ESP): ESP协议提供数据机密性(加密)和身份验证(数据完整性、数据源身份验证和重放保护)。ESP 可以仅与机密性、仅身份验证一起使用,或同时与机密性和身份验证一起使用。
可以单独使用任一协议来保护IP数据包,也可以将两种协议一起应用于同一IP数据包。
IPsec 还可以在两种模式下工作。这些模式是传输模式和隧道模式。传输模式是 IPsec 加密数据但不加密数据包标头的模式。隧道模式确实对标头和数据包数据进行加密。
IPsec 的工作还涉及其他协议。IKE(即互联网密钥交换)用于在 IPsec 中建立安全关联。一旦 VPN 隧道的两个端点决定如何加密和验证,就会形成安全关联。例如,他们会使用 AES 来加密数据包、使用什么协议进行密钥交换以及使用什么协议进行身份验证?所有这些问题都在两个端点之间进行协商,并且决策存储在安全关联 (SA) 中。这是通过 IKE 协议完成的。互联网密钥交换(IKE 和 IKEv2)用于通过处理协议和算法的协商来建立 SA,并生成要使用的加密和身份验证密钥。
互联网安全关联和密钥管理协议 (ISAKMP) 提供了身份验证和密钥交换的框架。一旦 IKE 协议建立了 SA,就可以实际执行身份验证和密钥交换了。
对于许多安全专业人员来说,IPsec 的总体概述已经足够了。如果您想了解 IPsec 身份验证和密钥交换过程的更多详细信息,请参阅以下段落。
VPN端点之间的第一次交换建立了基本的安全策略;发起者提出它愿意使用的加密和认证算法。响应者选择适当的提案并将其发送给发起者。下一次交换将传递 Diffie-Hellman 公钥和其他数据。这些 Diffie-Hellman 公钥将用于加密两个端点之间发送的数据。第三次交换验证 ISAKMP 会话。这个过程称为主模式。
建立 IKE SA 后,IPsec 协商(快速模式)开始。
快速模式 IPsec 协商或快速模式与主动模式 IKE 协商类似,不同之处在于协商必须在 IKE SA 内受到保护。快速模式协商数据加密的 SA 并管理该 IPsec SA 的密钥交换。换句话说,快速模式使用主模式中交换的 Diffie-Hellman 密钥来继续交换将用于 VPN 中实际加密的对称密钥。
激进模式将 IKE SA 协商压缩为三个数据包,SA 所需的所有数据均由发起方传递。响应者发送提议、密钥材料和 ID,并在下一个数据包中验证会话。发起者通过验证会话来回复。协商速度更快,并且发起者和响应者 ID 可以清晰地传递。
原文始发于微信公众号(河南等级保护测评):网络安全等级保护:VPN之网络安全协议(IPsec)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论