欢迎光临云杰官网,本公司为企业提供企业IPLC国际网络加速、MPLS-VPN、SD-WAN等企业网络接入服务。

云杰通信

10年专注于企业国际网络优化
国内行业十佳诚信企业、质量、服务

全国咨询热线136-3177-9516

行业知识

行业知识
当前位置:首页 > 新闻动态 > 行业知识

IPsec的建立过程

发布时间:2020-06-01 16:42:32来源:

  IPsec是Internet工程任务组(IETE)制定的一个开放的网络层安全框架协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。IPsec主要包括安全协议AH(Authentication Header)和ESP(Encapsulating Security Payload),密钥管理交换协议IKE(Internet Key Exchange)以及用于网络认证及加密的一些算法等。

  IPsec建立过程

  IKEV2相比于IKEV1版本,简化了消息交换的过程,IKE V1至少需要交换6条消息。IKEV2正常情况下使用2次交换共4条消息就可以完成一个IKE SA和一对Ipsec SA,如果要求建立 IPsec SA大于一对时,每一对SA只需额外增加1次交换,也就是2条消息就可以完成。

  IKEV2定义了三种交换:初始交换、创建子SA交换以及通知交换

  1、初始交换

  IKE通信总是从IKE安全联盟初始交换(ike_sa_init交换)和IKE认证交换(ike_auth交换)开始。这2个交换通常由4条消息组成,在某些场景下消息数目可能会增加。所有使用IKE的通信都由请求/响应组成。IKE安全联盟初始交换和IKE认证交换完成后可以建立一个IKE SA和第一对child_sa(即Ipsec SA)

  2、创建子SA交换:

  当一个IKE SA需要创建多对Ipsec SA时,需要使用创建子SA交换来协商多于一对的SA,另外创建子SA交换还可以用于进行IKE SA的重协商。

  创建子SA交换包含一个交换两个消息。在IKEv1中这个交换称为阶段2交换(快速模式交换)。这个交换必须在IKE初始交换完成之后才能进行,交换的发起者可以是IKE初始交换的发起者,也可以是IKE初始交换的响应者。在交换中的两个消息需要由IKE初始交换协商的密钥进行保护。

  类似于IKEV1的PFS,创建子SA交换阶段可以重新进行一次DH交换,生成新的密钥材料。生成密钥材料后,子SA的所有密钥都从这个密钥材料衍生出来。

  3、通知交换:

  运行IKE协商的两端有时会传递一些控制信息,例如错误信息或者通告信息,这些信息在IKEV2中是通过通知交换完成的。

  通知交换必须在IKE SA保护下进行,也就是说通知交换只能发生在初始交换之后。

  IPsec IKE:Internet 秘钥交换协议,是 IPsec 体系结构中的一种主要协议。它是一种混合协议,使用部分 Oakley 和部分 SKEME,并协同 ISAKMP 提供密钥生成材料和其它安全连系,比如用于 IPsec DOI 的 AH 和 ESP 。目前存在两个版本,包含IKEv1和IKEv2两个版本。主要区别在于协商过程、认证方法不同。

  认证方式分为预共享秘钥以及自签证书两种,预共享秘钥在配置上相对简单,兼容性较好。自签证书通过生成的秘钥以及证书进行验证,安全性更高。

  AH与ESP:

  1、Ipsec通过AH(Authentication header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷)两个安全协议实现IP报文的封装/解封装。

  AH是报文头验证协议,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。

  ESp是封装安全载荷协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。

  注:AH和ESP协议提供的安全功能依赖于协议采用的加密、验证算法。

  2、IPsec网关的加密和验证算法所使用的密钥可以手工配置,也可以动态协商。为了密钥的安全性以及管理简单,Ipsec协议框架中引入IKE协议实现安全联盟动态协商和密钥管理功能。

  IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP(internet security association and key management protocol)框架之上,采用DH(diffie-hellman)算法在不安全的网络上安全的分发密钥、验证身份,以保证数据传输的安全性。

  IKE现分为IKE V1以及IKE V2版本,爱快使用IKE V2版本,下面会着重讲解下IKEV2Ipsec建立的过程。

用手机看
IPsec的建立过程

拍下二维码,信息随身看

试试用手机扫一扫,
在你手机上继续观看此页面。