女人自慰AV免费观看内涵网,日韩国产剧情在线观看网址,神马电影网特片网,最新一级电影欧美,在线观看亚洲欧美日韩,黄色视频在线播放免费观看,ABO涨奶期羡澄,第一导航fulione,美女主播操b

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

淺談常見的隧道技術(shù)之IPSec

jf_uPRfTJDa ? 來源:移動Labs 5G通信 ? 2023-10-22 17:31 ? 次閱讀

Labs 導(dǎo)讀

IPSec(IP security)是IETF制定的三層隧道加密協(xié)議,它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。因為其安全性特點,IPSec被廣泛應(yīng)用。

IPSec不是一個單獨的協(xié)議,而是一套網(wǎng)絡(luò)安全協(xié)議族,包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH(Authentication Header,認(rèn)證頭)、ESP(Encapsulating Security Payload,封裝載荷)和密鑰管理協(xié)議IKE(Internet Key Exchange, 因特網(wǎng)密鑰交換)以及用戶網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。

IPSec工作模式分為:傳輸模式(transport)和隧道模式(tunnel)兩種。簡單來說傳輸模式是原始二層數(shù)據(jù)包不再附加二三四層頭、隧道模式是原始二層數(shù)據(jù)包經(jīng)過協(xié)議隧道封裝是添加上二三四層頭,IPSec的隧道模式就是在原始的ip數(shù)據(jù)包外面再封裝了一層ip頭,所以IPSec也經(jīng)常被大家稱作三層隧道協(xié)議。下面就帶大家詳細(xì)的了解一些這些具體的協(xié)議,以及IPSec協(xié)議實際應(yīng)用中占據(jù)重要地位的穿越NAT實現(xiàn)。

Part 01安全協(xié)議——AH協(xié)議

AH協(xié)議是一種基于IP的傳輸協(xié)議,協(xié)議號為51。具體工作方式是在每一個數(shù)據(jù)包的標(biāo)準(zhǔn)IP報文頭部后面添加一個AH報文頭:

e409743c-70b0-11ee-939d-92fbcf53809c.png

AH協(xié)議發(fā)送方會對數(shù)據(jù)包和認(rèn)證密鑰進行hash計算,接收方收到報文之后,按照一樣的算法進行hash計算并與原計算結(jié)果進行比較,如果不一致,可以推斷出數(shù)據(jù)包在傳輸過程中遭到了修改或者破壞。通過這樣的方式,能提供數(shù)據(jù)來源認(rèn)證和數(shù)據(jù)完整性校驗。值得一提的是AH協(xié)議的完整性校驗范圍是整個IP報文。 AH報文頭中有幾個重要的字段值得關(guān)注:安全參數(shù)索引(SPI)用于唯一標(biāo)識IPSec安全聯(lián)盟,序列號唯一標(biāo)識每一個數(shù)據(jù)包,能用于防重放攻擊。

Part 02安全協(xié)議——ESP協(xié)議

和AH協(xié)議一樣,ESP協(xié)議也是一種基于IP的傳輸層協(xié)議,協(xié)議號為50。具體的工作方式是在每一個數(shù)據(jù)包的IP報文頭后面添加一個ESP報文頭,值得注意的是,在數(shù)據(jù)包尾部還追加一個ESP尾部(ESP Tail和ESP Auth Data),同時還有一點與AH協(xié)議不同的是,ESP協(xié)議僅對IP數(shù)據(jù)包的有效載荷進行加密,對IP報文頭是沒有進行加密保護的。

e416ef04-70b0-11ee-939d-92fbcf53809c.png

和AH協(xié)議類似,ESP報文頭中也有安全參數(shù)索引(SPI)和序列號兩個字段,并且,AH協(xié)議和ESP協(xié)議的認(rèn)證算法是相通的。

AH協(xié)議和ESP協(xié)議具體的比較如下:

e425ce84-70b0-11ee-939d-92fbcf53809c.png

總結(jié):AH協(xié)議不能提供數(shù)據(jù)包加密功能,ESP協(xié)議驗證范圍不包括IP頭部,故在安全性要求較高的場景中可以考慮聯(lián)合使用AH協(xié)議和ESP協(xié)議。

Part 03IKE協(xié)議

簡單來說,IKE協(xié)議是動態(tài)協(xié)商IPSec隧道的協(xié)議,能完成身份驗證、密鑰交換、生成IPSec SA,協(xié)商過程中,數(shù)據(jù)包具體采用AH協(xié)議還是ESP協(xié)議封裝以及身份認(rèn)證就定下來了。

IKE協(xié)議目前有兩個版本:IKEv1和IKEv2,IKEv2在v1的基礎(chǔ)上,不僅簡化了SA的協(xié)商過程,提高了協(xié)商效率,而且修復(fù)了多處公認(rèn)的密碼學(xué)方面的安全漏洞,提高了安全性能,所以實際IKEv2應(yīng)用更加廣泛。

以IKEv2為例,通過初始交換可以協(xié)商建立第一對IPSec SA,這其中包含兩次交互四條消息,包含加密和驗證算法等參數(shù)協(xié)商,生成共享密鑰,完成身份認(rèn)證、消息認(rèn)證。如果需要創(chuàng)建多對IPSec SA,可以通過創(chuàng)建子SA交換過程協(xié)商出來,同時在協(xié)商過程中存在一些控制信息的傳遞,例如錯誤消息或者通告消息,這些信息是通過通知交換完成的。

Part 04NAT穿越

IPSec協(xié)議能得到廣泛應(yīng)用,除了能提供安全加密的傳輸之外,另一個重要原因是能夠?qū)崿F(xiàn)NAT穿越,這在現(xiàn)網(wǎng)傳輸中是極其重要的,因為公網(wǎng)IP資源有限,絕大部分設(shè)備都是通過NAT轉(zhuǎn)換之后共享公網(wǎng)IP資源傳輸交換報文的,所以穿越NAT在現(xiàn)網(wǎng)應(yīng)用中是極其重要的。

如前文描述的AH協(xié)議和ESP協(xié)議的特點,我們發(fā)現(xiàn)AH協(xié)議不能穿越NAT,原因是NAT會修改報文的IP頭,但是AH完整性校驗是基于整個IP報文的,所以導(dǎo)致AH協(xié)議下IPSec不能穿越NAT。而ESP報文的完整性校驗不包括IP頭,IP地址轉(zhuǎn)換也不會破壞ESP的hash值,所以在只做IP轉(zhuǎn)換的NAT場景下,ESP協(xié)議封裝是支持NAT穿越的。但是很多時候,公網(wǎng)IP是共用的,所以NAT轉(zhuǎn)換不僅需要轉(zhuǎn)換IP,同時需要轉(zhuǎn)換端口,但是ESP協(xié)議對IP有效載荷進行加密了,導(dǎo)致無法對端口號進行修改,這也是很多IP in IP的隧道無法穿越NAT的根本原因,解決辦法是再加一個UDP報文頭——NAT-T(NAT Traversal),源目的端口號均是4500。

NAT-T的方式隧道能解決IPSec穿越NAT的問題,但是穿越NAT之后同樣存在以下兩個問題:一是穿越NAT后的身份認(rèn)證及IP地址復(fù)用的問題。在目前的IP網(wǎng)絡(luò)中,IP即為身份標(biāo)識,但是NAT之后IP會發(fā)生變化,當(dāng)前國內(nèi)主要采用字符串取代IP地址作為身份標(biāo)識的方式,這樣就不受NAT影響了。二是ESP協(xié)議是基于IP的協(xié)議,當(dāng)NAT網(wǎng)關(guān)背后存在多個ESP應(yīng)用端,且地址復(fù)用一個,那么無法只根據(jù)IP協(xié)議號進行反向映射,ESP協(xié)議必須要做出改變。這一點在NAT-T流程中會有具體的體現(xiàn),下面我們詳細(xì)闡述NAT-T流程

首先判斷雙方是否支持NAT-T。當(dāng)開啟NAT穿越時,IKE協(xié)商過程中會發(fā)送標(biāo)識NAT-T能力的vendor ID載荷,用于檢查通信雙方是否支持NAT-T,只有當(dāng)雙方都在各自的消息中包含了該載荷,后續(xù)才會進行相關(guān)的NAT-T協(xié)商。其次是判斷鏈路上是否存在NAT設(shè)備。在IKE協(xié)商中,會發(fā)送NAT-D(NAT Discovery)載荷,這個載荷用于探測NAT設(shè)備,雙方都會向?qū)Ψ桨l(fā)送源目的IP和端口的hash值,存放在該載荷中,如果在傳輸過程中發(fā)生改變,hash值會相應(yīng)的改變,判斷hash值就可以判斷鏈路中是否存在NAT轉(zhuǎn)換。最后是ESP處理,在前兩步的前提下,當(dāng)發(fā)現(xiàn)NAT網(wǎng)關(guān)之后,后續(xù)的IKE報文端口號轉(zhuǎn)換成4500。

上述技術(shù)雖然能實現(xiàn)NAT穿越,但是也存在一定的局限性:使用NAT-T功能會導(dǎo)致在IKE協(xié)商過程中增加大約200字節(jié)的開銷,數(shù)據(jù)傳輸過程中也會增加大約20字節(jié)的開銷;同時不能采用AH協(xié)議,一定程度上也會降低安全性;NAT設(shè)備無法保證始終固定的IP和固定的端口為內(nèi)部主機提供訪問映射,所以IPSec必須能夠自動檢測變化,以保證通訊始終暢通。

Part 05后記

IPSec自從1990年被開發(fā)出來以來,目前為止已經(jīng)應(yīng)用超過30年,技術(shù)的發(fā)展經(jīng)過一代代的積累也日漸成熟,基礎(chǔ)的交換流程也比較完備,未來的發(fā)展方向大概率是在認(rèn)證和加密算法上面。美國NIST在2020年也發(fā)布過特別出版物《IPSec VPNs指南》,文中指出IETF正著力于研究各類IKE與IPSec擴展議題,同時也介紹了在組播與組認(rèn)證、ESP中的隱式IV、后量子密鑰交換等方面的努力。未來我們將及時關(guān)注最新的IPSec技術(shù),在實際生產(chǎn)和工作中進行應(yīng)用,為中國移動新型網(wǎng)絡(luò)架構(gòu)添磚加瓦。






審核編輯:劉清

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
  • IPSec
    +關(guān)注

    關(guān)注

    0

    文章

    59

    瀏覽量

    23256
  • ESP
    ESP
    +關(guān)注

    關(guān)注

    0

    文章

    190

    瀏覽量

    34654
  • NAT系統(tǒng)
    +關(guān)注

    關(guān)注

    0

    文章

    6

    瀏覽量

    5125

原文標(biāo)題:技術(shù) | 淺談常見的隧道技術(shù)之IPSec

文章出處:【微信號:5G通信,微信公眾號:5G通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦
    熱點推薦

    IR915和IR615建立IPsec VPN實現(xiàn)子網(wǎng)互通

    :192.168.2.1 下面進行IPsec的配置 IR915端: 1、首先啟用IPsec,配置IKEv1策略和IPsec策略如下:策略配置完成后,點擊新增-應(yīng)用并保存 2、配置IPsec
    發(fā)表于 07-24 07:26

    InRouter與Juniper SRX如何建立IPSec隧道配置?

    LTE 4G 無線路由器的LAN。 IPSec協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)IPSec全稱為Internet Protocol Security,是由Internet Engineering
    發(fā)表于 07-25 07:32

    一文詳解動態(tài)多點VPN技術(shù)

    包并加上新的IP頭。它有兩種形式:Point-to-point(GRE),Point-to-multipoint(mGRE)。 IPSec是一種安全隧道技術(shù),但不支持組播和廣播的加密。在DMVPN中
    發(fā)表于 07-26 06:07

    淺談原理圖和PCB圖的常見錯誤

    淺談原理圖和PCB圖的常見錯誤
    發(fā)表于 08-12 13:04

    IPsec的基礎(chǔ)知識

    使用。隧道模式這會加載有效負(fù)載和標(biāo)頭。當(dāng)數(shù)據(jù)包的目標(biāo)不同于安全終止點時,將使用隧道模式下的IPsec。此模式的最常見用途是在網(wǎng)關(guān)之間或從終端站到網(wǎng)關(guān)之間。網(wǎng)關(guān)充當(dāng)主機的代理。因此,當(dāng)數(shù)
    發(fā)表于 08-09 13:50

    介紹一種基于SoC的IPSec協(xié)議實現(xiàn)技術(shù)

    IPSec協(xié)議是什么?一種基于SoC的IPSec協(xié)議實現(xiàn)技術(shù)
    發(fā)表于 05-26 07:05

    DPDK IPsec-GW傳輸模式下,SSH和SFTP不工作怎么解決?

    : 1.13.2108) 和 Codewarrior IDE 開始了我的項目。設(shè)置: PC1NXP-1-P0IPSEC[ENC/DEC]NXP-1-P1NXP-2-P1IPSEC[ENC/DEC
    發(fā)表于 03-30 06:39

    基于SoC 的IPSec 協(xié)議實現(xiàn)技術(shù)

    簡要介紹IPSec 體系結(jié)構(gòu)和SoC 設(shè)計技術(shù);在分析IPSec 協(xié)議的基礎(chǔ)上,給出基于SoC 的IPSec 的芯片結(jié)構(gòu)及其實現(xiàn)技術(shù)
    發(fā)表于 05-18 13:58 ?21次下載

    虛擬專用網(wǎng)絡(luò)及其隧道實現(xiàn)技術(shù)

    這篇文章闡述了VPN及其隧道技術(shù),分析了第二層隧道協(xié)議和 IPSec 第三層隧道協(xié)議的實現(xiàn)原理,然后對各種協(xié)議做了深入的比較,包括實現(xiàn)難度和
    發(fā)表于 05-25 11:41 ?19次下載

    基于三層隧道技術(shù)IPSec-VPN技術(shù)

    本文介紹了虛擬專用網(wǎng)技術(shù)及其基于網(wǎng)絡(luò)的VPN 所具有的優(yōu)點,分析了三層隧道協(xié)議的優(yōu)勢,三層隧道IPSec 的安全技術(shù),提供了VPN 解決方
    發(fā)表于 08-19 10:22 ?20次下載

    基于L2TP/IPSEC的安全隧道技術(shù)方案

    分析L2rI’P協(xié)議實現(xiàn)VPN時存在的安全問題,提出一種將L2TP協(xié)議和IPSec協(xié)議相結(jié)合,利用IPsec為L2rI’P協(xié)議提供保護的安全隧道技術(shù)方案.關(guān)鍵詞:虛擬專用網(wǎng);L2TP;
    發(fā)表于 01-08 08:25 ?16次下載

    LED隧道照明技術(shù)分析

    LED隧道照明技術(shù)分析 全球節(jié)能減排的帶動,LED作為要求24小時運作的隧道燈便成為不二選。加上半導(dǎo)體照明技術(shù)正在日益進步,目前市場上已
    發(fā)表于 04-02 16:12 ?65次下載

    IP知識百科網(wǎng)絡(luò)中的隧道技術(shù)

    什么是隧道技術(shù) 隧道技術(shù)是指利用一種網(wǎng)絡(luò)協(xié)議將另一個網(wǎng)絡(luò)協(xié)議的報文封裝起來傳輸?shù)?b class='flag-5'>技術(shù)。封裝后的報文在基礎(chǔ)網(wǎng)絡(luò)上傳輸所經(jīng)過的邏輯路徑就稱為
    的頭像 發(fā)表于 09-13 09:36 ?9964次閱讀

    一文道盡SSL VPN 和 IPSEC VPN 的區(qū)別

    Ipsec 一般用于“網(wǎng)到網(wǎng)”的連接方式。比如分公司內(nèi)的主機和總公司內(nèi)的主機有通信需求,這時候可以用ipsec vpn在兩個公司之間建立隧道。把兩個站點的本地要通過vpn進行互訪的網(wǎng)段進行配置。那么13.13.13.1和2.2.
    的頭像 發(fā)表于 03-31 09:23 ?8807次閱讀

    基于IPSec VPN隧道技術(shù)的國密加密網(wǎng)關(guān)保障電力工控數(shù)據(jù)安全

    IPSecVPN(InternetProtocolSecurityVirtualPrivateNetwork)隧道技術(shù)為電力工控系統(tǒng)提供了重要的數(shù)據(jù)安全傳輸手段。該技術(shù)能實現(xiàn)身份鑒別和數(shù)據(jù)加密傳輸
    的頭像 發(fā)表于 10-16 17:36 ?1448次閱讀
    基于<b class='flag-5'>IPSec</b> VPN<b class='flag-5'>隧道</b><b class='flag-5'>技術(shù)</b>的國密加密網(wǎng)關(guān)保障電力工控數(shù)據(jù)安全