IPSec VPN(二)
来源:互联网 发布:无主之地怎么网络联机 编辑:程序博客网 时间:2024/06/01 10:19
◆需要保护的流量流经路由器,触发路由器启动相关的协商过程。
◆启动IKE (Internet key exchange,密钥管理协议)阶段1,对通信双方进行身份认证,并在两端之间建立一条安全的通道。
◆启动IKE阶段2,在上述安全通道上协商IPSec参数。
◆按协商好的IPSec参数对数据流进行加密、hash等保护。
IKE阶段1
◆协商建立IKE安全通道所使用的参数,包括:
加密算法
Hash算法
DH算法
身份认证方法
存活时间
◆上述IKE参数组合成集合,称为IKE policy。IKE协商就是要在通信双方之间找到相同的policy。
IKE阶段2
◆双方协商IPSec安全参数,称为变换集transform set,包括:
加密算法
Hash算法
安全协议
封装模式
存活时间
IKE与IPSec安全参数的比较
IPSec SA
◆IPSec SA (安全关联,Security Association):
SA由SPD (security policy database)和SAD(SA database)组成。
IPSec SA (安全关联,Security Association):
◆SPI (Security Parameter Index),由IKE自动分配
◆发送数据包时,会把SPI插入到IPSec头中
◆接收到数据包后,根据SPI值查找SAD和SPD,从而获知解密数据包所需的加解密算法、hash算法等。
◆一个SA只记录单向的参数,所以一个IPSec连接会有两个IPSec SA。
◆使用SPI可以标识路由器与不同对象之间的连接。
◆达到lifetime以后,原有的IPSec SA就会被删除
◆如果正在传输数据,系统会在原SA超时之前自动协商建立新的SA,从而保证数据的传输不会因此而中断。
SA示例
- IPSec VPN(二)
- IPSEC VPN
- IPsec VPN
- IPSec vpn
- IPSEC VPN
- IPSec VPN
- ipsec vpn
- IPsec vpn with NAT
- IPSec VPN Design
- IPSEC VPN 配置
- IPSEC VPN基础知识
- 从VPN到IPSEC
- GRE OVER IPSEC VPN
- IPsec VPN简介
- IPSec VPN基本原理
- IPsec VPN数据传输过程
- MPLS & IPSEC & SSL VPN
- IPsec vpn 过程分析
- 黑马程序员-IOS基础之浅谈C语言指针
- android 视图getParent,getChildAt
- 【CF】【Amr and Chemistry】
- c#调用TeamViewer或AnyDesk实现远程控制
- IPSec VPN(一)
- IPSec VPN(二)
- android MediaRecorder 与 AudioRecord 差异
- spring 标签
- 策略模式 - 行为模式
- C++学习 C/C++之回调函数
- 第二天——命名规则和循环语句
- Swift 集合类型(Collection Type) 之 字典(dictionary)(官方文档翻译及总结)
- 根据两点经纬度计算距离
- 杭电ACM2026java做法