IPSec VPN(二)

◆需要保护的流量流经路由器，触发路由器启动相关的协商过程。
◆启动IKE (Internet key exchange,密钥管理协议)阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道。
◆启动IKE阶段2，在上述安全通道上协商IPSec参数。
◆按协商好的IPSec参数对数据流进行加密、hash等保护。

IKE阶段1

◆协商建立IKE安全通道所使用的参数，包括：
加密算法
Hash算法
DH算法
身份认证方法
存活时间

◆上述IKE参数组合成集合，称为IKE policy。IKE协商就是要在通信双方之间找到相同的policy。

IKE阶段2

◆双方协商IPSec安全参数，称为变换集transform set，包括：
加密算法
Hash算法
安全协议
封装模式
存活时间

IKE与IPSec安全参数的比较

IPSec SA

◆IPSec SA (安全关联，Security Association)：
SA由SPD (security policy database)和SAD(SA database)组成。

IPSec SA (安全关联，Security Association)：
◆SPI (Security Parameter Index)，由IKE自动分配
◆发送数据包时，会把SPI插入到IPSec头中
◆接收到数据包后，根据SPI值查找SAD和SPD，从而获知解密数据包所需的加解密算法、hash算法等。
◆一个SA只记录单向的参数，所以一个IPSec连接会有两个IPSec SA。

◆使用SPI可以标识路由器与不同对象之间的连接。

◆达到lifetime以后，原有的IPSec SA就会被删除
◆如果正在传输数据，系统会在原SA超时之前自动协商建立新的SA，从而保证数据的传输不会因此而中断。

SA示例

阅读(598)|评论(0)