目录

虚拟专用网（VPN）

专用网(PN)

虚拟专用网(VPN)

IP安全（IPsec）

传输模式

两个IPsec协议

安全关联(SA)

IPsec数据报

数据报处理过程

SA的建立和密钥管理

---

虚拟专用网（VPN）

专用网(PN)

虚拟专用网(VPN)

本身总部网络是一个专用网络，外部不能连接，为了让远程客户、合作伙伴、分支机构成为专用网络中的一部分，通过总部的边缘路由器 用internet相连。

即在公共网络上，实现专用网络！

VPN的功能

•  数据机密性保护，数据实际在公网传输，不能被专用网以外的人获取
•  数据完整性认证
•  数据源身份认证，数据是否来自专用网内的用户
•  防重放攻击
•  访问控制，哪些用户可以接入vpn专用网

IP安全（IPsec）

传输模式

IPsec的传输(transport)模式.IPSEC包有主机构建和解析

IPsec的隧道(tunneling)模式。主机和路由器间的ip包是普通ip包，ipsec由路由器构建及解析。

适用于vpn

两个IPsec协议

安全关联(SA)

安全关联SA，可以认为是  网络层的连接，就像tcp连接，但是位于网络层。且是单工，如果要双工，就必须建立两个SA。

什么是面向连接？如tcp，就是两端要维护关于连接状态 的信息。IPsec是面向连接

安全关联主要参数：

•  安全参数索引(SPI)：32位SA唯一标识(ID)
•  加密密钥、认证密钥
•  密码算法标识
•  序列号(32位) • 抗重放攻击
•  抗重播窗口 • 接收方使用滑动窗口检测恶意主机重放数据报
•  生存周期 • 规定SA的有效使用周期
•  运行模式：传输模式或隧道模式
•  IPSec隧道源、目的地址

下图例子：要加密记录加密算法、用到的秘钥，要验证完整性记录校验方法

• IPsec端点将SA状态保存在安全关联数据库SAD (security association database)中
•  在处理IPsec数据报时，定位这些信息 对于n个销售人员，1个分支机构的VPN，总部的 路由器R1的SAD中存储2 + 2n条SAs。 2是分支机构与总部双工，所以是两个SA连接。2n是n个销售人员和总部双工，所以2n个连接
• 当发送IPsec数据报时，R1访问SAD，确定如何 处理数据报
• 当IPsec数据报到达R2 ,R2检验IPsec数据报中的SPI , 利用SPI检索SAD ,处理数据报

R1访问SAD，确定如何 处理数据报：

• 先通过选择符搜索SPD，找匹配的SP
• 再找SP指向的SA

IPsec数据报

ESP认证，用MAC认证，如MD5

传输

隧道

数据报处理过程

看一下最常用的 隧道ESP过程。以下图为例,总部向分支机构发送 IPsec包

R1: 将原IP数据报转换为IPsec数据报

•  检索SPD，确定处理策略
•  检索SAD，确定SA
•  在原IP数据报(包括原IP首部域！)后面附加“ESP尾部”.
•  利用SA定义的算法与密钥，加密上述结果.
•  在加密结果前面附加“ESP头”，创建“enchilada”.
•  针对整个enchilada，利用SA定义的算法与密钥，创建报 文认证码MAC；
•  在enchilada后面附加MAC，构成载荷(新IP数据报载荷)；
•  构造全新的IP头，包含所有经典的IPv4首部字段；
•  将新IP头附加在载荷的前面

R2: 解封IPsec数据报

• 从原始IP数据报中提取选择符，并搜索SPD，确 定处理策略 。丢弃或转入系统IP协议栈进行后继处理
• 判断是否为IPsec数据报
• 从头部提取，并检索SAD
•  若找不到SA，则触发IKE或丢弃包；
•  若找到，则根据SA解封数据报，得到原始IP数据报

SA的建立和密钥管理

标签：专用网,IP,SAD,计网,SA,vpn,数据,IPsec
来源： https://blog.csdn.net/u014203449/article/details/118393931