IPSec VPN原理介绍 | 京东物流技术团队
💡
原文中文,约4700字,阅读约需12分钟。
📝
内容提要
本文介绍了IPSec VPN中SA的三要素和SA的切换、PFS、RRI和DPD等扩展话题,以及DMVPN和NHRP。
🎯
关键要点
- VPN定义为在公用网络上建立加密通讯的专用网络,解决远程访问问题。
- VPN通过加密技术、哈希技术和认证机制保护数据的私密性、完整性和源认知。
- VPN的优势包括安全性、低成本、可靠性和灵活构建。
- VPN有两种框架:site-to-site VPN和remote-access VPN。
- IPSec提供私密性、完整性、源认证和防重放攻击的功能,工作在网络层。
- IPSec通过加密算法实现数据私密性,分为对称加密和非对称加密。
- IPSec的数据完整性通过哈希技术实现,常用的哈希算法有MD5和SHA。
- IPSec提供源认证的方式包括HMAC和数字签名。
- IPSec框架由封装协议、加密算法和认证协议组成,SA是其基础。
- SA的三要素包括SPI、安全协议标识和IP目的地址。
- SA的切换需要在不丢包的情况下进行,IKE会在超时前重新推算新的SA。
- PFS要求每次重新计算SA时都需重新通过DH推导SKEIDd以增强安全性。
- RRI用于在成功协商SA后向本地路由表注入静态路由。
- DPD用于检测对端失效并删除与对端的SA,重新寻找peer建立SA。
➡️
