IPsec的建立过程
IPsec是Internet工程任务组(IETE)制定的一个开放的网络层安全框架协议。它其实不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。IPsec主要包括安全协议AH(AuthenticationHeader)和ESP(EncapsulatingSecurityPayload),密钥管理交换协议IKE(InternetKeyExchange)和用于网络认证及加密的一些算法等。
IPsec建立进程
IKEV2相比于IKEV1版本,简化了消息交换的进程,IKEV1最少需要交换6条消息。IKEV2正常情况下使用2次交换共4条消息就能够完成一个IKESA和一对IpsecSA,如果要求建立IPsecSA大于一对时,每对SA只需额外增加1次交换,也就是2条消息就能够完成。
IKEV2定义了三种交换:初始交换、创建子SA交换和通知交换
1、初始交换
IKE通讯总是从IKE安全同盟初始交换(ike_sa_init交换)和IKE认证交换(ike_auth交换)开始。这2个交换通常由4条消息组成,在某些场景下消息数目可能会增加。所有使用IKE的通讯都由要求/响应组成。IKE安全同盟初始交换和IKE认证交换完成后可以建立一个IKESA和第一对child_sa(即IpsecSA)
2、创建子SA交换:
当一个IKESA需要创建多对IpsecSA时,需要使用创建子SA交换来协商多于一对的SA,另外创建子SA交换还可以用于进行IKESA的重协商。
创建子SA交换包括一个交换两个消息。在IKEv1中这个交换称为阶段2交换(快速模式交换)。这个交换一定要在IKE初始交换完成以后才能进行,交换的发起者可以是IKE初始交换的发起者,也能够是IKE初始交换的响应者。在交换中的两个消息需要由IKE初始交换协商的密钥进行保护。
类似于IKEV1的PFS,创建子SA交换阶段可以重新进行一次DH交换,生成新的密钥材料。生成密钥材料后,子SA的所有密钥都从这个密钥材料衍生出来。
3、通知交换:
运行IKE协商的两端有时会传递一些控制信息,例如毛病信息还是通告信息,这些信息在IKEV2中是通过通知交换完成的。
通知交换一定要在IKESA保护下进行,也就是说通知交换只能产生在初始交换以后。
IPsecIKE:Internet秘钥交换协议,是IPsec体系结构中的一种主要协议。它是一种混合协议,使用部份Oakley和部份SKEME,并协同ISAKMP提供密钥生成材料和其它安全连系,比如用于IPsecDOI的AH和ESP。目前存在两个版本,包括IKEv1和IKEv2两个版本。主要区分在于协商进程、认证方法不同。
认证方式分为预同享秘钥和自签证书两种,预同享秘钥在配置上相对简单,兼容性较好。自签证书通过生成的秘钥和证书进行验证,安全性更高。
AH与ESP:
1、Ipsec通过AH(Authenticationheader,验证头)和ESP(EncapsulatingSecurityPayload,封装安全载荷)两个安全协议实现IP报文的封装/解封装。
AH是报文头验证协议,主要提供数据源验证、数据完全性验证和防报文重放功能,不提供加密功能。
ESp是封装安全载荷协议,主要提供加密、数据源验证、数据完全性验证和防报文重放功能。
注:AH和ESP协议提供的安全功能依赖于协议采取的加密、验证算法。
2、IPsec网关的加密和验证算法所使用的密钥可以手工配置,也能够动态协商。为了密钥的安全性和管理简单,Ipsec协议框架中引入IKE协议实现安全同盟动态协商和密钥管理功能。
IKE协议建立在Internet安全同盟和密钥管理协议ISAKMP(internetsecurityassociationandkeymanagementprotocol)框架之上,采取DH(diffiehellman)算法在不安全的网络上安全的分发密钥、验证身份,以保证数据传输的安全性。
IKE现分为IKEV1和IKEV2版本,爱快使用IKEV2版本,下面会侧重讲授下IKEV2Ipsec建立的进程。
