加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
    • Part 01●  安全协议——AH协议 ●
    • Part 02●  安全协议——ESP协议 ●
    • Part 03●  IKE协议 ●
    • Part 04●  NAT穿越 ●
    • Part 05●  后记 ●
  • 推荐器件
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

浅谈常见的隧道技术之IPSec

2023/10/23
5724
阅读需 10 分钟
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

作者:吴琪,单位:中国移动智慧家庭运营中心

IPSec(IP security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。因为其安全性特点,IPSec被广泛应用。

IPSec不是一个单独的协议,而是一套网络安全协议族,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装载荷)和密钥管理协议IKE(Internet Key Exchange, 因特网密钥交换)以及用户网络认证及加密的一些算法等。

IPSec工作模式分为:传输模式(transport)和隧道模式(tunnel)两种。简单来说传输模式是原始二层数据包不再附加二三四层头、隧道模式是原始二层数据包经过协议隧道封装是添加上二三四层头,IPSec的隧道模式就是在原始的ip数据包外面再封装了一层ip头,所以IPSec也经常被大家称作三层隧道协议。下面就带大家详细的了解一些这些具体的协议,以及IPSec协议实际应用中占据重要地位的穿越NAT实现。

Part 01●  安全协议——AH协议 

AH协议是一种基于IP的传输协议,协议号为51。具体工作方式是在每一个数据包的标准IP报文头部后面添加一个AH报文头:

AH协议发送方会对数据包和认证密钥进行hash计算,接收方收到报文之后,按照一样的算法进行hash计算并与原计算结果进行比较,如果不一致,可以推断出数据包在传输过程中遭到了修改或者破坏。通过这样的方式,能提供数据来源认证和数据完整性校验。值得一提的是AH协议的完整性校验范围是整个IP报文。

AH报文头中有几个重要的字段值得关注:安全参数索引(SPI)用于唯一标识IPSec安全联盟,序列号唯一标识每一个数据包,能用于防重放攻击。

Part 02●  安全协议——ESP协议 

和AH协议一样,ESP协议也是一种基于IP的传输层协议,协议号为50。具体的工作方式是在每一个数据包的IP报文头后面添加一个ESP报文头,值得注意的是,在数据包尾部还追加一个ESP尾部(ESP Tail和ESP Auth Data),同时还有一点与AH协议不同的是,ESP协议仅对IP数据包的有效载荷进行加密,对IP报文头是没有进行加密保护的。

和AH协议类似,ESP报文头中也有安全参数索引(SPI)和序列号两个字段,并且,AH协议和ESP协议的认证算法是相通的。

AH协议和ESP协议具体的比较如下:

总结:AH协议不能提供数据包加密功能,ESP协议验证范围不包括IP头部,故在安全性要求较高的场景中可以考虑联合使用AH协议和ESP协议。

Part 03●  IKE协议 

简单来说,IKE协议是动态协商IPSec隧道的协议,能完成身份验证、密钥交换、生成IPSec SA,协商过程中,数据包具体采用AH协议还是ESP协议封装以及身份认证就定下来了。

IKE协议目前有两个版本:IKEv1和IKEv2,IKEv2在v1的基础上,不仅简化了SA的协商过程,提高了协商效率,而且修复了多处公认的密码学方面的安全漏洞,提高了安全性能,所以实际IKEv2应用更加广泛。

以IKEv2为例,通过初始交换可以协商建立第一对IPSec SA,这其中包含两次交互四条消息,包含加密和验证算法等参数协商,生成共享密钥,完成身份认证、消息认证。如果需要创建多对IPSec SA,可以通过创建子SA交换过程协商出来,同时在协商过程中存在一些控制信息的传递,例如错误消息或者通告消息,这些信息是通过通知交换完成的。

Part 04●  NAT穿越 

IPSec协议能得到广泛应用,除了能提供安全加密的传输之外,另一个重要原因是能够实现NAT穿越,这在现网传输中是极其重要的,因为公网IP资源有限,绝大部分设备都是通过NAT转换之后共享公网IP资源传输交换报文的,所以穿越NAT在现网应用中是极其重要的。

如前文描述的AH协议和ESP协议的特点,我们发现AH协议不能穿越NAT,原因是NAT会修改报文的IP头,但是AH完整性校验是基于整个IP报文的,所以导致AH协议下IPSec不能穿越NAT。而ESP报文的完整性校验不包括IP头,IP地址转换也不会破坏ESP的hash值,所以在只做IP转换的NAT场景下,ESP协议封装是支持NAT穿越的。但是很多时候,公网IP是共用的,所以NAT转换不仅需要转换IP,同时需要转换端口,但是ESP协议对IP有效载荷进行加密了,导致无法对端口号进行修改,这也是很多IP in IP的隧道无法穿越NAT的根本原因,解决办法是再加一个UDP报文头——NAT-T(NAT Traversal),源目的端口号均是4500。

NAT-T的方式隧道能解决IPSec穿越NAT的问题,但是穿越NAT之后同样存在以下两个问题:一是穿越NAT后的身份认证及IP地址复用的问题。在目前的IP网络中,IP即为身份标识,但是NAT之后IP会发生变化,当前国内主要采用字符串取代IP地址作为身份标识的方式,这样就不受NAT影响了。二是ESP协议是基于IP的协议,当NAT网关背后存在多个ESP应用端,且

地址复用一个,那么无法只根据IP协议号进行反向映射,ESP协议必须要做出改变。这一点在NAT-T流程中会有具体的体现,下面我们详细阐述NAT-T流程

首先判断双方是否支持NAT-T。当开启NAT穿越时,IKE协商过程中会发送标识NAT-T能力的vendor ID载荷,用于检查通信双方是否支持NAT-T,只有当双方都在各自的消息中包含了该载荷,后续才会进行相关的NAT-T协商。

其次是判断链路上是否存在NAT设备。在IKE协商中,会发送NAT-D(NAT Discovery)载荷,这个载荷用于探测NAT设备,双方都会向对方发送源目的IP和端口的hash值,存放在该载荷中,如果在传输过程中发生改变,hash值会相应的改变,判断hash值就可以判断链路中是否存在NAT转换。

最后是ESP处理,在前两步的前提下,当发现NAT网关之后,后续的IKE报文端口号转换成4500。

上述技术虽然能实现NAT穿越,但是也存在一定的局限性:使用NAT-T功能会导致在IKE协商过程中增加大约200字节的开销,数据传输过程中也会增加大约20字节的开销;同时不能采用AH协议,一定程度上也会降低安全性;NAT设备无法保证始终固定的IP和固定的端口为内部主机提供访问映射,所以IPSec必须能够自动检测变化,以保证通讯始终畅通。

Part 05●  后记 

IPSec自从1990年被开发出来以来,目前为止已经应用超过30年,技术的发展经过一代代的积累也日渐成熟,基础的交换流程也比较完备,未来的发展方向大概率是在认证和加密算法上面。美国NIST在2020年也发布过特别出版物《IPSec VPNs指南》,文中指出IETF正着力于研究各类IKE与IPSec扩展议题,同时也介绍了在组播与组认证、ESP中的隐式IV、后量子密钥交换等方面的努力。未来我们将及时关注最新的IPSec技术,在实际生产和工作中进行应用,为中国移动新型网络架构添砖加瓦。

推荐器件

更多器件
器件型号 数量 器件厂商 器件描述 数据手册 ECAD模型 风险等级 参考价格 更多信息
KSZ8001LI 1 Microchip Technology Inc DATACOM, ETHERNET TRANSCEIVER, PQFP48
$5.15 查看
KSZ9031MNXIC-TR 1 Microchip Technology Inc DATACOM, ETHERNET TRANSCEIVER, QCC64

ECAD模型

下载ECAD模型
$4.17 查看
USB3320C-EZK-TR 1 SMSC Interface Circuit, 5 X 5 MM, 0.90 MM HEIGHT, ROHS COMPLIANT, QFN-32
$2.65 查看
中国移动

中国移动

中国移动有限公司(「本公司」,包括子公司合称为「本集团」)于1997年9月3日在香港成立,本集团在中国内地所有三十一个省、自治区、直辖市以及香港特别行政区提供通信和信息服务,业务主要涵盖个人、家庭、政企和新兴市场的语音、数据、宽带、专线、IDC、云计算、物联网等,是中国内地最大的通信和信息服务供应商,亦是全球网络和客户规模最大、盈利能力领先、市值排名位居前列的世界级通信和信息运营商。

中国移动有限公司(「本公司」,包括子公司合称为「本集团」)于1997年9月3日在香港成立,本集团在中国内地所有三十一个省、自治区、直辖市以及香港特别行政区提供通信和信息服务,业务主要涵盖个人、家庭、政企和新兴市场的语音、数据、宽带、专线、IDC、云计算、物联网等,是中国内地最大的通信和信息服务供应商,亦是全球网络和客户规模最大、盈利能力领先、市值排名位居前列的世界级通信和信息运营商。收起

查看更多

相关推荐

电子产业图谱

移动Labs是中国移动的社交化新媒体平台,是面向外部行业及产业链合作伙伴的信息发布、业务发展和产业推进门户。