登录站点

用户名

密码

GETVPN介绍

1已有 4919 次阅读  2013-06-17 22:10   标签Cisco  GETVPN 
GETVPN:组加密传输VPN,Cisco IOS12.4T版本以上支持。基于Trust Group Members信任组成员的技术架构。
GETVPN特性
1、支持原生路由架构的透传解决方案;
2、IP Header Preservation技术,原始IP头部保留,典型的无隧道类型。该技术在进行IPsec ESP封装时,将原始IP头部复制一份到外层头部,并在中间插入ESP头部。在保护原始IP数据的安全性同时,外层IP头部副本保留原始IP头部的DSCP字段,使QOS技术能正常发挥作用,还能通过内部原生路由转发VPN流量,解决覆盖路由问题;
3、不影响QOS,无需增加额外的网络开销和配置管理复杂度(第二点);
4、基于Trust Group Members信任组成员,组成员使用相同的安全策略;
5、组成员与密钥服务器预先协商安全关联参数实现Any-to-any任意到任意连接,无需通过感兴趣流进行触发;
6、即时连接,减少语音视频流的延迟(第五点);
7、支持单播和组播加密;
8、WAN解决方案,支持全局可路由的网络环境下部署。
GETVPN与传统IPsec VPN技术的比较

 

GETVPN组成部分
1、KS:Key Server密钥服务器:维护SA策略、创建和维护密钥。当有组成员加入时,密钥服务器会给这个组成员分发策略和密钥,并会在密钥超时前更新密钥信息。
Cisco私有:KS Cooperative Protocol密钥服务器协作协议。通过该协议选举出主密钥服务器和次密钥服务器
Primary KS:    接受组成员注册;
                         产生和分发密钥;
                         通告Secondary KS同步密钥;
                         发送Rekey Message密钥更新信息
Secondary KS:接受组成员注册;
                         检测Primary KS是否存在;
                         通告Primary KS同步组成员信息(当有新组成员加入时)
                         不会发送密钥更新信息

注:主密钥服务器和次密钥服务器不会自动同步IPsec SA的信息,需手工进行同步IPsec SA相关信息(感兴趣流、IPsec转换集、生存时间)以及用于对密钥更新信息进行签名的RSA密钥对(密钥服务器会对发送的密钥更新信息,使用RSA密钥进行签名,确保密钥更新信息源于受信任的KS,为使次密钥服务器切换成主密钥服务器,发送的密钥更新信息能够被所有组成员接收,需预先手工同步Primary KS和Secondary KS的RSA密钥)

2、GM:Group Member组成员:向密钥服务器提供Group ID并进行注册,获取IPsec SA和密钥,使用SA与其他组成员进行通信。

3、GDOI:Group Domain of Interpretation协议:用来在组成员和密钥服务器之间建立安全关联,实现组内安全通信。使用UDP848端口号。


GETVPN工作流程
1、GM向KS提供Group ID;
2、KS根据Group ID提供安全关联策略;
3、GM对收到的SA发送确认信息;
4、KS想GM分发密钥资源;
当GM在密钥超时前未收到密钥更新信息,GM会重新发起对KS的注册。

安全关联有三种:一是IKE SA:KS通过IKE认证GM,并使用IKE SA加密GDOI的注册信息;
                                  二是IPsec SA:加密GM之间的通信流量,由KS分发给GM的SA;
                                  三是Rekey SA:密钥更新安全关联,KS周期性发送密钥更新信息,用来更新组成员即将过期的SA和密钥,并加密密钥更新信息。

密钥资源有两种:一是KEK:加密密钥的密钥:在KS和GM之间,加密密钥更新信息的密钥;
                                  二是TEK:加密流量的密钥:在GM之间,加入VPN通信流量的密钥。


密钥更新特性
1、密钥更新信息由主密钥服务器发送;
2、密钥更新信息包括新的IPsec策略,时间同步信息和新的密钥;
3、新的密钥更新有两种:KEK和TEK;
4、密钥更新信息有两种传输方式:单播密钥更新和组播密钥更新(默认);
5、密钥更新信息即可周期性更新(密钥生存时间超时),也能通过条件触发(修改策略)更新密钥信息。



分享 举报