安全协议IPSec、SSL、SSH

原创 2016年10月09日 18:23:01

IPSec(网络层):

         IPSec在数据包三层头部(IP头部)和四层头部之间插入一个预定义的IPSec头部,对OSI上层协议数据提供保护。IPSec没有定义具体加密算法和散列函数,仅提供一种框架结构。有ESP(IP协议50)和AH(IP协议51)两种封装协议。


         ESP为数据提供加密、完整性和源认证三个方面的保护,能够抵御重放攻击。不对原始IP头部进行安全防护。

         AH为数据提供完整性和源认证,能够抵御重放攻击。AH对数据完整性验证的范围更广,包含原始IP头部。

         IPSec有两种数据封装模式:传输模式和隧道模式。

         传输模式将在原始IP头部和IP负载之间插入一个ESP头部,追加ESP尾部和ESP验证数据部分,对IP负载和ESP尾部进行加密和验证处理,原始IP头部被保留。当加密点等于通信点,通信设备地址是可路由的情况。


         隧道模式将把整个原始IP数据包封装到一个新的IP数据包中,并在新IP头和原始IP头中插入ESP头部,以对整个原始IP数据包进行加密和验证。当加密点不等于通信点,或者说IP地址不可路由(IP数据包的源和目的地址为私有地址)时使用隧道模式。

 

SSL协议:(传输层)

         SSL协议栈位置介于TCP和应用层之间,分为SSL记录协议层和SSL握手协议层。其中SSL握手协议层又分为SSL握手协议、SSL密钥更改协议和SSL警告协议。SSL握手协议作用是在通信双方之间协商出密钥,SSL记录层的作用是定义如何对上层的协议进行封装。SSL记录协议将数据块进行拆分压缩,计算消息验证码,加密,封装记录头然后进行传输。

 

SSL握手:

1、  初始化阶段。客户端创建随机数,发送ClientHello 将随机数连同自己支持的协议版本、加密算法和压缩算法发送给服务器。服务器回复ServerHello将自己生成的随机数连同选择的协议版本、加密算法和压缩算法给客户端。

2、  认证阶段。服务器发送ServerHello的同时可能将包含自己公钥的证书发送给客户端(Certificate),并请求客户端的证书(Certificate Request)。

3、  密钥协商阶段。客户端验证证书,如果收到Certificate Request则发送包含自己公钥的证书,同时对此前所有握手消息进行散列运算,并使用加密算法进行加密发送给服务器。同时,创建随机数pre-master-secret并使用服务器公钥进行加密发送。服务器收到这个ClientKeyExchange之后解密得到pre-master-secret。服务器和客户端利用1阶段的随机数,能够计算得出master-secret。

4、  握手终止。服务器和客户端分别通过ChangeCipherSpec消息告知伺候使用master-secret对连接进行加密和解密,并向对方发送终止消息(Finished)。



HTTPS(Hypertext TransferProtocol over Secure Socket Layer,基于SSL的HTTP协议),端口443,需要向CA申请证书,通过SSL握手建立安全通道,利用协商密钥对数据进行对称加密通信。


SSH协议(会话层)

         SSH协议由下到上分为SSH传输层协议、SSH用户认证协议、SSH连接协议。


         传输层协议:在通信双方之间建立一条安全的加密通道。包括版本协商和算法协商与密钥交换。

         用户认证协议:用户发送请求认证,服务器对用户进行认证。

         连接协议:客户端完成认证后可以发起请求建立会话通道。


版权声明:本文为博主原创文章,未经博主允许不得转载。

ipsec体系结构及协议实现流程

概述 IPsec由四部分内容构成:负责密钥管理的Internet密钥交换协议(IKE,InternetKey Exchange Protocol),负责将安全服务与使用该服务的通信流相联系的安全关联(...
  • bytxl
  • bytxl
  • 2014年08月06日 10:23
  • 3636

IPSec协议

内容提要 Motivation(IP协议的安全缺陷、虚拟专用网) IPSec概述(协议流程、SPD、SAD) 数据封装(IPSec:AH、IPSec:ESP) 安全参数协商(ISAKMP、IK...
  • skicth
  • skicth
  • 2017年12月14日 22:12
  • 167

ipsec协议

IPSec 协议简介   IPSec (IP Security)协议族是IETF 制定的一系列协议,它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP...
  • qinglu
  • qinglu
  • 2013年05月12日 18:43
  • 1861

IPsec技术介绍(转)

目  录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全...
  • tantexian
  • tantexian
  • 2015年02月03日 13:18
  • 13522

IPSec 协议详解

  • 2008年09月12日 11:02
  • 3.24MB
  • 下载

IPsec VPN数据传输过程

IPsec VPN数据传输过程 转载请注明出处:http://blog.csdn.net/rosetta         以下是一个数据包经IPsecVPN隧道的传送过程(如ICMP包),由左...
  • rosetta
  • rosetta
  • 2013年03月14日 14:51
  • 7311

IPSec协议

VPN VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN非常方便地访问内网资源,这就是为什么VPN在企...
  • tycoon1988
  • tycoon1988
  • 2014年11月04日 12:12
  • 1340

SSL VPN和IPSec VPN的区别以及部署

SSL VPN和IPSec VPN的区别是什么,如果你希望找到答案,随便用一个搜索引擎,当你输入SSL VPN后按一个空格,智能联想就会帮你填充IPSec,可见很多人都在找二者的区别。找这二者的区别的...
  • dog250
  • dog250
  • 2011年11月12日 23:29
  • 16741

IPSEC与SSL/TLS的比较 (转)

认证方式就是采用AH头,加密方式就是采用ESP头 AH头结构 AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工...
  • tantexian
  • tantexian
  • 2015年02月03日 13:13
  • 5206

SSL VPN vs IPSEC VPN两者之比较

简单来说,SSL和IPSEC两个都是加密的通讯协议 (encryption protocol) , 从任何TCP网络来保护IP-based的数据流(data stream)。我认为,可以从任何技术上的...
  • jamex
  • jamex
  • 2005年12月31日 14:55
  • 1651
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:安全协议IPSec、SSL、SSH
举报原因:
原因补充:

(最多只允许输入30个字)