TCP-IP详解:AH(Authentication Header)

最新推荐文章于 2024-03-13 10:25:31 发布
最新推荐文章于 2024-03-13 10:25:31 发布
阅读量1.8w 收藏 45
点赞数 11
分类专栏: Networking IpSec 文章标签: network ipsec 安全 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdscq1234/article/details/52677419
版权

参考教材:TCP-IP Guide

IPSec核心协议是AH和ESP,本文主要介绍下AH协议的数据封装与传输

AH(Authentication Header)

这个协议主要是用来提供数据完整性校验和源校验,即只提供校验功能,并没有提供加密功能,我们知道对于这种虚拟的私有网络,实际上是公网上虚拟出来的隧道,核心在于要对对应协议的数据包进行IP层的封装,让其仍然变成IP包,然后在公网上传输,所以先看下AH协议不同模式下封装的数据

可以看到下图,传输模式下IPv4的AH协议封装的数据包,原始的数据包是一个IP header 紧接着一个TCP header,然后就是data,AH协议封装的数据包,会在IP Header 和TCP Header之间增加一个AH header,IP header的协议变成51 AH协议,AH header下一个header协议为 6 TCP header


隧道模式下的AH 数据包封装,这种模式把整个数据包都进行封装,然后再源的IP header之前增加AH header,然后再增加一个新的IPV4 header完成封装


AH的头


1. Next Header : AH header的下一个头部的协议号

2. Payload Length:AH header的长度

3. Reserverd: 保留

4. SPI : 安全的参数,目的地址和安全协议类型的组合,用于识别对这个包进行验证的安全联盟

5. Sequence Number:  单调增加的32位无符号整数,利用该域抵抗重发攻击(Replay Attack)

6. Authentication Data: 是一个长度可变的域,长度为32比特的整数倍。具体格式因认证算法而异 。该认证数据也被称为数据报的完整性校验值(ICV)

数据流程认证流程,从图中可以看出是对整个数据包进行认证,使用一个密钥通过单项散列函数输出认证后的数据,这些认证后的数据都会放到AH的header

中。下图是传出模式

隧道模式下认证,同样也是对整个数据包进行认证。



输出处理

1.使用相应的 选择符(目的IP地址,端口号和传输协议)查找安全策略数据库获取策略。如需要对分组进行IPSec处理,且到目的主机的SA已经建立,那么符合分组选择符的SPD将指向外出SA数据库的一个相应SA束。如果SA还未建立,IPSec将调用IKE协商一个SA,并将其连接到SPD条目上。
2.  产生或增加序列号,当一个新的SA建立时,序列号计数器初始化为0,以后每发一个分组,序列号加1
3. 计算ICV(完整性校验值)
4.转发分组到目的节点

输入处理

1. 若IP分组采用了分片处理,要等到所有分片到齐后重组
2. 使用IP分组头中的SPI、目的IP地址以及IPSec协议在进入的SA数据库中查找SA,如果查找失败,则抛弃该分组,并记录事件。
3.使用已查到的SA进行IPSec处理
4. 使用分组中的选择符进入SPD查找一条域选择符匹配的策略,检查策略是否相符
5.检查序列号,确定是否为重放分组
6. 使用SA指定的MAC算法计算ICV,并与认证数据域中的ICV比较,如果两值不同,则抛弃分组







CQ小子
关注
  • 11
    点赞
  • 45
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Http Basic Authentication 的请求头Authorization的状态保存问题:见‘斜粗下划线’部分说明
likaiwalkman@csdn - Code Study Area
08-27 1332
Basic access authentication From Wikipedia, the free encyclopedia HTTP PersistenceCompressionHTTPS Request methods OPTIONSGETHEADPOSTPUTDELETETRACECONNEC
react-semantic-ui-firebase-authentication::fire:用于在React中使用语义UI样式进行Firebase身份验证的样板项目
02-05
React语义用户界面Firebase身份验证 有关: 变化 产品特点 用途: 仅React(create-react-app) 火力基地 React路由器 语义UI 特征: 登入 报名 登出 忘记密码 密码变更 验证邮件 授权的受保护路线 基于角色的授权 通过Google,Facebook和Twitter进行社交登录 帐户仪表板上的社交登录链接 本地存储的身份验证持久性 包含用户和消息的数据库 执照 商业牌照 如果要使用此入门项目来开发商业站点,主题,项目和应用程序,则商业许可是适当的许可。 使用此选项,您的源代码将保持专有。 购买适合不同团队规模的商业许可证: 它还授予您访问该Gi
详解IP安全IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp
最新发布
A1_3_9_7的博客
03-13 1116
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
Django-login-system-authentication-:使用内置功能的Django登录系统
02-18
Django-login-system-authentication-:使用内置功能的Django登录系统
SPI总线知识总结
汽车以太网和SOA
03-05 4966
SPI总线知识总结
react-native-apple-authentication:一个React Native库提供对iOS和Android上的Apple身份验证的支持
04-28
React本机苹果身份验证 良好类型的React Native库提供对iOS和Android上的Apple身份验证的支持,包括对所有AppleButton变体的支持。 使用此库的先决条件 如果您不确定以下内容,则@invertase/react-native-apple-authentication库将不起作用: 您正在使用React Native 0.60或更高版本。 (仅适用于iOS)您已在计算机上设置了本机iOS开发环境(仅适用于Mac)。 如果没有,请遵循官方的React Native: 。 (仅适用于iOS)您使用的是Xcode版本11或更高版本。 当用于Apple登录的API可用时,这将允许您使用iOS 13及更高版本进行开发。 确定满足以上条件后,请遵循我们的指南。 2.0.0版重大更改 第2版​​增加了对Android的支持,并引入了一些有关方法访问方式的重大更改
OLD-BEW-1.2-Authentication-and-Associations-Django::snake: 通过行业标准技术构建服务器端 Web 应用程序和 API
05-30
BEW 1.2:身份验证、关联和高级查询 课程部分 讲师 松弛通道 课程网站 文档 导师一对一 一种 @梅雷迪思 #bew1-2-django 课程说明 在本课程中,学生将学习开发和发布标准化的服务器端应用程序,其中包括授权和经过身份验证的用户。 技术包括偏好约定而非配置、遵循严格的 RESTful MVC 架构以及强调自动化测试的作用。 本课程首先培养对框架功能的熟悉,然后Swift进入构建服务器端 Web 应用程序和 API。 可交付成果包括至少两个已完成和已部署的应用程序。 先决条件 课程详情 课程交付:在线 | 7 周 | 14节 课程学分:3学分| 37.5 座次 | 总共 75 小时 学习成果 在课程结束时,学生将能够... 比较和对比后端 Web 开发中基于配置和约定的框架。 通过自以为是的 Web 框架设计、实施和部署多个 Web 应用程序。 构建基于 SQL 的
react-mobx-firebase-authentication::fire:用于在React和MobX中使用Firebase进行身份验证的样板项目
02-05
react-mobx-firebase身份验证 变化 产品特点 用途: 仅React(create-react-app) 火力基地 React路由器 暴民 特征: 登入 报名 登出 忘记密码 密码变更 验证邮件 授权的受保护路线 基于角色的授权 通过Google,Facebook和Twitter进行社交登录 帐户仪表板上的社交登录链接 本地存储的身份验证持久性 包含用户和消息的数据库 执照 商业牌照 如果要使用此入门项目来开发商业站点,主题,项目和应用程序,则商业许可是适当的许可。 使用此选项,您的源代码将保持专有。 购买适合不同团队规模的商业许可证: 它还授予您访问该GitHub组织中
latex加粗
UniversityGrass的博客
09-20 726
\usepackage{bm} \bm{} 适用于加粗任何字体
浅谈AH协议与ESP协议的区别和联系
热门推荐
Robert_30的博客
05-06 1万+
IPSec是一种端到端的确保IP层通信的安全体系,是一组协议,下面讨论是基于IPv4的讨论。AH协议与ESP协议是IPSec的两个核心协议,如下图所示。AHAuthentication Header)是验证头部协议,ESP(Encapsulating Security Payload)是封装安全载荷协议,从名字上来看AH主要用于验证IP头部,ESP主要用于加密。文章主要分析两者的区别以及联系。
IPsec协议族之AH和ESP协议
日积月累
01-13 3493
esp和ah
一文带你了解IPsec协议
小宝儿的学习之路
08-05 5948
IPSec协议相关介绍
react-gatsby-firebase-authentication::hatching_chick::fire:用于通过Firebase和Gatsby.js中的简单React进行身份验证的入门项目样板
02-05
:hatching_chick: 盖茨比Firebase入门 使用Firebase和Plain React在Gatsby.js中进行最小但广泛的身份验证入门项目。 由技术支持 变化 产品特点 用途: 仅React( Gatsby.js ) 火力基地 特征: ...
django-rest-api-jwt-authentication:django rest框架,带有自定义用户的简单jwt auth
04-15
django-rest-api-jwt-authentication django rest框架,带有自定义用户的简单jwt auth专案要求* Python * Django套件安装转到博客所在的项目文件夹(使用控制台,使用cd命令),然后执行以下命令。 创建虚拟环境并...
passport-citrix-auth-service:Citrix Authentication Service 的 Passport 策略
05-31
用于 Passport 的 Citrix 身份验证服务 护照-citrix-auth-service Citrix Authentication Service 的 Passport 策略
Full-Stack-Authentication-:ReactRedux MongoDB Passport
05-12
全栈认证 ReactRedux MongoDB Passport
react-authentication-app:React Authentication App调用Rails后端应用程序
03-08
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: yarn start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何...
insomnia-plugin-azure-ad-authentication:失眠插件以获取Azure AD访问令牌
04-06
安装开始失眠, 点击“应用程序”->“首选项”,然后选择“插件”标签, 输入insomnia-plugin-azure-ad-authentication ,然后单击“安装插件”, 关闭对话框。用法打开一个新请求,切换到“标题”标签, 在标题名称...
koa-http-basic-auth::seedling:用于koa的HTTP基本身份验证中间件
02-03
koa-http-basic-auth 安装 npm npm install --save koa-http-basic-auth 纱 yarn add koa-http-basic-auth 用法 const Koa = require ( 'koa' ) ; ...const app = new Koa ( ) ;...app .... user : 'username
configmap_cafile_content.go:243] key failed with : missing content for CA bundle "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file"
06-13
这个错误是由于 Kubernetes extension-apiserver-authentication 组件在使用 requestheader 插件进行认证的时候,发现指定的 CA bundle 中缺少了 "client-ca::kube-system::extension-apiserver-authentication::requestheader-client-ca-file" 这个证书。你需要检查一下 requestheader-client-ca-file 这个证书文件是否存在,并且是否包含了正确的证书内容。如果证书文件存在但是内容不正确,可以尝试重新生成证书,并将新的证书内容写入到这个文件中。另外,也可以检查一下 Kubernetes API Server 的日志,看看是否有更详细的错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值