IPsec简介

最新推荐文章于 2023-04-22 19:20:01 发布
最新推荐文章于 2023-04-22 19:20:01 发布
阅读量189 收藏
点赞数
文章标签: 网络

标准现状

IPv6IETFIP协议分组通信制定的新的因特网标准,IPsec是其中必选的内容,但在IPv4中的使用则是可选的。这样做的目的,是为了随着IPv6的进一步流行,IPsec可以得到更为广泛的使用。IPsec协议在RFCs 2401-2409中定义,根据工作进展,至2004年会有新版的替换文档发布。

设计意图

IPsec被设计用来提供(1)入口对入口通信安全,在此机制下,分组通信的安全性由单个节点提供给多台机器(甚至可以是整个局域网);(2)端到端分组通信安全,由作为端点的计算机完成安全操作。上述的任意一种模式都可以用来构建虚拟专用网 (VPN),而这也是IPsec最主要的用途之一。应该注意的是,上述两种操作模式在安全的实现方面有着很大差别。

因特网范围内端到端通信安全的发展比预料的要缓慢。其中部分原因,是因为其不够普遍或者说不被普遍信任。公钥基础设施能够得以形成(DNSSEC最初就是为此产生的),一部分是因为许多用户不能充分地认清他们的需求及可用的选项,导致其作为内含物强加到卖主的产品中(这也必将得到广泛采用);另一部分可能归因于网络响应的退化(或说预期退化),就像兜售信息的充斥而带来的带宽损失一样。

IPsec与其它互联网安全协议的对比

IPsec协议工作在OSI 模型的第三层,使其在单独使用时适于保护基于TCPUDP的协议。这就意味着,与传输层或更高层的协议相比(如 SSL就不能保护UDP层的通信流),IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSLTLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。

认证头

认证头(AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。认证头试图保护IP数据报的所有字段,那些在传输IP分组的过程中要发生变化的字段就只能被排除在外。

认证头分组图示:

0123
0 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 70 1 2 3 4 5 6 7
下一个头载荷长度保留
安全参数索引(SPI)
序列号

认证数据(可变长度)

字段含义:

下一个头
标识被传送数据所属的协议。
载荷长度
认证头包的大小。
保留
为将来的应用保留(目前都置为0).
安全参数索引
与IP地址一同用来标识安全参数。
序列号
单调递增的数值,用来防止重放攻击。
认证数据
包含了认证当前包所必须的数据。

封装安全载荷 (ESP)

封装安全载荷(ESP)协议对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,IP分组头部不被包括在内。

ESP分组图示:

0123
01234567012345670123456701234567
安全参数序列(SPI)
序列号

载荷 *(可变长度)

填充(0-255 字节)
填充长度下一个头

Authentication Data (variable) 认证数据(可变长度)

字段含义:

安全参数索引
与IP地址一同用来标识安全参数
序列号
单调递增的数值,用来防止重放攻击。
载荷数据
实际要传输的数据。
填充
某些块加密算法用此将数据填充至块的长度。
填充长度
以位为单位的填充数据的长度。
下一个头
标识被传送数据所属的协议。
认证数据
包含了认证当前包所必须的数据。


iteye_9380
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
运营商网络中的"在线"加密(二)
PMC的专栏
10-16 2920
三种最常见的"在线"网络加密的实现方法是: 1.IPsec或 3层 (L3)加密 2.MACsec或 2层(L2)加密 3.OTN或1层(L1)加密
IPSec 基础介绍
qq_32044265的博客
11-28 4745
IPSec包括认证头协议AH、封装安全载荷协议ESP、因特网密钥交换协议IKE,用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换 本文对IPSec的安全联盟(Security Association)安全协议、封装模式、加密和验证、密钥交换和IKE协议以及IPSec的加密数据流进行简单介绍
IPSEC VPN详解
最新发布
weixin_57507186的博客
04-22 1万+
IPSEC 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。IPSEC VPN基于IPSEC构建在IP层实现的安全虚拟专用网。VPN-- virtual private network 虚拟私有网,利用隧道技术实现
数据传输性能与安全不能兼顾?Rambus安全方案“动静”两相宜
02-14 352
没有芯片如何成就数字化?没有高性能的芯片又如何实现绿色化?毋庸置疑,芯片对于推进数字化、绿色化“双转型”至关重要。有第三方机构预测,到2030年,全球芯片市场整体规模将突破1万亿美元,相较2021年翻一番。2022年初,欧盟委员会公布了酝酿已久的《芯片法案》,进一步凸显了芯片在推动当前数字化转型浪潮中的重要性。其实人们关注芯片,说到底还是重视其中数据处理和传输的性能、安全性和价值。在数智化时代,如...
虚拟网络介绍
bob的博客
02-08 3883
Intro Linux针对VM/Container提供了丰富的网络功能,下面介绍一些在云环境下常用的网络接口 Bridge 概况 一个Linux网桥扮演一个类似网络交换机的角色。网桥主要负责在连接到它的接口之间转发流量。路由器上流量转发,网关路由观法,或者虚拟机之间,或者同一个主机的不同的namespace之间。支持STP,VLAN过滤,支持多播监听。 适用场景 当你需要在虚拟机之间/容器之间/主机之间建立一个通信隧道那么就可以使用bridge bond 概况 Linux的bonding 驱动提供一种将多
IPSEC(上)--IPSEC简介+协议框架
YOUNG_SPY的博客
11-03 1861
IPSEC 思维导图:
阿里云 ubuntu16.04搭建IPSec服务
01-20
IPSec简介 IPSec(Internet Protocol Security):是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。 IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量...
美河制作.六个月成为网络专家.安全管理.IPSec简介
05-22
美河制作.六个月成为网络专家.安全管理.IPSec简介
IPSec介绍
热门推荐
NEUChords的博客
06-20 24万+
IPSec VPN介绍(上)1.IPSEC协议簇安全框架a.IPSec VPN简介b.IPSec协议族2.IPSEC工作模式a.传输模式(Transport mode)b.隧道模式(Tunnel mode)3.IPSEC通信协议a.AH协议b.ESP协议c.AH和ESP对比4.IPSEC建立阶段a.IKE协商阶段 1.IPSEC协议簇安全框架 a.IPSec VPN简介 IPSec(Interne...
IPSec
FSZ111的博客
11-16 2898
简介 IPSec协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络VPN。 IPSec协议体系 IPSec通过验证头AH和封装安全荷载ESP两个安全协议实现IP报文的安全保护。 AH是报文头验证协议i,主要提供数据源验证、数据完整性验证和防报文重放功能,不提供加密功能。 ESP是封装安全荷载协议,主要提供加密、数据源验证、数据完整性验证和防报文重放功能。 AH和ESP协议提供的安全功能依赖于
MACSec
weixin_45941807的博客
03-21 7492
MACSec 1.了解媒体访问控制安全(MACsec) 媒体访问控制安全 (MACsec) 是一种行业标准安全技术,为以太网链路上几乎所有类型流量提供安全通信。MACsec 在直接连接节点之间的以太网链路上提供点到点安全,能够识别并阻止大多数安全威胁,包括 拒绝服务、入侵、中间人、伪装、被动窃听和重放攻击。MACsec 在 802.1AE IEEE标准化。 您可以配置 MACsec 以保护连接交换机的点到点以太网链路,或者将交换机连接到主机设备(例如 PC、电话或服务器)的以太网链路。必须使用 MACsec
IPSec简介
miner_k的博客
06-10 8664
优点: 1.在网络层进行安全加密,便于公司和公司的信息传输的加密构建VPN 2.密钥协商的开销减少,只需要在公司出口的路由器上配置即可,不需要每个用户都做协商。 3.需要改动的应用程序很少, 缺点: 很难解决“抗抵赖”之类的问题。(A冒充B给对端发送数据) IPv4 的头 IPSec 体系结构 有两个安全协议ESP协议和AH协议,在协议中涉及...
IPsec技术介绍(转)
Better Me的博客
02-03 3万+
目  录 IPsec IPsec简介 IPsec的协议实现 IPsec基本概念 加密卡 IPsec虚拟隧道接口 使用IPsec保护IPv6路由协议 IKE IKE简介 IKE的安全机制 IKE的交换过程 IKE在IPsec中的作用 IPsec与IKE的关系 IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,
IPSec基本原理
曹世宏的博客
06-14 5万+
IPSec简介 为什么要实施? 实施的最大动机是省钱。 虚拟专用网络的分类: 虚拟专用网分类方法很多。 **站点到站点的虚拟专用网 ** ATM,Rrame Relay, GRE, MPLS 虚拟专用网 , **IPSec 虚拟专用网 **。 常用的是IPSec 虚拟专用网 。 远程拨号虚拟专用网 。 IPSec 虚拟专用网 , PPTP, L2TP + IPSec, **SSL 虚拟专用网 **。 常用的是SSL 虚拟专用网。 什么是IPSecIPSec(Internet Protocol
Ipsec *** + GRE隧道的MTU设置详细解析
weixin_33805743的博客
04-02 4609
Cisco给出的Ipsec ××× MTU设置标准是1400字节,MSS值是1360。一般平时都这样设置,但为什么这样设置呢??偶来解析下,也是对自己的总结。以下是GRE Tunnel MTU 设置的几个例子1. GRE隧道的情况利用GRE隧道技术封装之后,原来的数据包会在IP报头前面加入一个新的IP报头和新的GRE报头。如下图,假设原始数据报头是IPX,那...
IPsec技术介绍
u013982161的专栏
07-22 7630
IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:   l  数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。   l  数据完整性(Da
IPSec 原理简介
qq_23930765的博客
08-17 2857
一、 概述 IPSec是一项标准的安全技术,它通过在数据包中插入一个预定义头部的方式,来保障上层数据的安全。IPSec主要应用于IP网络层的安全保护。 IPSec技术提供了如下安全特性: 完整性:确保数据在传输中没有被第三方篡改; 源认证:认证数据发送源,确保合法源发送; 私密性:对数据进行加密,即使第三方能够捕获加密后的数据,也不能恢复。 另外IPSec头部有1个序列号片段,单调增长,用来标识一个数据包,从而抵御重放攻击,即第三方将截获的数据包复制,反复发送消耗接收方系统资源的手段。接收方
ipsec的简单介绍及应用
weixin_34026276的博客
08-20 1843
1.Ipsec的介绍IPSec (Internet Protocol Security)协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,...
做一个IpSec的教学课件
03-30
一、IPSec简介 IPSec是一种网络安全协议,用于保护数据的传输安全,可在网络层上对数据进行加密、认证和完整性校验。IPSec可用于建立虚拟专用网络(VPN),使远程用户和分支机构能够安全地访问企业网络。 二、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值