IPsec in Linux-2.6(二)

最新推荐文章于 2023-07-20 23:29:56 发布
最新推荐文章于 2023-07-20 23:29:56 发布
阅读量802 收藏 2
点赞数
文章标签: authentication internet 加密 exchange tcp 通讯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/open_free_share/article/details/5161780
版权

在上篇IPsec in Linux-2.6(一)中,讲述了IPsec 在传输模式(transport mode)两个静态IP建立IPsec 通道的过程。在这一篇文章中主要讲述如何理解IPsec工作原理和过程。

也就是要回答为什么IPsec你能够提供安全的数据通讯通道,或者IPsec 为什么被引入到TCP/IP协议栈中。

其实在原始的TCP/IP模型中,没有包括任何关于网络安全的设计,只要有人接入网络,监控并捕捉你的数据流,就有可能解析出你的数据,泄漏你重要的信息,尤其比如个人安全信息,个人隐私以及安全级别很高的重要信息等等。

那么IPsec引入主要包含了完整的安全机制:

1. 载 荷的加密(IP encapsulating security payload )-----RFC2406http://tools.ietf.org/html/rfc2406

2. 安全认证(IP Authentication)                                     -----RFC2402(http://tools.ietf.org/html/rfc2402

3 Internet密钥管理协议(Internet Key exchange)    -----RFC2409http://tools.ietf.org/html/rfc2409)

IPsec 主要利用封包技术实现数据的安全认证,负载的加密等。这里举一个很有意思的例子,来类比IPsec的工作原理。

假设一种通讯方式,在某些紧急时期,只有身份证的人才能写信通讯。比如老张的儿子叫小张,老李的儿子叫小李,老张/老李都有身份证,但是小张和小李没有身份证。如果小张和小李想写信通讯,那么他们最好的办法就是,小张写好自己的信,转交给老张,老张把小张的信装到一个大的信封,并在寄信栏写上自己的身份证号码,收信栏写老李的身份证号码。当老李收到这份信后,打开信封,发现最终收信人是小李,所以转交给小李。这样通过老张/老李这样的类似监护人中转方式使小张和小李完成一次通讯。

从IPsec的角度看,小张/小李写的信,就相当于原始的IP packet;老张/老李封大信封和拆大信封,就相当于给原始的IPsec packet 做二次封包和解包作用。

1. 载荷的加密(IP encapsulating security payload)

如果有好事之徒想偷看小张/小李写的信的内容,这时就需要引进安全机制,小张用暗语表来写信,那么小李就需要用相同的暗语表来读信。前提条件是他们都彼此有相同的暗语表。

同样在IPsec 中,发送端通过对IP载荷用两个host 端都事先约定的公钥,并使用相同的加密算法对IP packet 的payload加密,接收端用相同的公钥解密。

传输模式如下IPV4的IPsec packet 结构:
                  BEFORE APPLYING ESP
            ----------------------------
      IPv4  |orig IP hdr  |     |      |
            |(any options)| TCP | Data |
            ----------------------------

                 AFTER APPLYING ESP
            -------------------------------------------------
      IPv4  |orig IP hdr  | ESP |     |      |   ESP   | ESP|
            |(any options)| Hdr | TCP | Data | Trailer |Auth|
            -------------------------------------------------
                                |<----- encrypted ---->|
                          |<------ authenticated ----->.

从上图可以看出:EPS Hdr 被插入在IP Hdr 和上层协议TCP中间,因此加密的范围仅包含TCP数据段。

其中ESP Trailer包含Padding,Padding Length以及Next Header 域。


隧道模式IPV4的IPsec packet 结构:
            -----------------------------------------------------------
      IPv4  | new IP hdr* |     | orig IP hdr*  |   |    | ESP   | ESP|
            |(any options)| ESP | (any options) |TCP|Data|Trailer|Auth|
            -----------------------------------------------------------
                                |<--------- encrypted ---------->|
                          |<----------- authenticated ---------->|

从上图可以看出,在隧道模式下ESP对整个IP Packet尽心加密。


2. 安全认证(IP Authentication)   

对数据加密或许还不够,数据加密尽管是好事之徒不能读懂新的内容,但是他可以伪造一份信,或者把信的内容篡改后给小李。但是小李这边并不知道信被修改过。为了防止信件的篡改,所以可以根据信件内容的原始内容生成特征码,这样收信人很快就可以根据特征码判断新的内容是否被修改过。

在IPsec看来就是引入AH 头通过MD5值来认证内容是否被修改过。

传输模式如下IPV4的IPsec packet 结构:
                  BEFORE APPLYING AH
            ----------------------------
      IPv4  |orig IP hdr  |     |      |
            |(any options)| TCP | Data |
            ----------------------------

                  AFTER APPLYING AH
            ---------------------------------
      IPv4  |orig IP hdr  |    |     |      |
            |(any options)| AH | TCP | Data |
            ---------------------------------
            |<------- authenticated ------->|
                 except for mutable fields

隧道模式IPV4的IPsec packet 结构:
          ------------------------------------------------
    IPv4  | new IP hdr* |    | orig IP hdr*  |    |      |
          |(any options)| AH | (any options) |TCP | Data |
          ------------------------------------------------
          |<- authenticated except for mutable fields -->|
          |           in the new IP hdr                  |

 

3. Internet密钥管理协议(Internet Key exchange)

公共密钥。比如小张和小李用暗号写信时双方怎么知道彼此暗语的含义,也就是双方需要相同暗语映射表。

 


open_free_share
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openwrt-luci-ipsec:openwrt-luci-vpnd
07-11
openwrt-luci-vpnd openwrt-luci-vpnd
Data types,Operators,Expressions
Wayne_Mai的博客
01-04 980
Data types,Operators,Expressions Open,free,share 以下笔记为广泛收集摘录所得,如果有侵犯之处,欢迎向我反馈,这种情况下将采取删除有关内容的措施 1,C99 standard guarantees uniqueness of 63 characters for internal names. 2,C99 standard guara
爬虫思路:JS逆向载荷加密数据
雨宫Official的博客
07-20 1310
在爬虫进行模拟登录的时候,有时候会遇到载荷中的参数加密,下面对网站的载荷进行分析。可以看到这个方法将几个参数拼接起来了,然后在结尾加了个参数。运行看到可以模拟登录了,可以在模拟登录的状态下进行爬虫了。当然了,前提是你得先有这个网站的账号,才能进行模拟登录。经典的c4ca开头,可以确定用的就是md5加密。①pwd 也就是我们的密码 是经过了加密的。我们在访问的时候 带上参数就可以模拟登录了。可以看到,载荷中就三个参数是需要注意的。在这里可以找到了加密的地方。而加上前面的方法后进行了加密
Metasploit 生成带SSL加密载荷
CSDN
06-29 5866
得到:/root/.msf4/loot/20210629003816_default_110.242.68.4_110.242.68.4_pem_993753.pem。Impersonate_SSL模块,下载指定网站的证书。3.打开生成文件,然后加入到shellcode执行盒中。2.生成带有ssl证书的shellcode代码。如果需要自己制作证书,则可以使用,脚本生成。2.非交互生成shellcode。1.通过openssl伪造证书。
Linux内核ipsec密码库,关于2.6.18 ipsec内核支持(NETKEY)的问题
weixin_29210759的博客
04-30 275
请教各位:本人在将Linux内核对ipsec的支持模块(也就是NETKEY)移植到ARM上的时候,遇到了如下的问题:在交叉编译的时候,如下的module已经在makemenuconfig已经选中:~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~`Networking--->Networkingoptions--->Transformationuser...
Util方法:收集了一些常用的方法,一起freeopenshare
NoClay's Home
07-22 487
说明本Util方法集为博主收集使用而来,不一定都使用过,如遇到一下问题请联系博主! 方法错误=_=请一定联系我,大家互相帮助下! 方法过时=_=这个讲真,太有可能了,同上! 有新的方法想要给我的,太感谢了! 方法库:https://github.com/NoClay/UtilsRepositoryAndroidUtil方法列表 限定符和类型 方法和说明 static Bitmap ge
基于Linux 2.6版本的IPSec 实现研究
02-28
基于Linux 2.6版本的IPSec 实现研究
基于Linux2.6内核的IPSec实现研究.pdf
09-06
基于Linux2.6内核的IPSec实现研究.pdf
Linux内核2.6版中IPSec实现的研究.pdf
09-07
Linux内核2.6版中IPSec实现的研究.pdf
Linux 2.6内核中IPSec支持机制分析.pdf
09-06
Linux 2.6内核中IPSec支持机制分析.pdf
IPsec in linux-2.6(一)
open_free_share的专栏
01-08 2301
1. 理解 IPsecIPsec 是一种建立在 Internet 协议 (IP) 层之上的协议。 它能够让两个或更多主机以安全的方式来通讯 (并因此而得名)。IPsec 包括了两个子协议:    *Encapsulated Security Payload (ESP) , 保护 IP 包数据不被第三方介入, 通过使用对称加密算法 (例如 Bl
LinuxIPsec-tools的使用
ai58203的博客
07-26 578
Ipsec-tools有人工和自动两种方式来管理SA。 Manual keyed connections using setkey 所有连接所需的参数均由管理员提供。不使用IKE协议来自动认证对端和协商参数。管理员来决定用哪个协议、算法和密钥来创建安全联盟。 Transport Mode 使用Setkey命令可以修改SAD和SPD中存储的所有参数。Setkey -...
linux 2.6ipsec的使用
ufwt的专栏
06-24 1591
可以参考http://www.ipsec-howto.org/ 1。编译kernel 2.6必须选择下面的选择 CONFIG_INET_AH CONFIG_INET_ESP CONFIG_XFRM_USER可能还要安装module-init-tool如何生成kernel看另外的文档 2。ipsec-tools /configure --prefix=/ make make install 3。两台
Linuxipsec的支持
daa20的专栏
06-17 1733
转:https://blog.csdn.net/cxw06023273/article/details/83809492 前言 在Linux2.6内核中自带了PF_KEY协议族的实现,这样就不用象2.4那样打补丁来实现了。内核中PF_KEY实现要完成的功能是实现维护内核的安全联盟(SA)和安全策略(SP)数据库, 以及和用户空间的接口。 以下内核代码版本为2.6.19.2, PF_KEY相关代...
第五次作业函数第一题代码
05-01
第五次作业函数第一题--
基于深度学习的作物病害诊断内含数据集和运行环境说明.zip
05-01
本项目旨在利用深度学习方法实现作物病害的自动诊断。作物病害是农业生产中的重要问题,及时诊断和处理对于减少产量损失至关重要。 我们采用深度学习算法,通过分析作物的图像,实现对病害的自动识别和分类。项目使用的数据集包括公开的作物病害图像数据集,如ISIC等,并进行了预处理,包括图像增强、分割和特征提取等。 在运行环境方面,我们使用Python编程语言,基于TensorFlow、PyTorch等深度学习框架进行开发。为了提高计算效率,我们还使用了GPU加速计算。此外,我们还采用了Docker容器技术,确保实验结果的可重复性。 项目完成后,将实现对作物病害的快速、准确诊断,为农业生产提供有力支持,有助于减少产量损失。同时,项目成果也可应用于其他图像识别和分类任务。
机械设计CD驱动印刷设备step非常好的设计图纸100%好用.zip
05-01
机械设计CD驱动印刷设备step非常好的设计图纸100%好用.zip
tensorflow-2.7.2-cp37-cp37m-manylinux2010-x86-64.whl
最新发布
05-01
python烟花代码
python烟花代码示例
05-01
附件中是一个简单的烟花效果的代码示例: 在Python中,可以使用多种方式来模拟烟花效果,其中一种常用的方法是使用turtle模块,它提供了一个画布和一个小海龟,可以用来绘制各种图形。 这段代码首先导入了turtle模块和random模块,然后在屏幕上绘制了10次烟花爆炸的效果。每次爆炸都是由5个小圆组成,颜色随机选择,圆的大小也是随机的。 请注意,这段代码需要在支持turtle模块的Python环境中运行,并且需要有图形界面的支持。如果你在没有图形界面的环境中(比如某些服务器或者命令行界面),这段代码可能无法正常运行。
ipsec linux启用
12-06
为了在Linux上启用IPSec,您需要执行以下步骤: 1.安装必要的软件包。在大多数Linux发行版中,您可以使用以下命令安装所需的软件包: ```shell sudo apt-get install strongswan ``` 2.配置IPSec。您需要编辑...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值