IPsec概述

最新推荐文章于 2023-11-04 00:12:21 发布
最新推荐文章于 2023-11-04 00:12:21 发布
阅读量2.8k 收藏 5
点赞数
分类专栏: 网络工程师 文章标签: 网络 网络协议 ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44948209/article/details/122511237
版权

基本概念:

IPsec(Internet Protocol Security)是IETF定义的一个协议组。

通信双方在IP层通过加密完整性校验数据源认证等方式,保证了IP数据报文在网络上传输的机密性完整性和防重放

  • 数据源认证:接收方验证发生方身份是否合法。
  • 数据加密:发送方对数据进行加密,以密文的形式在互联网上传送,接收方对接收的数据解密后处理或者直接转发。
  • 数据完整性:接收方对接收的数据进行验证,以判定报文是否被篡改。
  • 抗重防:接收方拒绝旧的和重复和数据包,防止恶意用户通过重发捕获到的数据包所进行的恶意攻击。

IKE

因特网密钥交换协议IKE(Internet Key Exchange),基于UDP,500端口号,应用层协议。

IKE负责建立和维护IKE SAs和IPsec SAs。功能主要体现在如下几个方面:

  • 对双方进行认证
  • 交换公共秘钥,产生秘钥资源,管理秘钥
  • 协商协议参数(封装,加密,验证…)

IKE的三个组件:

  • SKEME:实现公钥加密认证的机制。
  • Oakley:基于到达两个对等体间的加密秘钥的机制
  • ISAKMP:在两个实体间进行分组格式及状态转换的消息交换的体系结构。

IPsec的身份验证方式:

  1. 预共享认证:常用,比较简单
  2. RSA公钥(数字证书)
  3. 数字信封的方式

IKE有两个版本:

  • IKEv1-----思科默认
  • IKEv2-----华为默认

KKEv1的阶段:

  1. 阶段一:协商安全参数,建立IKE SA (SA称为安全关联)

    主模式(6个包分三对),建立IKE SA

    野蛮模式(3个包),建立IKE SA

  2. 阶段二:再建立IKE SA的基础上保护感兴趣流,建立IPSEC SA

    快速模式(3个包),建立IPSEC SA

  • 阶段一的主模式

    第一对消息:发送明文

    ​ 发送方发送安全提议(加密算法,hash,认证方式,密钥有效性)到接收方,要求接收方去匹配安全提议,协商一致

    第二对消息:明文发送

    ​ 使用DH算法用来产生密钥,对数据进行加密

    第三对消息:密文发送

    ​ 对身份认证以及对整个主模式内容的认证

    阶段二快速模式的过程:

    ​ 第一个包:发送方发送本端的安全参数(安全协议,封装模式,加密算法等)和身份认证信息

    ​ 第二个包:响应方发送确认的安全参数和身份认证信息并生成新的密钥

    ​ 第三个包:发送方发送确认的信息,确认与响应方可以进行通信,协商结束

IPsec体系结构:

IPsec VPN的体系结构主要由AH(Authentication Header),ESP(Encapsulating Security Payload),IKE(Internet Key Exchange)协议套件组成。

  1. AH协议:基于IP协议,协议号51,提供数据源校验,数据完整性校验和防重防,不对数据进行加密。
  2. ESP协议:基于IP协议,协议号50,主要提供对IP报文进行加密,ESP不对IP头的内容进行保护,支持AH的所有功能(可选)。
  3. IKE协议:完成IPSec通信对等体间的安全联盟SA(Security Association)协商,协商出对等体间数据安全传输需要的认证算法、加密算法和对应的秘钥。分自动协商IKE和手工交换秘钥。

IPSec封装模式

IPsec分传输模式隧道模式

传输模式:在IP报文头和高层协议之间插入AH和ESP头。传输模式中的AH或ESP主要对上层协议数据提供保护。

隧道模式:AH或ESP封装在原始IP报文头之前,并另外生成一个新的IP头封装到AH或ESP之前。隧道模式可以完全的对原始IP数据报进行认证和加密,而且可以使用IPSec对等体的IP地址来隐藏客户机的IP地址。

传输模式和隧道模式比较:

  • 安全性来讲,隧道模式优于传输模式。它可以完全对原始IP数据包进行验证和加密。隧道模式下可以隐藏内部IP地址,协议类型和端口。

  • 从性能上来讲,隧道模式有一个额外的IP头,所有它将比传输模式占用更多的带宽。

当安全协议同事采用AH和ESP时,AH和ESP协议必须采用相同的封装模式。

数据封装格式

AH在传输模式下封装

原始IP头部AHTCP负载

ESP在传输模式下封装

原始IP头部ESP头部TCP负载ESP尾部ESP验证数据

AH在隧道模式下封装

新的IP头部AH原始IP头部TCP负载

ESP在隧道模式下封装

新的IP头部ESP头部原始IP头部TCP负载ESP尾部ESP验证数据

认证算法和加密算法

认证算法:IPsec一般可以使用两种认证算法

  • MD5:MD5通过输入任意长度的消息,产生128比特的消息摘要。
  • SHA-1:SHA-1通过输入长度小于2的64次方比特的消息,产生160bit的消息摘要。

加密算法:IPsec一般使用DES,3DES以及AES三种加密算法。

  • DES:56bit的秘钥对64bit的明文进行加密。

  • 3DES:使用三个56bit的DES秘钥,对明文进行加密。

  • AES:使用128bit,192bit,256bit秘钥长度的AES算法对明文进行加密。

    安全性从低到高:AES,3DES,DES。安全性越高实现机制越复杂,运行速度越慢。普通安全需求使用DES就能满足需求。

秘钥有效期:

默认为86400s,即24小时

陨石DA
关注
专栏目录
IPSec:互联网协议安全机制的深度解析与应用
IT技术分享社区
07-01 965
因特网密钥交换(IKE):IKE协议是IPSec中的核心组件,负责协商和管理IPSec连接的安全参数和密钥,包括建立安全关联(Security Associations, SAs)。而安全关联则是IPSec操作的具体实例,包含了所使用的安全协议(AH、ESP或两者)、加密和认证算法、密钥以及SA的有效期限等具体参数。封装安全载荷(ESP):ESP协议除了提供类似AH的完整性保护外,还支持数据加密功能,通过在原始IP数据包外附加一个加密的安全载荷部分来保证数据的机密性。
IPSec 概述
07-02
适用于初学者了解IPSec,了解他的模式,以及里面的协议。
ESP传输模式拆解包流程
s154421897的博客
10-15 1万+
一、      ESP简介        ESP,封装安全载荷协议(Encapsulating SecurityPayloads),是一种Ipsec协议,用于对IP协议在传输过程中进行数据完整性度量、来源认证、加密以及防回放攻击。可以单独使用,也可以和AH一起使用。在ESP头部之前的IPV4、IPV6或者拓展头部,应该在Protocol(IPV4)或者Next Header(IPV6、拓展头部)
期末带你复习《计算机网络管理技术》
qq_37505682的博客
06-21 1877
巢湖学院2022年网工期末考试重点内容
IPsec协议过程
City_of_skey的博客
01-23 1万+
版权声明:如有需要,可供转载,但请注明出处:https://blog.csdn.net/City_of_skey/article/details/86618784 1、ipsec协议简介 IPSec是在网络层构建的安全虚拟专有网络,通过在数据包中插入一些预定义的头部,实现对网络层以上的协议数据安全。不同于ssl应用层的加密。IPSec内核加密支持的库是xfrm。 ipsec安全体系 ...
安全防御 --- IPSec理论(01)
weixin_62443409的博客
05-04 1万+
是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。
IPSec简介
miner_k的博客
06-10 8675
优点: 1.在网络层进行安全加密,便于公司和公司的信息传输的加密构建VPN 2.密钥协商的开销减少,只需要在公司出口的路由器上配置即可,不需要每个用户都做协商。 3.需要改动的应用程序很少, 缺点: 很难解决“抗抵赖”之类的问题。(A冒充B给对端发送数据) IPv4 的头 IPSec 体系结构 有两个安全协议ESP协议和AH协议,在协议中涉及...
ipsec之AH,ESP
兼容并蓄终宽阔,若谷虚怀鱼自游
02-19 6726
之前上学的时候学到的,后来长久不用有些忘记,前两天工作又碰到人提起,记录下wiki。 sec uses the following protocols to perform various functions:[10][11] Authentication Headers (AH) provide connectionless integrity and data origin a
IPSec基础教程-IPSec概述
04-15
IPSec基础教程-IPSec概述 IPSec(Internet Protocol Security)是一种安全协议,旨在保护IP网络中的数据传输安全。随着网络安全问题的日益严重,IPSec成了企业网络安全的核心组件之一。 Below are the key points ...
ipsec笔记.docx
06-19
#### 一、IPsec概述 IPsec(Internet Protocol Security),即互联网协议安全,是一种用于提供互联网通信安全的技术框架。它通过为IPv4和IPv6网络中的数据包提供加密和认证服务来确保数据的安全传输。IPsec可以在...
ipsec内核实现分析
07-04
在现代网络安全领域,IPsecIP Security)协议扮演着至关...总而言之,本文的分析和提供的知识点为Linux内核中IPsec协议的实现提供了全面的概述,是研究者、开发者和网络工程师了解和掌握IPsec技术的重要参考资料。
IPsec密码学评估
11-09
在《IPsec密码学评估》这篇文档中,作者尼尔斯·弗格森(Niels Ferguson)与布鲁斯·施奈尔(Bruce Schneier)针对IPsec协议的安全性和设计进行了深入分析与批评。文章详细探讨了IPsec中的认证头部(Authentication ...
IPSEC详解
热门推荐
qq_45782298的博客
05-05 3万+
1、什么是IPSec IPSec(Internet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一些列协议,它为IP数据包提供了高质量的、基于密码学的安全传输特性。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。 私有性:指对用户数据进行加密,用密文形式进行传送。 完整性:指对接收的数据进行认证,以判定报文是否被篡改。 防重放:指防止恶意用户通过重复发送捕获到的数据包进行攻击
IPSEC 加密算法详解
weixin_44383922的博客
08-23 9102
一.加密技术的分类 1.1 块加密Block Cipher (对称秘钥算法) 将明文分成固定长度的块(不足的bit 用0补足), 逐块加密. 算法不同, 分块大小不相同 密文长度一般稍长于原文长度(填充部分) 1.2 流加密Stream Cipher (对称秘钥算法) 逐bit 加密 密文长度与原文长度一致 1.3 理想的加密算法: 能够抵御密码学攻击(破译密码) 秘钥长度可变或者够长, 可扩展(便于管理) 具有雪崩效应(明文有一点不同, 则密文就完全不同, 无法还原) 没有进出口政策限制(通用性足够好,
ipsec 详解
qq_40390383的博客
09-01 3万+
目录 加密算法 对称加密算法 非对称加密算法 DH算法 RSA 公钥+私钥 (成对出现) IPsec IPSec VPN简介 ipsec的工作模式 IPsec通信协议 1、AH协议(Authentication Header,认证报头) 2、ESP协议 IPSec vpn建立 IKE Ipsec数据传递图 对于ipsec vpn 最重要的是安全 安全 三要素 安...
IPSec详解
Anakin01的博客
05-25 8452
与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。ESP协议验证报文的完整性检查部分包括ESP头、原IP头、传输层协议头、数据和ESP报尾,但不包括新IP头,因此ESP协议无法保证新IP头的安全。ESP协议验证报文的完整性检查部分包括ESP头、传输层协议头、数据和ESP报尾,但不包括IP头,因此ESP协议无法保证IP头的安全。明文数据----------同样的散列算法(MD5算法)---------算出散列值2(67890)
学习IPSec笔记总结(一)---------IPSec的基础知识
Zero_Knight的博客
03-05 5547
IPSecVPN(Internet Protocl Security):是一组基于网络层的,应用密码学的安全通信协议族。与TCP/IP协议簇一样,IPSec不是指具体的哪个协议,而是一个开放的协议簇。 IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务(综合了密码技术,和协议安全机制) IPSec PVN:是基于IPSec协议簇构建的在IP层实现的数据安全虚...
IPSEC 的IKE协商过程,主模式和野蛮模式,AH和ESP
weixin_44809632的博客
07-20 2万+
一. 基本名词解释: 1.IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2.安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、安
路由器基础(十二):IPSEC VPN配置
最新发布
limengshi138392的博客
11-04 9576
路由器基础(十二):IPSEC VPN配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陨石DA

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值