IPsec ESP与AH首部数据校验与加密范围

最新推荐文章于 2024-04-29 22:05:43 发布
最新推荐文章于 2024-04-29 22:05:43 发布
阅读量3.4k 收藏 18
点赞数 1
分类专栏: HCIA/HCIP sercurity 网络技术 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/124522735
版权

AH

AH协议仅包括数据的认证,数据完整性校验以及防报文重放攻击,如上图可知,无论是传输模式还是隧道模式,AH的认证范围都是全部的报文,AH的数据校验字段是包含在AH首部当中的,所以这虽然看起来很不错,但是当这类报文在经过NAT之后,IP首部中的地址发生变化,AH首部中的校验字段将与经过NAT后的报文匹配不上,所以这将导致数据报文传送到对端后,对端会直接将其丢弃,这主要原因就是AH的校验字段中记录的校验和与根据现有报文计算出来的校验和不一样。

ESP

从上图可知,ESP无论是传输还是隧道模式,它的认证范围都仅仅在ESP首部和ESP尾部这段范围,ESP的校验数据是添加在ESP尾部的,也就是ESP AUTH DATA这个字段,那么为什么ESP会有ESP尾部?其实本质原因是因为ESP是具备加密功能的,所以比如在使用AES这样的加密算法的时候,需要输入固定长度的字段,所以需要在ESP的尾部作填充。

ESP的加密范围比起认证范围少了一个ESP首部的字段。

因为无论在传输模式还是隧道模式,ESP的认证范围没有包括IP首部,所以ESP是可以进行NAT操作的。

Mllllk
关注
  • 1
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
中国科大网络安全协议 ipsec ahesp协议
08-23
中国科大网络安全协议 ipsec ahesp协议
IPSecESPAH协议的区别
08-07
**ESPAH的对比:** 1. ESP提供了加密功能,而AH则没有。这意味着ESP可以隐藏数据内容,而AH只能保证数据包未经篡改。 2. AH的认证是对整个IP数据包进行的,包括IP头,但为了认证,必须清零某些可变的IP头字段(如...
计算机网络安全复习 第7章IP安全
JIUZHOUU的博客
06-21 976
七、IP安全 1、IP/IPsec 2、TCP/IP协议的封装 3、分组转发:分组从一个网络到另一个网络的过程 跳(hop )、 下一跳(next-hop)路由器:转发通路上的一个路由器被称为一跳(站)。转发通路上,与某路由器相邻接的下游路由器称为其下一跳路由器。 路由器的基本组件:路由表、转发器、路由协议 在一个路由器中,IP 分组被转发到哪里决定于:该路由器的路由表的内容、分组的目的地址 4、IPsec应用 IPSec提供对跨越LAN/WAN,Internet的通讯提供安全性,增强所有分布式应用的安
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议
luming的博客
11-13 8362
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IP路由安全:保护网络免受威胁
最新发布
JAZJD的博客
04-29 1552
在当今互联的世界中,确保网络通信的安全至关重要。IP路由安全是网络安全的重要组成部分,它涉及保护通过 IP 网络传输的数据以及确保路由协议本身的安全。在本博客中,我们将探讨 IP 路由安全的主题,包括 IPv4 和 IPv6 协议的安全性分析、IPsec 的介绍,以及确保路由安全的最佳实践。发送方发送方根据 IP 数据包(包括标头)计算哈希值。哈希值和一些其他安全参数被添加到 AH 头中。IP 数据包被封装在 AH 头内,然后封装在外部 IP 头中。
5.2 IPSec之二----安全协议
m0_56534254的博客
11-03 2270
认证数据是可变长度字段,取决于采用的认证方法,认证数据也称为完整性校验值(ICV),该字段必须为32位的整数倍。传输邻接:指对同一个IP数据报多次应用传输模式的AHESP两种协议,但只允许两种协议一个层次的组合。对于IPv6,与相应协议和模式下的IPv4相比,IPv6的与路由无关的扩展头也得到保护。下一个头标指被保护的IP荷载的值 ,比如传输层协议数据TCP值为6,UDP值为17。传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包。每发送一个包,外出的安全关联的计数器增1。
IPSec简介
miner_k的博客
06-10 8629
优点: 1.在网络层进行安全加密,便于公司和公司的信息传输的加密构建VPN 2.密钥协商的开销减少,只需要在公司出口的路由器上配置即可,不需要每个用户都做协商。 3.需要改动的应用程序很少, 缺点: 很难解决“抗抵赖”之类的问题。(A冒充B给对端发送数据) IPv4 的头 IPSec 体系结构 有两个安全协议ESP协议和AH协议,在协议中涉及...
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9307
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
安全防御 --- IPSec理论(01)
weixin_62443409的博客
05-04 9947
是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。
ip_vs_proto_ah_esp.rar_ESP_IPSEC AH ESP_ip_vs_proto_ah_esp
09-21
AH/ESP IPSec load balancing support for IPVS
基于FPGA的万兆网的IPsec ESP协议设计与实现.pdf
07-13
基于FPGA的万兆网的IPsec ESP协议设计与实现.pdf
基于IPSec安全协议的网络数据传输入侵检测模型
01-12
利用IPSec安全协议完成网络数据传输通信数据检测,分析了IPSec安全协议中的AH协议和ESP协议,使用不同的安全策略分布密钥,建立双向通讯流,并根据安全关联终点数量构建出3种嵌套隧道通信传输检测扩展方式,利用DBN...
网络安全技术】IPsec——AHESP
TheSysy的博客
12-06 2906
IPsecAHESP,传输模式,隧道模式
安全防御 --- IPSec理论(03)
weixin_62443409的博客
06-25 9467
当隧道出现异常,检测出异常重新发起协商,维持隧道。:AH协议会校验外层IP地址,无论是传输还是隧道NAT都回转换外层IP地址,完整性都会被破坏,AH协议无法与NAT兼容。(标准的IKE SA的主模式使用IP地址作为身份ID,nat会破坏IP地址故而不支持主模式,仅支持野蛮模式):ESP不会对外层IP做认证或校验,所以完整算法不会被NAT破坏,但是TCP会进行头部校验。:ID可以自定义为字符串,NAT无法破坏,可正常完成第一阶段身份认证。:第5、6包的认证ID,由于NAT破坏无法完成身份认证。
TCP-IP详解:ESP(IPSec Encapsulating Security Payload)
热门推荐
深邃 精致 内涵 坚持
09-29 2万+
ESP(IPSec Encapsulating Security Payload) ESP相比AH来讲,拥有我们想要的加密功能,协议会通过加密算法将数据和Key将数据进行组合,转换成加密格式,然后送给目的端,先来看下几个比较重要的域。
详解IP安全:【IPSec协议簇 - AH协议 - ESP协议 - IKE协议】
小司机的奥拓
04-17 999
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPSec技术+实验
weixin_45123715的博客
04-03 1588
IPSec是一系列为IP网络提供完整性、安全性的协议和服务的集合,通过使用IPSec可以安全地进行IP业务的传输,实现VPN网络互连,他并不是一个单独的协议 IPSec体系结构: IPSec包括认证头协议(AH)、封装载荷协议(ESP)、因特网密钥交换协议(IKE),用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据流。AHESP用于提供安全服务,IKE协议用于密钥交换 IPSec VPN只能对单播流量进行加密,不能加密组播流量 IPSec协议体系:安全协议,加密,验证,密钥交换 安全
IPsec协议的ESP报文的装包与拆包过程
chenxz_的博客
12-23 1万+
一、IPsec简介 了解网络层相关知识应该就知道IP协议是不可靠的网络层协议,因此存在很多安全隐患。因此对IP协议进行安全加强的迫切需要催生了IPsecIPsec网络层将IP报文进行处理之后再传输,增强了IP报文的安全性。准确来说,IPsec不是一个单独的协议,而是一组协议。 IPSec是IPv6的组成部分,也是IPv4的可选扩展协议,能保证IP报文的数据保密性(加密)、数据完整性度量...
IPsec协议族之AHESP协议
日积月累
01-13 3712
espah
IPSECAHESP对应的协议号
07-15
AH(认证头)和ESP(封装安全负载)是IPSec(Internet协议安全性)协议中的两种主要协议。它们分别有对应的协议号。 AH的协议号为51,它提供数据完整性和源认证的功能。AH在IP数据包中添加认证头,用于验证数据包在传输过程中是否被篡改,以及数据包的来源是否合法。 ESP的协议号为50,它提供数据加密数据完整性和可选的源认证功能。ESP在IP数据包中封装安全负载,用于保护数据包的机密性和完整性,同时也可以选择性地提供数据包的源认证。 这些协议号用于在IPSec通信中标识使用的安全协议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值