网际层的安全协议——IPSec

已于 2022-11-10 11:01:50 修改
阅读量4.8k 收藏 4
点赞数 1
分类专栏: 网络安全 文章标签: 安全 网络 网络安全 计算机网络
于 2022-11-08 16:37:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51789211/article/details/127753474
版权

文章目录

一、IPSec(Internet Protocol Security)

1. IPSec概述

  • 旨在网际层实现IP分组端到端的安全传输

  • 实际是一个协议包,由一组安全协议组成(包括AH、ESP、SA和IKE等)

序号协议功能
1SA(Security Association)用于描述双方如何安全地通信
2AH(Authentication Header)实现数据完整性检测
3ESP(Encapsulating Security Payload)实现数据加密和数据完整性检测
4IKE(Internet Key Exchange protocol)实现安全关联两端之间的双向身份鉴别,及安全关联相关参数的协商

2. 传输模式和隧道模式

为保证传输的安全,发送方和接收方应当是安全关联的两端。(关于安全关联,会在后文继续讨论)。

IPSec有以下两种工作模式,因为AH和ESP的工作模式略有差异,所以此处仅介绍概念,具体过程在"二、IPSec的组成"中有关AHESP的部分讨论。

  • 传输模式

    • 用于保证数据从端到端的安全传输,并对源端进行鉴别。

    • 此时:

      • IPSec保护的数据是作为IP分组净荷的上层协议数据。

      • IP分组中源IP地址为发送端的IP地址,目的IP地址为接收端的IP地址。

  • 隧道模式

    • 源端和目的端各自的内部网络被一个公共网络分隔,在两个内部网络和公共网络之间各设置一个路由器(边界路由器),
    • 此时:
      • 发送端发出的IP分组被视为净荷封装在边界路由器R1中,此时整个。
      • 在公共网络中传输的IP分组中源IP地址是R1的IP地址,目的IP地址是R2的IP地址。

请添加图片描述

源端安全关联的发送端安全关联的接收端目的端
PC1R1R2PC2

二、IPSec的组成(SA、AH、ESP和IKE)

1. 安全关联(SA——Security Association)

什么是安全关联?

  • 安全关联是建立于发送者与接收者之间的关联,以期实现端源鉴别、数据加密和数据完整性

  • 安全关联是单向的(发送者至接收者传输方向)

  • 安全关联由三个信息来唯一确定:

    (①安全参数索引SPI——Security Parameters Index;②目的IP地址;③安全协议标识符)

    • SPI:接收者相同的安全关联之间需要分配不同的SPI(同目的IP地址的安全关联,其SPI不能相同)
    • 目的IP地址:接收端的IP地址
    • 安全协议标识符:指定安全协议是AH还是ESP

需要传输的数据需要先与安全关联绑定

  • 发送者建立安全策略数据库(SPD——Security Policy Database)来实现数据与安全关联的绑定:
    根据SPD中的策略,来将数据分类地施加不同的安全策略(包括丢弃、使用IPSec和不使用IPSec)。

  • 安全关联数据库(SAD——Security Association Database):
    SAD保存了已经建立的可用的安全关联SA条目。

安全关联有一些相关的参数

序号参数名功能
1序号防重放攻击
2防重放攻击窗口区分收到的报文是否是重放报文
3AH信息AH协议的参数
4ESP信息ESP协议的参数
5安全关联的寿命确定安全关联存在的时间(可以是时间,也可以是允许发送的字节数)
6IPSec的协议模式有①传输模式和②隧道模式
7路径最大传输单元(MTU)不切片的情况下,最大允许传输的分组长度

2.鉴别首部( AH——Authentication Header)

  • 报文封装
    ①传输模式:直接在IP分组中的"IP首部"后插入AH首部。

在这里插入图片描述

②隧道模式:将源端发来的整个IP分组看作是一个"新净荷",并在其和"新IP首部"(源IP地址是安全关联的发送端|目的IP地址是安全关联的接收端)之间插入AH首部。
在这里插入图片描述

  • 源端鉴别和完整性检验,鉴别算法一般有:HMAC-MD5-96和HMAC-SHA-1-96

    以下选择HMAC-MD5-96算法(鉴别数据存放在AH首部)

    • 发送端进行如下操作:
      在这里插入图片描述

    • 接收端进行如下操作:

在这里插入图片描述

3. 封装安全净荷(ESP——Encapsulating Security Payload)

  • 报文封装

    ①传输模式:直接在IP首部和净荷之后分别插入ESP首部和尾部,并在末尾附上鉴别数据

在这里插入图片描述

②隧道模式:在"新IP首部"(源IP地址是安全关联的发送端|目的IP地址是安全关联的接收端)和"新净荷"后分别插入ESP首部和尾部,并在末尾附上鉴别数据。

在这里插入图片描述

  • 源端鉴别和完整性检测:原理和AH相同,但不同的是,ESP的鉴别范围只覆盖ESP头部净荷ESP尾部

4. Internet密钥交换协议(IKE——Internet Key Exchange protocol)

IKE用来干嘛?

  • AH和ESP能实现其安全功能的前提是,安全关联SA已经建立。

    而静态地建立安全关联不够灵活,所以利用IKE来动态地建立安全关联协商相关参数

    • 不是每种情况都会启动IKE,只有在:

      • IP分组在SPD(安全策略数据库)中被设定为使用IPSec
      • 且在SAD(安全关联数据库)中没有找到一条合适的安全关联时

      才会启动IKE,试图动态地建立一条新的安全关联(可以将这个过程类比于路由的过程:先查看路由表内是否有合适的路由线路,若没有再尝试另辟蹊径)

在这里插入图片描述

IKE是如何完成动态建立安全管理的?

分两个阶段:

  • 阶段一:
    ①主模式:建立安全传输通道(可以理解为建立IKE安全关联),六次发包包含了三轮双向信息交互。

在这里插入图片描述

②积极模式(通常不使用):该模式只有三次发包,多数的信息都被包含在了IKE的策略中,速度快,但不安全。

  • 阶段二:
    快速模式:建立安全关联(此处的安全关联指IPSec安全关联),过程可类比于"TCP的三次握手"。

在这里插入图片描述

IPSec是一种在TCP/IP中的网际层实现IP分组端到端安全传输的机制,由一组安全协议组成(SAAHESPIKE等)。
SA描述双方如何安全通信、AH实现数据完整性检测、ESP实现数据加密和完整性检测,而IKE实现两端之间安全关联的建立及相应参数的协商。

Neonline
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPsec
weixin_41324527的博客
04-05 5426
1. IPsec 概述 IPSec(IP security)是一种开放标准的框架结构,特定的通信方之间在IP通过加密和数据摘要(hash)等手段,来保证数据包在Internet网上传输时的私密性(confidentiality)、完整性(data integrity)和真实性(origin authentication)。 IPSec只能工作在IP,要求乘客协议和承载协议都是IP协议。 通过加密保证数据的私密性 对数据进行hash运算来保证完整性 通过身份认证保证数据的真实性 预共享密钥 数字签名
深入解析IPSec:AH、ESP和IKE协议的协同工作原理
最新发布
qq_44103359的博客
05-14 561
IPSec(Internet Protocol Security)是一种用于在IP提供安全通信的协议簇,它通过加密和认证确保数据在传输过程中的机密性和完整性。本文将详细解释这些协议的工作原理和它们在IPSec中的作用。IPSec是一种强大的网络安全协议簇,通过AH、ESP和IKE协议提供数据加密、认证和密钥交换功能。AH使用哈希函数和密钥来生成一个消息认证码(MAC),确保数据在传输过程中未被篡改,并验证发送方的身份。与AH不同的是,ESP将加密后的数据放在一个新的IP数据包中,从而保护了数据内容。
华为路由器 IPSec VPN 配置
weixin_44854017的博客
01-17 1113
通过 IPSecVPN 实现上海与成都内网互通。
IPsec IKEv1中预共享密钥下使用标识符进行表示出现的问题
qq_47529104的博客
05-04 6651
问题描述 如图所示,在IKEv1的主模式下使用标识符的方式而不是使用IP地址的方式去标识IPsec的双端就会导致主模式无法协商完成的情况,其主要原因就是主模式无法根据第一次数据报的交互中找寻到相关的预共享密钥用于后续的密钥生成,所以这就是主模式无法协商成功的原因以及野蛮模式出现的原因。 当使用IKEv2时 和上面的场景一模一样的配置,当我将版本切换成IKEv2后就可以进行正常的交互。 ...
防火墙——IPSec协议框架(IPSec1)
m0_49864110的博客
05-17 6964
IPsec与多分支建立IPsec的实验中,总部配置多个ACL(感兴趣流)来使得不同的数据走不同的隧道,使得分支之间通过总部互通。将所有路由到IPSec虚拟隧道接口的报文都进行IPSec保护,根据该路由的目的地址确定哪些数据流需要IPSec保护。主要分为传输模式和隧道模式,将AH或者ESP的相关字段插入到原始IP报文中,以实现对报文的认证和加密。由于未添加额外的IP头,所以原始报文中的IP地址在加密后的报文中可见。由于添加额外的IP头,所以原始报文中的IP地址再加密后的报文中不可见。
理解ipsec身份标识和认证选项
指点江山
01-11 4155
This article is part of the Identity and Access Management Security School lesson on VPNs and remote access. Visit the VPNs and remote access lesson page for more learning resources. IPsec V...
Ipsec *** 详解
weixin_33743248的博客
05-18 168
IPsec ××× IPSEC是一套比较完整成体系的×××技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解。 1. 为什么要导入IPSEC协议 导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSE...
网络游戏-用于高速传输网际网络协议安全IPSEC)处理之两个并行引擎.zip
09-20
标题中的“网络游戏-用于高速传输网际网络协议安全IPSEC)处理之两个并行引擎”指的是在网络游戏环境中,为了确保数据的安全传输,采用了互联网协议安全IPSec)技术,并通过两个并行引擎来提高处理速度和效率。...
网际互连协议查看IP地址
06-20
1、如何查看某台计算机或某部手机的物理地址,请写出其操作步骤或命令。 2、域名如何映射一台计算机的IP地址?请将操作步骤用word记录下来。 3、如何查看局域网一台计算机在互联网上的IP地址。 ...
计算机网络 第5章网际控制报文协议ICMP PPT
04-16
计算机网络 第5章网际控制报文协议ICMP PPT
计算机网络实验四、网际协议IP
05-26
通过本实验,掌握MAC地址、IP地址各自的用途,验证网际协议IP的报文结构。 2、实验要求 利用数通实验平台仿真软件eNSP提供的工具,构造一个由一台路由器、两台交换机、四台或四台以上终端构成的小规模互联网络;验证...
计算机网络实验4 - 网际控制报文协议 ICMP 分析
08-11
计算机网络实验4 - 网际控制报文协议 ICMP 分析 本实验报告旨在学习和了解网际控制报文协议 ICMP 的基本概念和工作原理,并通过 Wireshark 网络分析软件对 ICMP 分组进行捕获和分析。 一、实验目标 * 了解网际...
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8189
路由器基础(十二):IPSEC VPN配置
移动终端VPN接入——Android终端VPN接入
君逍遥o
09-26 2097
移动终端VPN接入——Android终端VPN接入
Ipsec 的SPD和SAD详解
热门推荐
bytxl的专栏
11-03 1万+
8.6.1 IPSec机制的SPD SPD 的内容用来存放IPSec 的规则,而这些规则用来定义哪些流量需要走IPSec,这个数据库的内容相当多,笔者仅介绍我们需要知道的部分,这些信息有目的端IP、来源端IP、只执行AH 或ESP、同时执行AH 及ESP、目的端Port、来源端Port、走Transport 或Tunnel 模式。图8-35 即为SPD 的结构,从结构内容我们可以看到第一笔及
第五章 ip安全协议——IPsec(郑大网安自用)
Trieyes_of_feng的博客
12-27 953
格式、封装:……
网际控制报文协议 icmp 分析 计算机网络
01-31
网际控制报文协议(ICMP)是一种用于在计算机网络上进行通信和故障诊断的协议。它通常用于在网络设备之间传输控制消息,以便识别和解决网络中的问题。 ICMP可以用来检测主机是否可达,检查网络连接是否正常,以及识别网络中的故障。它还可以用于指示数据包传输错误,例如目的地不可达或超时。其重要性在于可以提供网络管理员诊断网络故障和改进网络性能的重要信息。 ICMP报文包括类型字段和代码字段,类型字段指示报文类型(如请求、回应、错误报文等),代码字段用于进一步细分报文类型。ICMP报文类型包括回显请求和回显回应(用于测试主机是否可达),目的地不可达报文(用于指示数据包无法到达目的地),超时报文(用于指示数据包在传输过程中超时),重定向报文(用于指示发送方更换路径等)等。 由于ICMP报文是与数据包一起在网络上传输的,因此可以通过分析网络中的ICMP报文来判断网络的健康状态、性能瓶颈和故障原因。网络管理员可以利用ICMP报文来监控网络设备的状态,及时发现并解决网络问题,确保网络的高效和稳定运行。 总之,ICMP是计算机网络中非常重要的协议之一,通过分析ICMP报文可以帮助网络管理员有效地诊断和解决网络故障,保障网络的正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neonline

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值