IPSec数据报文封装格式详解

最新推荐文章于 2024-05-15 10:30:00 发布
最新推荐文章于 2024-05-15 10:30:00 发布
阅读量4.2k 收藏 14
点赞数 2
分类专栏: # 国密标准 # 密评实践 # 密码应用协议 文章标签: 网络 密码学 网络安全 系统安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ryanzzzzz/article/details/130358310
版权

        以下遵循GMT 0022-2014 IPSec VPN 技术规范。

        IPsec提供两种封装协议AH(鉴别头,Authentication Header)和ESP(封装安全载荷,Encapsulation Security Payload)。

        AH可以提供无连接的完整性、数据源鉴别和抗重发攻击服务。因为AH不提供机密性服务,故AH不运行单独使用,应与ESP嵌套使用。

        ESP可以提供机密性、数据源鉴别、无连接的完整性、抗重放攻击服务和有限信息流量保护。ESP可以单独使用,当AH+ESP使用时,ESP不应选择数据源鉴别服务。

        IPsec封装协议可以工作在传输模式和隧道模式下,一般来说,传输模式用于端到端(end2end)场景,而隧道模式用于站到站(site2site)场景。

        下面以IPv4数据报文为例。

        (1)单独使用ESP场景

        A:正常情况下IP数据报文结构

        B:A在传输模式下经过ESP封装后数据报文结构

        C:A在隧道模式下经过ESP封装后数据报文结构

        IP头数据格式如下,在B中“原IP头”的“Protocol协议”字段需要修改为ESP(50),其他保持不变。C中的“原IP头”则整体保持不变。

        ​​​​

         ESP头数据格式如下,其中“序列号”是一个单调累加计数器,用来实现抗重放攻击服务。初始化IV在载荷数据的首部。在B和C中,“ESP头”包括“SPI”和“序列号”;“数据”包括这里的“载荷数据”和“填充数据”;“ESP尾”包括“填充长度”和“下一个头”字段;“ESP认证数据”是“鉴别数据”,是一个完整性校验值ICV,是ESP报文除去ICV外所有部分进行完整性校验计算所得的值(该字段可选)。

        

         (2)使用AH+ESP场景

        A:正常情况下IP数据报文结构

        B:A在传输模式下经过AH+ESP封装后数据报文结构

        C:A在隧道模式下经过AH+ESP封装后数据报文结构

        在B中“原IP头”的“Protocol协议”字段需要修改为AH(51),其他保持不变。C中的“原IP头”则整体保持不变。这里AH用来保护整个IP报文(无论是传输模式还是隧道模式)。AH头数据格式如下,这里所有字段都是必须的并且被包含在完整性校验值ICV计算中。“序列号”是一个单调累加计数器,用来实现抗重放攻击服务。“鉴别数据”是一个变长字段(完整性校验值ICV),该字段需要是4字节的整数倍,否则需要填充,填充的数据也要参与ICV计算。

游鲦亭长
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
IPsec封包和拆包
12-09
准确描述传输模式下ESP的装包与拆包过程
IPSEC简析
qq_36169917的博客
08-18 180
简介 ipsec不是单一的协议,而是由一系列开放的标准构成。 工作在网络ipsec可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能 也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等问题 IPSEC体系结构 ipsec概述 安全协议 定义加密和验证算法 AH(验证头):提供数据完整性校验、数据源验证、可选的抗重播服务,但是不支持机密性保护 ESP(封装安全载荷):提供ah所有功能,还能提供加密服务。ah和esp可以组合使用。
详解IP安全:【IPSec协议簇 - AH协议 - ESP协议 - IKE协议】
最新发布
m0_59598029的博客
05-15 995
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
IPSec的三个协议和两种模式详解
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
完整版:IPSec报文格式
yuyeconglong的博客
09-09 938
IPSec报文格式
商业虚拟专用网络技术五IPSec
weixin_42227328的博客
03-24 9354
IPSec虚拟专用网:就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。这个专用数据传输通道称为IPSec隧道,位于OSI模型的第三层,传送IP包。 IPSec实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能。IPSec是运行在IP网络层,其上层TCP、UDP以及依赖于这些协议的应用协议都受到隧道的保护。
ipsec ikev1 从理论介绍到报文分析
qq_63668886的博客
04-12 1415
在ISAKMP报文①和报文②中协商的算法需要双方协商一个相同的对称密钥,但密钥直接在公共网络上传输并不安全,在报文③中传输的都是密钥生成的材料,响应方接收到这些生成材料后在本地生成key。从以上报文中看出,响应方发送确认的安全提议,生命周期28800秒,加密算法为AES,哈希算法为SHA,身份认证方法使用预共享秘钥认证,并且使用1024bit的DH组。响应端收到发送端发送的加密套件后,对比自己是否有相对应的加密套件,如果有就使用和发送端相同的加密套件加密数据,把自己的。值和选择好的加密套件发送给发送端;
关于IPsec的了解
qq_60503072的博客
02-11 7099
1、IPsec是什么 IPsec是在网络层的隧道协议,主要用于网关到网关,或网关到主机的方案,不支持远程拨号访问。一般是用于VPN的三层隧道协议,常用的二层隧道协议还有PPTP、L2TP,主要用于远程客户机访问局域网方案。 大致的体系结构如下: 1.1、那隧道是什么 隧道:通过Internet提供安全的点到点(端到端)的数据传输 “ 安全通道 ”。实质上是一种封装。 2、IPsec提供的服务,IPsec提供怎样的服务 既然IPsec是隧道协议,那必定是要保...
IPsec 9个包分析(主模式+快速模式)
热门推荐
遇见你是我最美丽的意外
03-06 2万+
第一阶段:ISAKMP协商阶段 1.1 第一包 包1:发起端协商SA,使用的是UDP协议,端口号是500,上层协议是ISAKMP,该协议提供的是一个框架,里面的负载Next payload类似模块,可以自由使用。可以看到发起端提供了自己的cookie值,以及SA的加密套件,加密套件主要是加密算法,哈希算法,认证算法,生存时间等。 Initiator cookie:817622ea0136...
IPSec 原理
爱意随风起,人生不可弃。
04-11 6450
虚拟专用网络(VPN,Virtual Private Network)就是在公共网络中建立的连接多个局域网的隧道,如通过配置两端的路由器,可以为两个局域网创建一条隧道,让两个局域网之间能够互相通信。通过加密和身份验证技术实现数据通信的安全,达到像专线一样的效果。 专用网络也叫专线业务,大多面向企业、政府及其其它要求带宽稳定、对服务质量要求较高的客户。可以通过数字数据网(DDN)、帧中继(FR)、数...
网安笔记12 IPsec
JamSlade的博客
06-11 1677
用处。
IPv6报文封装及地址生成程序
08-03
总之,这个“IPv6报文封装及地址生成程序”是学习和实践IPv6网络技术的重要工具,涵盖了IPv6地址的生成和报文的构造,对于深入理解IPv6协议的运作机制大有裨益。通过分析和运行程序,开发者可以增强对IPv6网络操作的...
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
这些结构体定义了协议的处理逻辑,包括解析、封装、加解密等操作。 2.3.1 ah协议 处理AH协议的逻辑,包括生成和验证认证头。 2.3.2 esp协议 处理ESP协议的逻辑,包含加密和解密数据包。 2.3.3 ipcomp协议 处理...
计算机网络高级软件编程技术第7章 IPv6报文封装及地址生成程序源代码
05-20
源代码文件可能涵盖了以下内容:IPv6头部的结构定义,地址解析函数,报文封装和解封装的实现,以及可能的地址生成算法,如EUI-64(扩展唯一标识符-64)或者SLAAC(状态less Address Autoconfiguration)。...
H3C_IPSec配置
11-11
9. **使能解封装IPSec报文的ACL检查功能**:增强安全策略的细粒度控制。 10. **配置IPSec抗重放功能**:防止恶意重放攻击,保障数据传输安全。 11. **配置共享源接口安全策略组**:优化多接口环境下的IPSec管理。 ...
IPsec封装问题详解
lingshengxiyou的博客
11-12 916
IPsec:(Internet Protocol Security),用来保护IP数据包,是一个协议包,里边包含诸多协议。安全领域IPsec,是重要的一课。ssl EZvpn L2TP等都有不同特点。这一章节,我们一起研究下IPsec
填坑:IPsec不同安全协议的报文封装结构对比
衡水铁头哥的博客
07-22 1845
回顾一下,前面两个IPsec实验挖了一个坑,就是IPsec和GRE在组合使用的时候,出现了MTU值无法验证的情况,今天来填一下坑。 结合RFC2401、RFC2402、RFC2406的相关说明: IPsec SA(Security Association,安全联盟)分为两种类型:传输模式和隧道模式。 传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下,传输模式 SA 仅为这些更高层协议提供安全服务,而不是为 IP 标头或 ESP 标头之前的任何扩展标头提供安全服务。在 AH 的情况下,保护
加密流量协议(1)--IPSec协议介绍_ipsec加密
m0_61549591的博客
04-09 681
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
IPSec的两种工作模式及其报文封装格式
TinyFisher的专栏
08-24 9418
隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。 传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯
帮我阐述一下IPSsec VPN报文封装格式说明
06-10
IPsec VPN 是一种常用的 VPN 技术,它可以为网络通信提供安全保障。IPsec VPN 通信过程中的报文封装格式如下: 1. IP 头:IPsec VPN 使用 IP 头来传输数据,因此 IP 头是封装格式的第一部分。它包含了源 IP 地址、目的 IP 地址以及其他一些 IP 协议相关的信息。 2. ESP 头:ESP(Encapsulating Security Payload)头是 IPsec VPN 中的一个重要组成部分,用于加密和认证 IP 数据包。它包含了加密算法、认证算法以及其他一些相关参数。 3. ESP 尾部:ESP 尾部用于填充数据包,以保证数据包长度满足加密算法的要求。它包含了填充数据以及填充长度。 4. 加密数据:加密数据IPsec VPN 报文的核心部分,它包含了需要传输的数据,这些数据已经被加密和认证。 IPsec VPN 的报文封装格式中,ESP 头和加密数据是最重要的部分,它们保证了 VPN 数据的安全性和完整性。同时,在 IPsec VPN 通信过程中,还需要对握手过程、密钥协商和其他一些细节进行详细的设计和规划,以确保 VPN 通信的安全性和可靠性。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

游鲦亭长

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值