IPSec协议框架

已于 2022-09-16 10:02:23 修改
阅读量1.5k 收藏 5
点赞数
分类专栏: 网络安全理论 文章标签: 网络 安全
于 2022-08-27 09:22:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sgslwms/article/details/126551692
版权
IPSec是IETF制定的一组网络安全协议,包括AH和ESP协议,提供认证和加密服务。协议框架涉及安全协议、封装模式(传输模式和隧道模式)、加密和验证。IPSec使用对称加密和HMAC进行数据保护,安全联盟SA描述了通信对等体间的安全参数。密钥交换可以通过IKE协议自动协商,确保安全性和便捷性。
摘要由CSDN通过智能技术生成

定义

IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。

通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全性。

基本框架:

安全协议

封装模式

传输模式

隧道模式

加密和验证

安全联盟

密钥交换

安全协议

IPSec使用认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两种IP传输层协议来提供认证或加密等安全服务。

  • AH协议

    AH仅支持认证功能,不支持加密功能。AH在每一个数据包的标准IP报头后面添加一个AH报文头,如封装模式所示。AH对数据包和认证密钥进行Hash计算,接收方收到带有计算结果的数据包后,执行同样的Hash计算并与原计算结果比较,传输过程中对数据的任何更改将使计算结果无效,这样就提供了数据来源认证和数据完整性校验。AH协议的完整性验证范围为整个IP报文。

  • ESP协议

    ESP支持认证和加密功能。ESP在每一个数据包的标准IP报头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾(ESP Trailer和ESP Auth data),如封装模式所示。与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护,除非IP头被封装在ESP内部(采用隧道模式)。

AH和ESP协议的简单比较如表1所示。

表1 AH协议与ESP协议比较
安全特性 AH ESP
协议号 51 50
数据完整性校验 支持(验证整个IP报文) 支持(传输模式:不验证IP头,隧道模式:验证整个IP报文)
数据源验证 支持 支持
数据加密 不支持 支持
防报文重放攻击 支持 支持
IPSec NAT-T(NAT穿越) 不支持 支持

从表中可以看出两个协议各有优缺点,在安全性要求较高的场景中可以考虑联合使用AH协议和ESP协议。

报文头结构

AH报文头结构

AH报文头结构如图1所示;AH报文头字段含义如表2所示。

图1 AH报文头结构
 

​​

表2 AH报文头字段含义

字段

长度

含义

下一头部

8比特

标识AH报文头后面的负载类型。传输模式下,是被保护的上层协议(TCP或UDP)或ESP协议的编号;隧道模式下,是IP协议或ESP协议的编号。

说明:

当AH与ESP协议同时使用时,AH报文头的下一头部为ESP报文头。

负载长度

8比特

表示以32比特为单位的AH报文头长度减2,缺省为4。

保留字段

16比特

保留将来使用,缺省为0。

SPI

32比特

IPSec安全参数
最低0.47元/天 解锁文章
sgslwms
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IPSEC技术框架详解
悦分享
10-08 170
IPSEC安全联盟SA是一种约定,双向约定(各项参数-组合),在使用动态密钥管理时,两侧进行IPSEC数据发送前进行相关安全参数的协商:封装模式,封装协议,加密算法,验证算法,密钥等。GRE数据只进行隧道包装,IPSEC数据不仅进行隧道包装 ,还进行数据安全加密与验证,其中隧道数据安全封装协议可以使用有AH 认证头、ESP封装安全载荷两种,数据包装使用该两种协议IPSEC框架支持多种层次功能,每个层次可以包含一个多种协议,而且可以随着时代技术更新,IPSEC技术框架对新的技术进行添加,确保与时俱进。
论文研究-IPSec在移动IPv6协议中的应用 .pdf
08-21
本文详细介绍了IPSec协议在移动IPv6网络环境中的应用,深入探讨了IPSec如何加强移动IPv6的安全性,并提供了系统设计以及实现的关键技术。文章首先定义了IPSec协议套件的概念,该协议套件不仅包括一系列安全协议,...
IPSec基础知识
weixin_51045259的博客
02-04 4367
IPSec简介 定义 IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。 通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全
IPSec:互联网协议安全机制的深度解析与应用
最新发布
IT技术分享社区
07-01 777
因特网密钥交换(IKE):IKE协议IPSec中的核心组件,负责协商和管理IPSec连接的安全参数和密钥,包括建立安全关联(Security Associations, SAs)。而安全关联则是IPSec操作的具体实例,包含了所使用的安全协议(AH、ESP或两者)、加密和认证算法、密钥以及SA的有效期限等具体参数。封装安全载荷(ESP):ESP协议除了提供类似AH的完整性保护外,还支持数据加密功能,通过在原始IP数据包外附加一个加密的安全载荷部分来保证数据的机密性。
1. IPSEC框架
土豆123的博客
07-18 354
生活中经常会用到加密技术,但大多使用固定的加密算法,比如:网页安全HTTPS,无线安全WEP/WPA。安全隐患:如果加密算法本身被破解,技术将被迅速舍弃。IPSec本身不规定使用哪些算法,只提供框架,使用者可选择任一支持的算法,如果算法被破解,可随时更换。 一. 散列函数 散列函数,也叫hash函数 (1)作用:验证数据完整性(防止数据被篡改,改动文件内容) (2)常用算法:MD5,SHA-1 (3)特点: 散列值长度固定,MD5-128bit,SHA1-160bit 雪崩效应,修改其中任一字符,得到的
IPsec 的基本框架
这是一个网络小菜鸡的笔记本,欢迎大家前来纠错。
09-21 608
IPsec 的基本框架
IPsec VPN协议框架
Mario_Ti的博客
03-06 1044
本文介绍IPsec VPN协议框架,主要从安全协议、封装模式、加密和验证算法、密钥交换方面介绍。
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
Linux内核中的IPSec协议栈通过XFRM框架实现了对数据包的安全处理。从数据结构到处理流程,再到加解密机制,每一个环节都经过精心设计,以确保网络通信的安全性和可靠性。通过源码分析,我们可以深入了解这一核心网络...
基于IPv6嵌入式Linux的IPSec协议研究与实现.pdf
09-06
【基于IPv6嵌入式Linux的IPSec协议研究与实现】 IPSec(Internet Protocol Security)协议网络通信中的一种安全框架,旨在为IP网络提供数据保密性、完整性和身份验证。在IPv6环境下,IPSec的重要性更加凸显,因为...
ipsec笔记.docx
06-19
- **NAT Traversal (NAT-T)**:IPsec协议的一个扩展,旨在解决NAT设备对于ESP和AH报头的处理问题。 - **实现机制**:通过在ESP和AH报头前添加一个UDP报头,使得ESP和AH报头可以作为UDP负载穿过NAT设备。 #### 十一...
rfc4301 IPsec
03-21
安全关联是IPsec的基础概念,它代表了两个或多个使用IPsec协议通信实体之间的单向连接的状态信息。SA是通信双方进行安全通信的必要条件,并且可以进行不同的操作,如数据加密和数据源认证等。一个SA可以包含一个或多...
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 9054
路由器基础(十二):IPSEC VPN配置
IKE SA和IPSec SA的区别
Jian Sun_的博客
01-23 6423
从定义上来看,IKE SA负责IPSec SA的建立和维护,起控制作用;IPSec SA负责具体的数据流加密。 IPSec工作在网络层,一般用于两个子网之间的通信。IPSec主要分为两个环节。 第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥。 第二环节使用IPSec安全策略和密钥对数据进行保护。 总结: 一、通道不同 1、IKE SA:IKE SA通道两端只有一个SA,是单向的。 2、IPSec SA:IPSec SA通道两端不止一对
一张图认识IPSec,区分IKE SA(ISAKMP SA)和IPSec SA
pz641的博客
03-10 1万+
IPSec工作在网络层,一般用于两个子网之间的通信。 IPSec主要分为两个环节 第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥 第二环节使用IPSec安全策略和密钥对数据进行保护。 ...
IPsec技术介绍
u013982161的专栏
07-22 7619
IPsec IPsec简介 IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,提供了以下的安全服务:   l  数据机密性(Confidentiality):IPsec发送方在通过网络传输包前对包进行加密。   l  数据完整性(Da
IPsec原理+实现 一文全介绍
qingwangheni的博客
01-28 2191
一组基于网络层,密码学的安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
TCP-IP详解:AH(Authentication Header)
深邃 精致 内涵 坚持
09-29 1万+
IPSec核心协议是AH和ESP,本文主要介绍下AH协议的数据封装与传输
ipsec 详解
热门推荐
qq_40390383的博客
09-01 3万+
目录 加密算法 对称加密算法 非对称加密算法 DH算法 RSA 公钥+私钥 (成对出现) IPsec IPSec VPN简介 ipsec的工作模式 IPsec通信协议 1、AH协议(Authentication Header,认证报头) 2、ESP协议 IPSec vpn建立 IKE Ipsec数据传递图 对于ipsec vpn 最重要的是安全 安全 三要素 安...
2. 详解 IPSEC 的认证模式、主模式和野蛮模式
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值