TCP-IP详解:AH(Authentication Header)

最新推荐文章于 2024-09-25 15:50:35 发布
最新推荐文章于 2024-09-25 15:50:35 发布
阅读量1.9w 收藏 50
点赞数 12
分类专栏: Networking IpSec 文章标签: network ipsec 安全 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdscq1234/article/details/52677419
版权

参考教材:TCP-IP Guide

IPSec核心协议是AH和ESP,本文主要介绍下AH协议的数据封装与传输

AH(Authentication Header)

这个协议主要是用来提供数据完整性校验和源校验,即只提供校验功能,并没有提供加密功能,我们知道对于这种虚拟的私有网络,实际上是公网上虚拟出来的隧道,核心在于要对对应协议的数据包进行IP层的封装,让其仍然变成IP包,然后在公网上传输,所以先看下AH协议不同模式下封装的数据

可以看到下图,传输模式下IPv4的AH协议封装的数据包,原始的数据包是一个IP header 紧接着一个TCP header,然后就是data,AH协议封装的数据包,会在IP Header 和TCP Header之间增加一个AH header,IP header的协议变成51 AH协议,AH header下一个header协议为 6 TCP header


隧道模式下的AH 数据包封装,这种模式把整个数据包都进行封装,然后再源的IP header之前增加AH header,然后再增加一个新的IPV4 header完成封装


AH的头


1. Next Header : AH header的下一个头部的协议号

2. Payload Length:AH header的长度

3. Reserverd: 保留

4. SPI : 安全的参数,目的地址和安全协议类型的组合,用于识别对这个包进行验证的安全联盟

5. Sequence Number:  单调增加的32位无符号整数,利用该域抵抗重发攻击(Replay Attack)

6. Authentication Data: 是一个长度可变的域,长度为32比特的整数倍。具体格式因认证算法而异 。该认证数据也被称为数据报的完整性校验值(ICV)

数据流程认证流程,从图中可以看出是对整个数据包进行认证,使用一个密钥通过单项散列函数输出认证后的数据,这些认证后的数据都会放到AH的header

中。下图是传出模式

隧道模式下认证,同样也是对整个数据包进行认证。



输出处理

1.使用相应的 选择符(目的IP地址,端口号和传输协议)查找安全策略数据库获取策略。如需要对分组进行IPSec处理,且到目的主机的SA已经建立,那么符合分组选择符的SPD将指向外出SA数据库的一个相应SA束。如果SA还未建立,IPSec将调用IKE协商一个SA,并将其连接到SPD条目上。
2.  产生或增加序列号,当一个新的SA建立时,序列号计数器初始化为0,以后每发一个分组,序列号加1
3. 计算ICV(完整性校验值)
4.转发分组到目的节点

输入处理

1. 若IP分组采用了分片处理,要等到所有分片到齐后重组
2. 使用IP分组头中的SPI、目的IP地址以及IPSec协议在进入的SA数据库中查找SA,如果查找失败,则抛弃该分组,并记录事件。
3.使用已查到的SA进行IPSec处理
4. 使用分组中的选择符进入SPD查找一条域选择符匹配的策略,检查策略是否相符
5.检查序列号,确定是否为重放分组
6. 使用SA指定的MAC算法计算ICV,并与认证数据域中的ICV比较,如果两值不同,则抛弃分组







CQ小子
关注
专栏目录
【网络安全技术】IPsec——AH和ESP
TheSysy的博客
12-06 4319
IPsecAH,ESP,传输模式,隧道模式
IP Header
husa的博客
01-26 775
IP HeaderIP HeaderVersion(4 bits) Version: Identifies the version of IP used to generate the datagram. For IPv4, this is of course the number 4. The purpose of this field is to ensure compatibility bet
SYN Flood攻击与防御
最新发布
BourneSu的博客
09-25 1029
SYN Flood攻击与防御
IP_Header
lpnueg4的专栏
11-19 5725
 版本号(Version):长度4比特。标识目前采用的IP协议的版本号。一般的值为0100(IPv4),IPv6的值(0110)。 IP包头长度(Header Length):长度4比特。这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分。该部分占4个bit位,单位为32bit(4个字节),即本区域值= IP头部长度(单位为bit)/(8*4),因此,一个IP
IP Header 解析
热门推荐
Jieen的专栏
01-05 3万+
版本号(Version):长度4比特。标识目前采用的IP协议的版本号。一般的值为0100(IPv4),IPv6的值(0110)。IP包头长度(Header Length):长度4比特。这个字段的作用是为了描述IP包头的长度,因为在IP包头中有变长的可选部分。该部分占4个bit位,单位为32bit(4个字节),即本区域值= IP头部长度(单位为bit)/(8*4),因此,一个IP包头的长度最
RFC 4302 IP Authentication Header(IP认证首部)(未完待续)
每天写一点,进步一点点
02-22 1439
本备忘录状态 版权提示 摘要 目录 1.简介         本文档假定读者熟悉因特网协议体系架构(后来被称为安全架构的文档)中的术语和概念。读者尤其应该熟悉封装安全载荷(ESP)协议和IP认证首部(AH)中的安全服务定义、安全协会的概念、ESP和AH协议协同工作的方式以及两者密钥管理的差异。         文档中涉及的诸如MUST, MUST NOT
TCP/IP - Header
weixin_57449675的博客
08-09 291
Application 层(HTTP)的数据在经过传输层(TCP Layer)的时候,会加上 TCP 的 header,成为一个 TCP Segment。 传输层(TCP)的 Segment 在经过网络层(IP Layer)的时候,会加上 IP 的 header,成为一个 IP Packet。 网络层的 IP Packet 在经过链路层(Link Layer)的时候,会加上Link Layer 的 header,成为一个 Frame。 最后 Frame 会在物理层,将数字信号转化为物理信号传输。 ..
TCP/IP协议族详解:结构、组成与加密技术概览
6. AHAuthentication Header):认证头,是IPsec(Internet Protocol Security)的一部分,提供数据包完整性验证和源认证服务。 7. ANSI(American National Standards Institute):美国国家标准协会,负责制定和...
TCP/IP协议英文版详解:从基础到应用
AHAuthentication Header)和ESP(Encapsulating Security Payload)是IPsec协议的一部分,提供网络层的数据完整性与安全保护。 TCP/IP协议集是一个庞大的体系,包含了众多子协议和概念,这个资源将帮助读者深入...
TCP/IP协议套件详解: Behrouz Foruzan 第4版
5. AH (Authentication Header):这是一个在网络层使用的安全机制,用于验证数据包的来源和完整性。 6. ANSI (American National Standards Institute):美国国家标准协会,制定和推广美国的工业和技术标准。 7. ...
IPSec安全体系结构详解AH/ESP协议与加密算法
其核心组成部分包括AHAuthentication Header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷),这两个协议分别由RFC2402和RFC2406详细阐述。 AH主要提供数据完整性检查和数据源认证服务,通过在...
《网络安全自学教程》- TCP/IP协议栈的安全问题和解决方案
wangyuxiang946的博客
06-18 1万+
TCP/IP协议栈的安全问题和解决方案
tcp/ip header
fawen18的博客
12-08 221
仅仅为了mark,分类整理理解hader tcp header src port | dst port seq num sck offset reversed state |windonw checksum | up tcp options 寻址 port 内容 seq 容错 windonw checksum up 扩展 reversed,tcp options ip header ve...
tcp ip headers
wzb56的资料库
10-12 1673
Figure 1. IPv4 header Figure 2. TCP header Figure 3. UDP header Figure 4. ICMP header original link:http://nmap.org/book/tcpip-ref.html
TCP Header、UDP Header、IP Header
上道的程序员
08-04 1829
TCP首部 16位端口号:源端口和目的端口各占16位,2的16次方等于65536,看端口的命令:netstat。 序列号:字段长32位,表示发送数据的位置,每发送一次数据,就累加一次该数据字节数的大小。序列号不会从0或1开始,而是在建立连接时生成的随机数作为其初始值,通过SYN包传给接收端。然后再将每次转发过去的字节数累加到初始值上表示数据的位置。此外,在建立连接和断开连接时发送的SYN包和...
IP Header:Wireshark抓包解析
tterminator的专栏
04-21 1713
一、IP Header 二、wireshark抓包 三、资料 IPv4 Specification PDF资料下载见本人资源,资源名称:IPv4_Specification-rfc791
latex加粗
UniversityGrass的博客
09-20 832
\usepackage{bm} \bm{} 适用于加粗任何字体
IP协议头格式
Jayson 博客
11-19 1万+
IP协议在协议栈中位于网络层,网络数据传输封装方式如下: IP报文格式如下: 1、版本:IP报文版本号 IPV4:4,IPV6:6 2、首部长度:IP header 长度,没有选项,则一般为5(5x32bit=20B) 3、8位服务类型:一般没有使用,详细参考RFC 3位优先权字段(已经弃用) 4位TOS字段:最小延时,最大吞吐量,最...
WWW-Authenticate 头字段和 Authorization 头字段的区别
yu2yu3yu2的专栏
10-19 507
头字段是客户端向服务器发送的摘要认证响应。这两个头字段在 SIP 摘要认证中协同工作,确保通信的安全性和身份验证。头字段是服务器向客户端发出的认证挑战,而。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值