IPSec

最新推荐文章于 2024-03-04 16:52:52 发布
最新推荐文章于 2024-03-04 16:52:52 发布
阅读量1k 收藏 1
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43421779/article/details/126086015
版权

目录

框架

IKE

阶段

主模式

主动模式

DH-Diffie Hellman交互

使用场景

IP安全协议,是放开标准的框架,可在参与的对等体之间针对IP层数据提供私密性,完整性,源认证。

基于IETF;验证每个IP数据包;验证每个数据包的数据完整性;数据包净载荷的私密性;防止重放攻击。

框架

IPsec协议:ESP,AH,ESP+AH

加密:DES,3DES,AES

哈希:MD5,SHA

DH交互:DH1,DH2,DH5

框架协议

IKE,IInternet KEY Exchange。提供用于安全参数协商的框架;建立认证/加密密钥。

IKE使IPSec更有可扩展性:IKE可以通过不受信任的网络自动协商IPSec的安全关联(SA)而无需进行繁琐的手动预配置;创建和交换密钥,包括用于HMAC和加密的密钥。

ESP,封装安全载荷。提供用于数据加密、验证和保护的框架。防重放攻击。

AH,头部验证。提供用于数据认证和保护的框架;提供数据的完整性,源认证;使用关键字段哈希的机制,不提供私密性(不加密),可以防重放。

路由器对包头和数据整体做哈希,值为AH插入包头和数据中间,对端相同方式处理,得到的哈希与AH对比,值相同说明没有被篡改。

IKE

IKE可以通过不受信任的网络自动斜阳IPsec的安全关联(SA),而无需进行繁琐的手动预配置。
创建和交换密钥,包括用于HMAC和加密的密钥。

概述
RFC2409               提供PFS
协商策略以确保策略的一致性和对称性

IKE通过自动执行整个密钥交换过程来扩展IPsec实现:
   对对等体进行身份验证
   生成并刷新密钥
   为IPsec协商(可能是多个)SA对

好处

IKE可以通过不受信任的网络自动协商IPsec安全关联(SA),而无需进行复杂的手动预配置。IKE提供以下好处:

消除了在两个对等体的加密映射中手动指定所有IPsec安全参数的需要
允许指定IPsec SA的有效期。
允许在IPsec会话期间更改加密密钥。允许IPsec提供防重放服务。
允许cA (证书颁发机构)支持可管理的,可扩展的IPsec实现。
允许对等体的动态身份验证。

阶段

一阶段:提供IKE对等体的互相身份验证和会话密钥的建立并创建ISAKMP SA(有效期24小时),涉及DH交互,cookie和ID交互;此阶段目的是为对等体之间构建安全信道,以便安全地进行2阶段协商。

加密和完整性:ISAKMP不受任何特点加密算法的约束

对等体认证:1.预共享密钥认证 ;2.数字(RSA)证书认证 ; 3.数字信封认证

两种模式:主模式,主动模式

主模式

协商ISAKMP policy
通过Diffie-Hellman交互执行身份验证
为ISAKMP对等体身份提供保护-身份已加密
由6个数据包完成
建立ISAKMP安全关联

步骤
    协商IKE保护套件:参数信息,加密方式
    Diffie-Hellman交互
    ID交互和DH key认证(对等体认证)

特征
    保护对等体的身份
    完整的协商能力

局限性
    交互时间更长
    认证后的身份证明:
使用预共享身份验证时,对等体身份密钥必须基于IP地址
在动态环境中必须使用通配符0.0.0.0和预共享密钥
仅使用证书的安全缩放

主动模式

    协商ISAKMP policy,并使用Diffie-Hellman和nonce进行交互
仅通过三个数据包建立ISAKMP SA
不提供身份保护-ID由明文传输
    步骤
        协商IKE保护套件
        DH密钥和ID交换和认证
如果使用数字证书,也会在这个数据包中传递Alice的证书,而不是第一个数据包
    特征
        在第一个数据包中以明文形式传递身份
        预共享身份验证可以基于ID(不在基于对等体地址)
        快速协商,由三个数据包完成
    局限性
        对等体ID不受保护
        DH组没有协商,因为在第一个数据包中已经传递了公共值
        客户端必须具有合理的默认设置
    两个协商步骤要求对等体之间交互三个数据包

二阶段:使用ESP或AH协商和建立IPsec SA(有效期1小时),以保护IP数据流量
    快速模式
        协商IPsec SA
受现有的ISAKMP SA保护
可选: 执行额外的DH交互(如果已配置PFS)
        步骤
            协商IPsec保护套件并协商密钥
            验证两个随机数用于生成密钥
        两个协商步骤要求对等体之间交互三个数据包
 

ISAKMP SA是双向的,IPsec SA是单向的

DH-Diffie Hellman交互


    非对称算法
    基于查找离散对数的数学难题
    用于在各个对等体之间建立安全信道
    双方协商两个非密数值,g和p
        各自生成一个随机私钥x
        基于g和p和私钥x,双方产生一个公共值: Y=g^x mod p
        对等体互相交互公共值 Y
    YB^xA mod p = g^xAxb mod p = YA^xB mod p
    DH group 1/2/5等  确定group,就确定g/p值

使用场景

传输模式场景:transport
网关到网关
主机到网关
特殊情况:GRE,L2TP等

新IP头 | AH/ESP | 原IP头 | TCP data | esp尾巴

隧道模式场景:tunnel
主机到主机

IP头 | AH/ESP | TCP data | esp尾巴


安全:隧道>传输
性能:隧道<传输

鱼D记忆
关注
通信与网络安全之IPSEC
2401_83699724的博客
03-25 2474
IPSec只能在IP网络中使用。
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4317
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPSec vpn--02 DH算法
吃不饱、力不足的博客
06-10 2374
DH 公钥分发系统(也称作密钥交换协议):它通过 不安全的 通信通道为通信双方建立一个共享的密钥。 DH密钥交换建立在“离散对数问题”的基础之上。
IPSEC简析
qq_36169917的博客
08-18 286
简介 ipsec不是单一的协议,而是由一系列开放的标准构成。 工作在网络ipsec可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能 也具有配置复杂、消耗运算资源较多、增加延迟、不支持播等问题 IPSEC体系结构 ipsec概述 安全协议 定义加密和验证算法 AH(验证头):提供数据完整性校验、数据源验证、可选的抗重播服务,但是不支持机密性保护 ESP(封装安全载荷):提供ah所有功能,还能提供加密服务。ah和esp可以合使用。
IPSEC---VPN
最新发布
zhoutong2323的博客
03-04 3761
提示:这里对文章进行总结:例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
Linux 内核IPSec(xfrm)协议栈源码分析
06-21
《Linux 内核 IPSec 协议栈源码分析》 1. 前言 在Linux内核中,IPSec(Internet Protocol Security)是一种网络安全协议,用于在IP层提供安全服务,包括加密和完整性保护。它基于XFRM(eXtensible Framework for ...
阿里云 ubuntu16.04搭建IPSec服务
09-14
网络安全领域,IPSec(Internet Protocol Security)是一个重要的标准,它提供了一套安全通信协议,旨在为IP协议的网络流量提供保密性、完整性和身份验证。IPSec协议族包括多种协议,如IKE(Internet Key Exchange...
天融信防火墙配置GRE Over IPSEC
09-19
天融信防火墙配置GRE Over IPSEC GRE over IPSec,是将整个已经封装过的GRE数据包进行加密。由于IPSec不支持对多播和广播数据包的加密,这样的话,使用IPSec的隧道中,动态路由协议等依靠多播和广播的协议就不能进行...
详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议
luming的博客
11-13 1万+
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
ipsec 详解
qq_40390383的博客
09-01 3万+
目录 加密算法 对称加密算法 非对称加密算法 DH算法 RSA 公钥+私钥 (成对出现) IPsec IPSec VPN简介 ipsec的工作模式 IPsec通信协议 1、AH协议(Authentication Header,认证报头) 2、ESP协议 IPSec vpn建立 IKE Ipsec数据传递图 对于ipsec vpn 最重要的是安全 安全 三要素 安...
IPSec原理
凯歌响起的博客
04-20 1440
IPSec框架 散列函数 加密算法 封装协议 封装模式 密
华为设备IPsec简单配置
qq_43432623的博客
12-16 1万+
IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工作在网络层,主要对网络层的报文进行加密和验证。
DH密钥交换
实践求真知
10-10 2万+
一 什么是DH密钥交换 DH密钥交换是1976年由Diffie和Hellman共同发明的一种算法。使用这种算法,通信双方仅通过交换一些可以公开的信息就能够生成出共享的密码数字,而这一密码数字就可以被用作对称密码的密钥。IPsec中就使用了经过改良的DH密钥交换。 虽然这种方法的名字叫“密钥交换”,但实际上双方并没有真正交换密钥,而是通过计算生成出一个相同的共享密钥。因此,这种方法也称DH密钥协...
DH 加密算法的使用
Hwaphon
08-12 1万+
DH 算法的介绍上面介绍的 DES,3DES,AES 算法都是对称密码算法,所谓对称,在上面也解释了,就是加密和解密的过程中使用相同的密钥 。而现在将要介绍的是 DH 算法,属于非对称密码算法,根据对称密码的概念,很容易知道,非对称密码算法就是解密和加密过程中使用不同密钥的算法。对称密码算法有什么局限呢?由于加密和解密使用相同的数据,所以我们在发送密文的同时,需要将密钥发送给对方,这个时候假如我们的
DH参数介绍
尘埃落定
05-25 4万+
机械手末端到基坐标系的变换关系: 通常,每一个变换需要6个独立参数来描述坐标系i相对坐标系i-1的关系,3个用来描述位置另外3个用来描述方向。 在1995年,Jacques Denavit 和 Richard Hartenberg 提出了一种系统化的方法来解决这个问题。他们的方法值需要4个参数来描述位置和方向与相邻坐标系的关系。 DH参数第一次提出来以后经过了几次修改。以下是几个代表性的...
IPSec之IKEv1协议详解
热门推荐
曹世宏的博客
04-20 4万+
IKE简介 安全联盟SA: 定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。 SA由三元来唯一标识,这个三元包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...
IPsec SA 创建步骤——IKE协议
bytxl的专栏
09-16 9844
http://hi.baidu.com/wjjuseezugdgkre/item/08e82ce8dade97226dabb80e IPsec SA creation steps There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to creat IPSEC-S
Linux IPsec隧道技术详解
"基于Linux的IPSec之路" 在讲解基于Linux的IPSec之前,我们先了解下Tunnel技术。Tunnel技术是解决多办公点间私有网络互访的一种方法,它通过创建隧道来传输内网数据包,使得私有IP地址能够在公网中路由。在第1章中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值