IPsec协议详解

于 2024-04-25 15:18:10 发布
阅读量1.1k 收藏 16
点赞数 24
分类专栏: 密评学习 文章标签: 网络 密码学 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43965325/article/details/138179859
版权
本文详细介绍了IPsec的基本概念,包括数据来源认证、数据加密、数据完整性以及抗重放功能。重点阐述了AH和ESP协议、数据封装模式(传输和隧道)、IKE协议以及IPsec的两个关键数据库。最后探讨了IPsec在实际应用中的规定,如AH和ESP的嵌套使用。
摘要由CSDN通过智能技术生成

(一)基本概念

IPsec 是 IETF 制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。

数据来源认证:接收方认证发送方身份是否合法。

数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加 密数据进行解密后处理或直接转发。

数据完整性:接收方对接收的数据进行认证,以判定报文是否被篡改。

抗重放:接收方会拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包 所进行的攻击。

IPsec 包括认证头协议(Authenti c a tion Header,AH)封装安全载荷协议 (Encapsulating Security Payload,ESP因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。

AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。AH主要做认证,ESP可以做认证还可以加密。

IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现 Internet上数据的安全传输。

安全联盟SA:

(二)协议内容

(1)数据的封装模式

传输模式: 不改变原有的IP包头,通常用于主机与主机之间,只保护数据域。只针对数据部分进行加密。

隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信,适用于主机和网关实 现,针对头和数据进行加密。在隧道模式下,AH报头或ESP报头插在原始IP头之前, 另外生成一个新IP头(新IP头为对等体的IP地址)放到AH报头或ESP报头之前。隧 道模式在两台主机端到端连接的情况下,隐藏了内网主机的IP地址,保护整个原始数据包的安全。

传输模式:加密点,通信点一致的话,推荐传输模式。

隧道模式:加密点,通信点不一致,比如加密点在AB之间,通信点在CD之间 。

传输模式:可见原始ip报头都保留,原始ip地址都是在公网可路由的IP,不需要再重新封装。

隧道模式需要对原始IP数据进行重新封装,会产生新的IP头部,RawIP是原始,NewIP是新的IP头部。AH对整个IP报文做认证。

从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据包进行认证和加 密,并且可以使用对等体的IP地址来隐藏客户机的IP地址。从性能来讲,因为隧道模式有一个额外的IP头,所以它将比传输模式占用更多带宽。

(2)认证头协议AH

上面有提到IPsec 包括认证头协议(Authenti c a tion Header,AH)封装安全载荷协议 (Encapsulating Security Payload,ESP因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。

下面先介绍AH协议:

AH报文结构(保留了一些ipv6特征):

(3)安全协议ESP

下面详细介绍一下每个字段:

SPI字段:安全参数索引,32bit,随机产生的,通过IKE进行协商的数据;在SADB数据库中查找SA

Sequence number字段:主要是防重放;通过窗口大小决定能接收哪些数据

IV字段:8bit;被认证,不被加密

Padding:填充字段,做块加密

Next Header:主要是体现上层承载的是一个什么协议(深深体现出ipv6的格式)

Authentication:认证字段,96bit;把认证后的数据放在尾部,确保数据完整性

下面介绍ESP包输出处理过程——填充,加密,验证,重算

ESP包输入处理:

先解密,外层头部剥离,再处理

先重组,再解密,再转发给真正的接入者,对网络设备要求高

重组是由最终接入者完成

(4)IKE协议

IKE协议可以为IPSec自动协商建立SA。

IKE协议建立在Internet安全联盟和密钥管理协议定义的框架上,是基于UDP的应用层协议。它为 IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。

对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后对等体间的数据将在IPSec隧 道中加密传输。

IKEv1使用两个阶段为IPSec进行密钥协商并建立IPSec SA。第一阶段,通信双方协商和建立IKE本身使用的安全通道,建立一个IKE SA。第二阶段,利用这个已通过了认证和安全保护的安全通道,建立一对IPSec SA。

(5)IPsec的两个数据库

SPD  /  SADB

数据最终怎么处理完全是由SA决定

(三)协议应用

GM/T-0022《IPSec VPN技术规范》规定:

 AH应和ESP嵌套使用,即先加密(ESP封装)后认证、完整性(AH封装)。

 ESP协议允许单独使用。

不见曦月.
关注
  • 24
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IPSec 协议详解
09-12
详细讲解IPSec协议,对于初学者、网络安全研发人员均适用!
ipsec 详解
05-03
技术起初是为了解决明文数据在网络上传输带来的安全隐患而产生的。TCP/IP协议族中的很多协议都采用明文传输,如telnet、ftp、tftp等。一些黑客可能为了获取非法利益,通过诸如窃听、伪装等攻击方式截获明文数据,使企业或者个人蒙受损失。
详解IP安全:【IPSec协议簇 - AH协议 - ESP协议 - IKE协议
最新发布
小司机的奥拓
04-17 1021
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
详解IP安全IPSec协议簇 - AH协议 - ESP协议 - IKE协议
qq_44005305的博客
04-16 1063
大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。
网络安全——网络IPSec安全协议(4)
yj11290301的博客
03-22 3026
在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议
IPsec原理+实现 一文全介绍
qingwangheni的博客
01-28 2012
一组基于网络层,密码学安全通信协议族。不具体指哪个协议,而是一个协议族。可用于VPN或单纯加密数据。在IP头中协议号为51。特点:只能校验数据,不能加密数据。哈希校验算法:SHA1或MD5AH在传输模式下封装:原始IP头+AH认证头+传输层+应用层AH在隧道模式下封装:新IP头+AH认证头+原始IP头++传输层+应用层。
IPSEC详解
weixin_34233856的博客
08-05 508
see also:http://www.tcpipguide.com/free/t_IPSecAuthenticationHeaderAH-3.htm  1.为什么需要IPSEC 原因:因为常规的IP协议没有提供认证,数据校验和加密。 让我们来看看IP包头。最小的IP包只是有20个byte.其中16bit的Header checksum是用来对包头(不包括后面的数据)做 校验用。以供传输过...
一文带你了解IPsec协议
小宝儿的学习之路
08-05 6083
IPSec协议相关介绍
ipsec原理讲解
03-15
很翔实,讲的很不错,可以用来加深理解。。
IPSec协议详细介绍.ppt
08-09
IPSec协议原理详细介绍,很经典的教材
Window系统中IPSec协议配置及数据包分析
01-06
ipsec 它工作在网络层,可以直接对路由器上的ip数据包进行加密Ipsec的主要目标:为IPV4和IPV6提供具有较强的互操作能力
ipsec协议详解
12-07
ipsec的介绍,有助于初学者认识该协议
wireshark1.12和IPSec详解
03-13
标题“wireshark1.12和IPSec详解”指出我们要讨论的是网络分析工具Wireshark的1.12版本以及IPSec(Internet Protocol Security)的详细知识。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、网络...
TCPIP协议详解 卷2
08-05
《TCP/IP协议详解 卷2》是一本深入探讨TCP/IP协议族核心协议的权威著作,主要聚焦于网络层和传输层的协议,包括IP、ICMP、ARP、RARP、UDP、TCP等。这些协议是互联网通信的基础,理解它们的工作原理对于网络技术人员...
加密流量协议(1)--IPSec协议介绍_ipsec加密(1),2024年最新双非渣本网络安全四年磨一剑
2401_84254057的博客
04-11 587
互联网安全协议(Internet Protocol Security,IPSec)是一种网络安全协议,主要用于保护IP通信的机密性、完整性以及身份验证。它是一种公认的安全协议,广泛应用于加密通信与其他安全网络连接中,如Cisco VPN、Microsoft DirectAccess等网络服务都是采用的IPsec协议。报文首部认证协议(AH)提供数据完整性校验和身份认证功能,还可以防止重放攻击(Replay Attacks)。封装安全荷载协议(ESP)
网络安全IPsec详解
热门推荐
qq_43561370的博客
12-27 1万+
IPSec 文章目录`IPSec`简介`IPsec`的应用`IPsec`优势安全架构`IPsec`在`IP`层提供的服务`IPsec`的两种模式`IPsec`中的安全组合(SA)安全关联一个安全关联由三个参数唯一确定`IPsec`通信协议AH(Authentication Header)ESP协议AH和ESP的对比`IPsec`建立过程`IKE`协商`IKE`第一阶段`IKE`第二阶段`IKE`和`AH/ESP`之前的联系数据传输阶段概述VPN隧道黑洞参考博客参考博客 简介 Internet Protoc
IPSec协议详解:AH与NAT冲突解析
"本文详细介绍了IPSec协议,包括其与NAT的冲突,AH和ESP机制,以及IPSec的功能和安全体系结构。" IPSec(IP Security)是一个强大的网络安全协议族,旨在提供端到端的IP层通信安全保障。它不是单一的协议,而是一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值