IPsec协议详解

本文详细介绍了IPsec的基本概念,包括数据来源认证、数据加密、数据完整性以及抗重放功能。重点阐述了AH和ESP协议、数据封装模式(传输和隧道)、IKE协议以及IPsec的两个关键数据库。最后探讨了IPsec在实际应用中的规定,如AH和ESP的嵌套使用。
摘要由CSDN通过智能技术生成

(一)基本概念

IPsec 是 IETF 制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。

数据来源认证:接收方认证发送方身份是否合法。

数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加 密数据进行解密后处理或直接转发。

数据完整性:接收方对接收的数据进行认证,以判定报文是否被篡改。

抗重放:接收方会拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包 所进行的攻击。

IPsec 包括认证头协议(Authenti c a tion Header,AH)封装安全载荷协议 (Encapsulating Security Payload,ESP因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。

AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。AH主要做认证,ESP可以做认证还可以加密。

IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现 Internet上数据的安全传输。

安全联盟SA:

(二)协议内容

(1)数据的封装模式

传输模式: 不改变原有的IP包头,通常用于主机与主机之间,只保护数据域。只针对数据部分进行加密。

隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信,适用于主机和网关实 现,针对头和数据进行加密。在隧道模式下,AH报头或ESP报头插在原始IP头之前, 另外生成一个新IP头(新IP头为对等体的IP地址)放到AH报头或ESP报头之前。隧 道模式在两台主机端到端连接的情况下,隐藏了内网主机的IP地址,保护整个原始数据包的安全。

传输模式:加密点,通信点一致的话,推荐传输模式。

隧道模式:加密点,通信点不一致,比如加密点在AB之间,通信点在CD之间 。

传输模式:可见原始ip报头都保留,原始ip地址都是在公网可路由的IP,不需要再重新封装。

隧道模式需要对原始IP数据进行重新封装,会产生新的IP头部,RawIP是原始,NewIP是新的IP头部。AH对整个IP报文做认证。

从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据包进行认证和加 密,并且可以使用对等体的IP地址来隐藏客户机的IP地址。从性能来讲,因为隧道模式有一个额外的IP头,所以它将比传输模式占用更多带宽。

(2)认证头协议AH

上面有提到IPsec 包括认证头协议(Authenti c a tion Header,AH)封装安全载荷协议 (Encapsulating Security Payload,ESP因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。

下面先介绍AH协议:

AH报文结构(保留了一些ipv6特征):

(3)安全协议ESP

下面详细介绍一下每个字段:

SPI字段:安全参数索引,32bit,随机产生的,通过IKE进行协商的数据;在SADB数据库中查找SA

Sequence number字段:主要是防重放;通过窗口大小决定能接收哪些数据

IV字段:8bit;被认证,不被加密

Padding:填充字段,做块加密

Next Header:主要是体现上层承载的是一个什么协议(深深体现出ipv6的格式)

Authentication:认证字段,96bit;把认证后的数据放在尾部,确保数据完整性

下面介绍ESP包输出处理过程——填充,加密,验证,重算

ESP包输入处理:

先解密,外层头部剥离,再处理

先重组,再解密,再转发给真正的接入者,对网络设备要求高

重组是由最终接入者完成

(4)IKE协议

IKE协议可以为IPSec自动协商建立SA。

IKE协议建立在Internet安全联盟和密钥管理协议定义的框架上,是基于UDP的应用层协议。它为 IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。

对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后对等体间的数据将在IPSec隧 道中加密传输。

IKEv1使用两个阶段为IPSec进行密钥协商并建立IPSec SA。第一阶段,通信双方协商和建立IKE本身使用的安全通道,建立一个IKE SA。第二阶段,利用这个已通过了认证和安全保护的安全通道,建立一对IPSec SA。

(5)IPsec的两个数据库

SPD  /  SADB

数据最终怎么处理完全是由SA决定

(三)协议应用

GM/T-0022《IPSec VPN技术规范》规定:

 AH应和ESP嵌套使用,即先加密(ESP封装)后认证、完整性(AH封装)。

 ESP协议允许单独使用。

  • 24
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值