一文带你了解IPsec协议

最新推荐文章于 2024-03-20 18:23:01 发布
最新推荐文章于 2024-03-20 18:23:01 发布
阅读量5.9k 收藏 14
点赞数
分类专栏: 网络协议 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45139342/article/details/126170854
版权

文章目录

前言

互联网安全协议(Internet Protocol Security,IPSec)是一个协议包
通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇(一些相互关联的协议的集合)

简介

IPSec是IETF(Internet Engineering Task Force,即国际互联网工程技术小组)提出的使用密码学额保护IP层通信的安全保密架构 ,是一个协议簇

通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇(一些相互关联的协议的集合)

IPSec可以实现以下4项功能:

  • ①数据机密性:IPSec发送方将包加密后再通过网络发送
  • ② 数据完整性:IPSec可以验证IPSec发送方发送的包,以确保数据传输时没有被改变
  • ③数据认证:IPSec接受方能够鉴别IPsec包的发送起源。此服务依赖数据的完整性
  • ④反重放:IPSec接受方能检查并拒绝重放包

IPSec主要由以下协议组成:

  • 一、认证头(AH),为IP数据报提供无连接数据完整性、消息认证以及防重放攻击保护;
  • 二、封装安全载荷(ESP),提供机密性、数据源认证、无连接完整性、防重放和有限的传输流(traffic-flow)机密性;
  • 三、安全关联(SA),提供算法和数据包,提供AH、ESP操作所需的参数。
  • 四、密钥协议(IKE),提供对称密码的钥匙的生存和交换

技术细节

认证头(AH)

  • 认证头(Authentication Header,AH)被用来保证被传输分组的完整性和可靠性
  • 它还保护不受重放攻击
  • 认证头试图保护IP数据报的所有字段,那些在传输IP分组的过程中要发生变化的字段就只能被排除在外
  • 当认证头使用非对称数字签名算法(如RSA)时,可以提供不可否认性(RFC 1826)
    在这里插入图片描述
    字段含义:
字段含义
下一个头标识被传送数据所属的协议
载荷长度认证头包的大小
保留为将来的应用保留(目前都置为0)
安全参数索引与IP地址一同用来标识安全参数
串行号单调递增的数值,用来防止重放攻击
认证数据包含了认证当前包所必须的数据

封装安全载荷(ESP)
封装安全载荷(Encapsulating Security Payload,ESP)协议对分组提供了源可靠性、完整性和保密性的支持
与AH头不同的是,IP分组头部不被包括在内

安全结构

  • IPSec协议工作在OSI 模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如 安全套接子层(SSL)就不能保护UDP层的通信流)
  • 这就意味着,与传输层或更高层的协议相比,IPSec协议必须处理可靠性和分片的问题
  • 同时也增加了它的复杂性和处理开销
  • 相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片

安全协议

  • (1)AH(AuthenticationHeader) 协议

它用来向 IP通信提供数据完整性和身份验证,同时可以提供抗重播服务

  • 在 IPv6 中协议采用 AH 后, 因为在主机端设置了一个基于算法独立交换的秘密钥匙, 非法潜入的现象可得到有效防止, 秘密钥匙由客户和服务商共同设置
  • 在传送每个数据包时,IPv6 认证根据这个秘密钥匙和数据包产生一个检验项。在数据接收端重新运行该检验项并进行比较,从而保证了对数据包来源的确认以及数据包不被非法修改
  • (2)ESP(EncapsulatedSecurityPayload) 协议
  • 它提供 IP层加密保证和验证数据源以对付网络上的监听
  • 因为 AH虽然可以保护通信免受篡改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的
  • 为了有效地保证数据传输安全, 在IPv6 中有另外一个报头 ESP,进一步提供数据保密性并防止篡改

安全联盟 SA

  • 安全联盟 SA,记录每条 IP安全通路的策略和策略参数
  • 安全联盟是 IPSec 的基础, 是通信双方建立的一种协定,决定了用来保护数据包的协议、转码方式、密钥以及密钥有效期等
  • AH和 ESP都要用到安全联盟,IKE的一个主要功能就是建立和维护安全联盟

密钥管理协议

  • 密钥管理协议 ISAKMP, 提供共享安全信息
  • Internet密钥管理协议被定义在应用层
  • ETF规定了Internet安全协议和互联网安全关联和秘钥管理协议
  • ISAKMP(Internet Security Association and Key Management Protocol) 来实现 IPSec 的密钥管理,为身份认证的 SA 设置以及密钥交换技术

安全特性

IPSec的安全特性主要有:

不可否认性

  • "不可否认性"可以证实消息发送方是唯一可能的发送者
  • 发送者不能否认发送过消息
  • "不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名
  • 所以只要数字签名通过验证,发送者就不能否认曾发送过该消息
  • 但"不可否认性"不是基于认证的共享密钥技术的特征
  • 因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥

反重播性

  • "反重播"确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址
  • 该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)

数据完整性

  • 防止传输过程中数据被篡改,确保发出数据和接收数据的一致性
  • IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和
  • 若包遭篡改导致检查和不相符,数据包即被丢弃

数据可靠性

  • 在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读
  • 该特性在IPSec中为可选项,与IPSec策略的具体设置相关

IKE

  • IKE(RFC2407,RFC2408、RFC2409)属于一种混合型协议
  • 由Internet安全关联和密钥管理协议(ISAKMP)和两种密钥交换协议OAKLEYSKEME 组成
  • IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式。

IKE使用了两个阶段的ISAKMP:

  • 第一阶段,协商创建一个通信信道(IKE SA),并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务
  • 第二阶段,使用已建立的IKE SA建立IPsec SA(V2中叫Child SA)

【百度百科-IPsec】
【参考链接】

相思寄清风
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全协议IPSec协议
buctwx的博客
03-06 1712
IPSec协议
一文了解半导体硅晶片
01-20
硅片是生产集成电路的主要原材料。硅片尺寸越大则每片硅片上可以制造的芯片数量就越多,从而制造成本就越低。硅片尺寸的扩大和芯片线宽的减小是集成电路行业技术进步的两条主线。目前12寸硅片的出货量占比超过60%,...
12、IPSec协议
安全学习笔记
07-23 1万+
IPSec协议 网络层安全协议IPSec是由IETF制定,为IPv4(可选)和IPv6(强制)协议提供基于加密安全的一个安全协议组。IPSec主要功能: 1)认证:确保通信的数据接收方能确定数据发送方的真实身份,以及确定数据在传输过程中是否遭到篡改。 2)加密:对数据进行加密,防止数据在传输过程中被窃听。 3)为了实现认证和加密,还需要有秘钥管理和交换的功能。 以上三方面的工作分别由AH、ESP和IKE三个组件实现。 1、IPSec协议族 1)IPSec协议定义了两种通信保护机制.
IPSec的三个协议和两种模式详解
weixin_45317091的博客
02-23 1万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
ipsec协议簇详解(IPSec vpn)
最新发布
qq_64302290的博客
03-20 728
1):IPSEC VPV其实是一种使用IPSEC技术所实现的一种VPN技术;2):IPSEC-----其实本身是一种协议簇(一堆协议的集合),一个基于网络层,应用密码学的安全信息协议组。类似于我们所知的TCP/IP协议簇;3): IPSEC协议簇是针对IPV6来设计的,在IPV6产品中IPSEC是强制使用的,保证其数据传输的安全性;但是,也可以在ipv4中使用,作为一个可选项。机密性,完整性,可用性,可控性,不可否认性;1.机密性:对数据进行加密2.完整性:保证数据在传递过程中不会被篡改,防篡改。
ipsec协议
bytxl的专栏
09-11 7362
http://lulu1101.blog.51cto.com/4455468/816875 IPSec 协议简介   IPSec (IP Security)协议族是IETF 制定的一系列协议,它为 IP 数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在 IP 层通过加密与数据源验证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。
IPSec协议
Charming的博客
11-02 730
IPSec协议 IPSec概述(协议流程、SPD、SAD) 数据封装(IPSec:AH、IPSec:ESP) 安全参数协商(ISAKMP、IKE)
一文了解云原生
02-23
自进入云计算时代后,大量的新概念、新技术如雨后春笋般的涌现出来,从早期的openstack、IAAS平台,到中期的容器技术、微服务架构,再到现在的servicemesh服务网格技术、serverless无服务器架构、云原生技术,可谓在...
一文了解MEMD技术
01-20
机电系统(MEMS)是一种技术,其 一般的形式可以定义为使用微细加工技术制成的小型机械和机电元件(即设备和结构)。MEMS 器件的关键物理尺寸可能从尺寸范围下端的一微米以下到几毫米不等。同样,MEMS 装置的类型...
一文了解HTTP黑科技
02-24
内容协商机制是指客户端和服务器端就响应的资源内容进行交涉,然后提供给客户端最为适合的资源。内容协商会以响应资源的语言、字符集、编码方式等作为判断的标准。内容协商主要有以下3种类型:服务器驱动协商...
网络安全——网络IPSec安全协议(4)
yj11290301的博客
03-22 2637
在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议
IPSEC详解
qq_45782298的博客
05-05 3万+
1、什么是IPSec IPSec(Internet Protocol Security)协议族是IETF(Internet Engineering Task Force)制定的一些列协议,它为IP数据包提供了高质量的、基于密码学的安全传输特性。特定的通信双方在IP层通过加密与数据源认证等方式,保证IP数据报在网络上传输的私有性、完整性和防重放。 私有性:指对用户数据进行加密,用密文形式进行传送。 完整性:指对接收的数据进行认证,以判定报文是否被篡改。 防重放:指防止恶意用户通过重复发送捕获到的数据包进行攻击
关于IPSec 的分析
嚴 帅的博客
03-05 2279
简介: IPsec是一组基于网络层的,应用密码学的安全通信协议族,它不是具体的哪个协议,而是一个开放的协议族。 作用:在IPv4和IPv6环境中为网络层流量提供灵活的安全服务。 IPsec VPN:是基于IPsec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入头部来保证OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 VPN只是IPsec协议...
IPSec介绍
热门推荐
NEUChords的博客
06-20 24万+
IPSec VPN介绍(上)1.IPSEC协议簇安全框架a.IPSec VPN简介b.IPSec协议族2.IPSEC工作模式a.传输模式(Transport mode)b.隧道模式(Tunnel mode)3.IPSEC通信协议a.AH协议b.ESP协议c.AH和ESP对比4.IPSEC建立阶段a.IKE协商阶段 1.IPSEC协议簇安全框架 a.IPSec VPN简介 IPSec(Interne...
TCP-IP详解:AH(Authentication Header)
深邃 精致 内涵 坚持
09-29 1万+
IPSec核心协议是AH和ESP,本文主要介绍下AH协议的数据封装与传输
网络安全协议IPsec
dexi113的博客
06-13 764
IPSec(Internet 协议安全)是一个工业标准网络安全协议,工作在OSI模型的第三层,即网络层,为IP网络通信提供透明的安全服务,可使TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec是一种端到端的安全模式,通信数据由发送方加密,接收方解密,网络中其他的节点和主机无需支持IPSecIPSec工作网络层,使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。
IPSec详解
Anakin01的博客
05-25 5690
与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。ESP协议验证报文的完整性检查部分包括ESP头、原IP头、传输层协议头、数据和ESP报尾,但不包括新IP头,因此ESP协议无法保证新IP头的安全。ESP协议验证报文的完整性检查部分包括ESP头、传输层协议头、数据和ESP报尾,但不包括IP头,因此ESP协议无法保证IP头的安全。明文数据----------同样的散列算法(MD5算法)---------算出散列值2(67890)
网络层安全协议IPSec
kxbdys的博客
03-02 3432
一、IPSec协议概述 1、IPsec并不是一个单个的协议,而是能够在IP层提供互联网通信安全的协议族。 2、IPsec是个框架,它允许通信双方选择合适的算法和参数(例如。密。钥长度)。为保证互操作性,IPsec 还包含了所有IPsec的实现都必须有的一套加密算法。 3、IP 几乎不具备任何安全性,不能保证: ■ 数据机密性 ■数据完整性 ■数据来源认证 由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的IP数据报。而IPsec 提供了标准、健壮且包
IPSEC协议以及工作原理
m0_71999868的博客
09-20 881
ipsec的重点协议和工作原理
超详细!一文了解 lvs 负载均衡集群!
01-19
LVS(Linux Virtual Server)是一种基于 Linux 系统的负载均衡集群技术,它主要用于将网络流量分发到多个服务器上,以提高系统的可靠性、可扩展性和性能。 LVS 集群一般包括四个组件:调度器(LVS 调度器)、前端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值