IPsec协议的两种工作方式 协议三大部分 简介

最新推荐文章于 2024-05-27 09:55:34 发布
最新推荐文章于 2024-05-27 09:55:34 发布
阅读量1.8k 收藏 5
点赞数 1
分类专栏: 计算机网络 文章标签: 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64616076/article/details/128208877
版权

IPsec协议的两种工作方式:

隧道(tunnel)模式:用户的整个IP数据报被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP报头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。

在tunnel和transport模式下的数据封装形式如下图所示,图中data为原IP报文。

两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP报头域都是不加密发送的。

        IPsec协议族中的协议可划分为一下三个部分:

        IP安全数据报的两个协议:鉴别首部AH协议和封装安全有效载荷ESP协议

        有关加密算法的三个协议

        互联网密钥交换IKE协议。

        AH协议功能:

        源点鉴别   数据完整性    不能提供保密

        ESP协议功能:

  1. AH提供的所有功能
  2. 数据报加密和数据流加密

IPsec

我们经常使用的虚拟专用网(某PN),在某PN中传送的信息都是经过加密的,而IPsec就是提供的这个服务。

IPsec并不是一个单一协议,而是能够在IP层提供互联网通信安全的协议族。IPsec并没有限定用户必须使用何种特定的加密和鉴别算法。实际上,IPsec是个框架,它允许通信双方选择合适的算法和参数(例如:密钥长度)。为了保证互操作性,IPsec还包含了一套加密算法,所有IPsec的实现都必须使用。

 

墨漓映江
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPSec基础知识
qq_43710889的博客
02-23 4966
文章目录IPSec基础知识IPSec特性IPSec组成部分IPSec对等体IPSec隧道安全联盟(Security Association)AH安全协议AH包结构ESP安全协议ESP包结构AH和ESP比较封装模式传输模式隧道模式 IPSec基础知识 IPSec (Internet 协议安全)是一个工业标准网络安全协议,为IP 网络通信提供透明的安全服务,保护TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。 IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPS.
第十章安全通信协议及交易协议.ppt
11-12
两种协议都能够在传输模式和隧道模式下工作,以适应不同的安全需求。\n\n在IPSec协议栈中,还有Internet安全关联和密钥管理协议(Internet Key Exchange, IKE),它负责自动建立SA和管理密钥。IKE基于RFC2409,它...
IPSec 协议
Hala
08-07 488
关于IPSec 协议簇的说明,后期会进行更新,此篇先做一个导图形式的汇总
IPSec三个协议两种模式详解
热门推荐
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
网络安全——网络IPSec安全协议(4)
最新发布
cc123489ll的博客
05-27 344
在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议
IPSec VPN的原理与配置
2301_78256093的博客
06-14 8814
在配置安全联盟时,入方向和出方向安全联盟的安全参数索引都必须设置,并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同,而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。入方向和出方向安全联盟的认证密钥都必须设置,并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同;4、隧道模式中的ESP:对整个原始IP报文和ESP尾部进行加密,对ESP报文头、原始IP报文和ESP尾部进行完整性校验。3、传输模式中,在IP报文头和高层协议之间插入AH或ESP头。
java调用ipsec,IPSec 的使用模式 傳輸模式 (Transport mode) 傳輸模式 (Transport mode) 通道模式 (Tunnel mode) 通道模式 (Tunnel ...
weixin_31061699的博客
03-16 972
IPSec 的使用模式 傳輸模式 (Transport mode) 傳輸模式 (Transport mode) 通道模式 (Tunnel mode) 通道模式 (Tunnel mode)例如, B 目前所收到封包的最大編號為 N , 則 B 會記錄編號 N 至編號 N-63 封包的接 收狀態: 例如, B 目前所收到封包的最大編號為 N , 則 B 會記錄編號 N 至編號 N-63 封包的接 收狀...
IPSec协议研究及基于Linux的安全网关的实现.pdf
09-06
总的来说,这篇文献对于理解IPSec协议工作原理和在Linux系统中构建安全网关具有很高的参考价值,对于系统开发人员和网络安全专家来说是一份宝贵的资源。通过实施IPSec,可以在网络层面提供强大的安全保障,防止...
Linux 2.6内核中IPSec协议接入机制研究与分析.pdf
09-06
Linux 2.6内核对IPSec协议的接入机制进行了重大改进,旨在提供高效且无缝的安全服务。IPSec协议在互联网层(IP层)提供数据源认证、数据完整性检查和保密性,对于防止非法攻击至关重要。它不仅能保护IPv4流量,也能...
一种轻量可信的物联网通信协议.docx
06-01
协议设计包括两部分关键技术: 1. **灵活轻量的报文设计**:采用灵活变长地址,根据需要缩短或扩展地址空间,以适应物联网通信的短地址需求。这减少了域内通信的报头开销,避免了协议转换网关,提高了网络扩展性和...
17第5部分-网络安全-第20章IPSec1
08-08
两种模式分别适应不同的安全需求和网络环境。 在防御网络攻击方面,IPSec能够通过筛选和实施受信任的通信来防止各种攻击,例如拒绝服务攻击、中间人攻击等。通过结合使用AH和ESP,IPSec可以提供强大的防御策略,...
IPSec逻辑体系架构
weixin_33894640的博客
05-15 194
以下内容摘自业界唯一一本真正从全局视角介绍网络安全系统设计的图书——《网络工程师必读——网络安全系统设计》一书。目前该书在卓越网上仅需要70折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360   8.5.1 IPSec逻辑体系架构 有多个RFC定义了I...
IPSec详解
Anakin01的博客
05-25 7779
与AH不同的是,ESP将数据中的有效载荷进行加密后再封装到数据包中,以保证数据的机密性,但ESP没有对IP头的内容进行保护。ESP协议验证报文的完整性检查部分包括ESP头、原IP头、传输层协议头、数据和ESP报尾,但不包括新IP头,因此ESP协议无法保证新IP头的安全。ESP协议验证报文的完整性检查部分包括ESP头、传输层协议头、数据和ESP报尾,但不包括IP头,因此ESP协议无法保证IP头的安全。明文数据----------同样的散列算法(MD5算法)---------算出散列值2(67890)
简述IPSEC
qq_41554179的博客
02-15 2252
一、IPSec协议簇 是一组基于网络层的,应用密码学的安全通信协议族。IPSec不是具体指哪个协议,而是一个开放的协议族。(协议簇如下图) 提供的安全服务 机密性、完整性、不可否认性、重传攻击保护、数据源鉴别 注: - 防重放攻击:产生一个随机数附在加密信息里面,由于原始数据是加密的,黑客获取数据时不能知道随机数,当重放攻击时,接收端发现随机数用过则丢弃 IPSEC协议簇框架 二、...
IPsec协议族之AH和ESP协议
日积月累
01-13 3704
esp和ah
VPN、IPSEC、AH、ESP、IKE、DSVPN
xiaooxiangg的博客
04-14 3807
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
华为IPSec解决方案
DREW德鲁
07-30 2433
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。 机密性(Confidentiality)指对用户数据进行加密保护,用密文的形式传送数据。 完整性(Data integrity)指对接收的数据进行认证,以判定报文是否被篡改。 防重放(Anti-replay)指防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝旧的或重复的数据包。 其他安全要求:源认证(确认信息真实的发送者和接收者)、不可否
防火墙——IKE(IPSec2)
m0_49864110的博客
05-17 8620
IKE基本概念 IKE安全机制 身份认证 身份保护 DH密钥分发算法 PFS IKEv1协商安全联盟 阶段1——协商IKE SA建立安全通道 阶段2——利用安全通道协商IPSec SA IKEv1中DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系 IKEv2协商安全联盟的过程 IKEv2定义了种交换 ISAKMP报文 UDP头部 ISAKMP头部 IKEv1和IKEv2之间的区别 查看IKE隧道建立情况
描述在IPSec传输模式下ESP报文装包和拆包过程
tl437002770的博客
04-09 1万+
IPSec是一种端到端的确保IP层通信安全的体制,IPSec不是一个单独的协议,而是一组协议,如图1所示,IPSec安全体系主要包含了3种协议ESP、AH、IKE,1个安全联盟SA和一些加密和认证的算法。                                     图1         AH(Authentication Header):提供数据完整性验证,通过Hash实现
SSH 和IPSec协议关系
05-24
SSH和IPSec协议都是用于保护网络通信安全的协议,但它们的作用和工作方式略有不同。 SSH(Secure Shell)协议是一种通过加密的方式来保护远程登录和传输文件的协议。它通过在网络上建立一个安全的通道,对数据进行加密和解密,从而保障通信的安全性。SSH协议通常用于远程登录Linux服务器或其他操作系统,也可以用于传输文件和执行命令等操作。 IPSec(Internet Protocol Security)协议是一种用于保护IP通信安全的协议,它通过对IP数据包进行加密和解密来保护通信过程中的数据安全。IPSec通常用于VPN(Virtual Private Network)的建立,以确保远程访问网络时数据的保密性和完整性。 虽然SSH和IPSec协议都是用于保护网络通信安全的协议,但它们的应用场景和工作方式不同。SSH主要用于远程登录和传输文件等操作,而IPSec主要用于建立VPN隧道来保护整个网络通信过程的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨漓映江

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值