网络安全——网络层IPSec安全协议(4)

这篇具有很好参考价值的文章主要介绍了网络安全——网络层IPSec安全协议(4)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

信息安全ipsec,网络安全,web安全,网络,安全

  • 作者简介:一名云计算网络运维人员、每天分享网络与运维的技术与干货。 

  •  座右铭:低头赶路,敬事如仪

  • 个人主页:网络豆的主页​​​​​​

目录

前言

一.IPSec安全协议

1.IPSec提供的安全服务

2.IPSec结构

3.IPSce提供的两种机制

二.Authentication Header 协议

1. Authentication Header 协议结构

 2.AH传输模式

3.AH隧道模式


前言

在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议。


一.IPSec安全协议

IPSec在IP层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。

信息安全ipsec,网络安全,web安全,网络,安全


1.IPSec提供的安全服务

IPSec能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。因为这些服务均在IP层提供,所以任何高层协议均能使用它们,例如TCP、UDP、ICMP、BGP等。

信息安全ipsec,网络安全,web安全,网络,安全

 这些目标是通过使用两大传输安全协议,头部认证(AH)和封装安全负载(ESP)以及密钥管理程序和协议的使用来完成的。

信息安全ipsec,网络安全,web安全,网络,安全

 所需的IPSec协议集内容及其使用方式是由用户、应用程序和/或站点、组织对安全和系统的需求来决定。


2.IPSec结构

IPSec结构包括众多协议和算法,这些协议之间的相互关系如图所示。

信息安全ipsec,网络安全,web安全,网络,安全

由图可知,IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。

  • 包括网络认证协议Authentication Header(AH)、
  • 封装安全载荷协议(Encapsulating Security Payload,ESP)、
  • 密钥管理协议(Internet Key Exchange,IKE)和用于网络认证及加密的一些算法等。

IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供访问控制、数据源认证、数据加密等网络安全服务。


3.IPSce提供的两种机制

IPSce提供了两种机制:认证和加密

认证机制使IP通信的数据接收方能够确认数据发送方的真实身份,以及数据在传输过程中是否遭篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听

其中,AH协议定义了认证的应用方法,提供数据源认证和完整性保证:ESP协议定义了加密和可选认证的应用方法,提供可靠性保证。

信息安全ipsec,网络安全,web安全,网络,安全

 在实际进行IP通信时,可以根据实际需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务,不过,AH提供的认证服务要强于ESP。


二.Authentication Header 协议

1. Authentication Header 协议结构

Authentication Header(AH)协议主要提供认证机制保证数据包接收者得到的源地址是可靠的,同时也提供了数据的完整性抗重播攻击的能力

它使通信免受篡改,但不能防止窃听,适合用于传输非机密数据

 AH的工作原理是在每一个数据包上添加一个身份验证包头。

此包头包含一个带密钥的Hash散列(可以将其当做数字签名,只是它不使用证书),此Hash散列在整个数据包中计算,因此对数据的任何更改将致使散列无效,提供对数据的完整性保护

信息安全ipsec,网络安全,web安全,网络,安全

AH包头位置在IP包头和传输层协议包头之间,如图所示。AH由IP协议号“51”标识,该值包含在AH包头之前的协议包头中,如IP包头。AH可以单独使用,也可以与ESP协议结合使用。

信息安全ipsec,网络安全,web安全,网络,安全

AH由5个固定长度域和一个变长的认证数据域组成,如图所示。

信息安全ipsec,网络安全,web安全,网络,安全

 其中的字段意义如下。

  • (1)下一头:(8位),识别这个包头之后紧跟的包头类型。在传输模式下,表示处于保护中的上层协议的值,比如TCP或UDP的值。
  • (3)载荷长度:(8位)其值等于AH头长度(以32位字长计算)减去2。AH头是一个IPv6的扩展头按照RFC2460标准的规定:它的值是头长度减去一个64位,在认证数据为标准的96位时,这个域的值为4。
  • (3)保留字段:16位,该字段用于今后的扩充,设置为0。
  • (4)安全参数索引SPl:专有32位值,用以区分那些目的IP地址和安全协议类型相同,但算法不同的数据包。
  • (5)序列号:32位整数,它代表一个单调递增计数器的值。
  • (6)认证值:这个域的长度可变,它存放IP数据包的完整性校验值ICV。

ICV,全称integrity check value。是在对无格式文本安全列表和补充的计算得到的,用于信息安全的完整性检查。ICV的算法是32位的自身反码加法,每个32位块跟随32个0位。

信息安全ipsec,网络安全,web安全,网络,安全


 2.AH传输模式

如图3-5所示,在传输模式下,AH包头插在IP包头之后,TCP、UDP或者ICMP等上层协议包头之前。

信息安全ipsec,网络安全,web安全,网络,安全

一般AH为整个数据包提供完整性检查,但是在传输过程中,某些IP头字段会发生变化,且发送方无法预测数据包到达接收端时此字段的值。


例如生存期(Time To Live)或服务类型(Type of Service)等值可变字段(可变字段如图3-6中灰色字段),在进行完整性检查时,应将这些值的可变字段置为0。AH尽可能为IP头和上层协议数据提供足够多的认证,但AH并不能保护可变字段值,因此,AH提供给IP头的保护有些是零碎的。

信息安全ipsec,网络安全,web安全,网络,安全

 通常,当用于IPv6时,AH出现在IPv6逐跳路由头之后,IPv6目的选项之前;而用于IPv4时,AH跟随主IPv4头。


3.AH隧道模式

以上介绍的是传输模式下的AH协议,AH隧道模式与传输模式略有不同。

  • 在隧道模式下,整个原数据包被当做有效载荷封装起来,外面附上新的IP包头。其中“内部”IP包头(原IP包头)指定最终的信源和信宿地址,而“外部”IP包头(新IP包头)中包含的常常是做中间处理的网关地址。
  • 与传输模式不同,在隧道模式中,原IP地址被当做有效载荷的一部分,受到IPSec的保护。另外,通过对数据加密,还可以将数据包目的地址隐藏起来,这样更有助于保护端对端隧道通信中数据的安全性。
  • 图中给出了AH隧道模式中的认证部分。AH隧道模式为整个数据包提供完整性检查和认证,认证功能优于ESP。但在隧道技术中,AH协议很少单独实现,通常与ESP协议组合使用。

信息安全ipsec,网络安全,web安全,网络,安全


 创作不易,求关注,点赞,收藏,谢谢~   文章来源地址https://www.toymoban.com/news/detail-779729.html

到了这里,关于网络安全——网络层IPSec安全协议(4)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全之IPSEC路由基本配置

    目录 网络安全之IPSEC路由基本配置 IPSEC配置的前提分析 协议分析 传输模式分析​编辑 IPSEC路由中的配置 图谱图 配置公网可达 R1配置IKE SA的安全提议 R1配置 IKE SA 的身份认证信息 R3配置IKE SA的安全提议 R3配置 IKE SA 的身份认证信息 R1配置IPSEC的安全提议 R1配置感兴趣流 R

    2024年02月09日
    浏览(85)
  • 企业网络安全架构设计之IPSec VPN应用配置举例

    分支机构内部业务Vlan为vlan 10与vlan 20,通过FW1的DHCP服务获取相关网络配置信息。分支机构中Vlan 30为外网Vlan,PC5只可以访问公网,无法通过IPSec访问总部内网资源。 分支机构Client1与PC2需要访问总部内部的FTP服务器,为保证数据访问的安全性,采用IPSec VPN的方式通过公网进行资

    2024年02月05日
    浏览(41)
  • 详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp

    目录 IP安全概述 IPSec协议簇 IPSec的实现方式 AH(Authentication Header,认证头) ESP(Encapsulating Security Payload,封装安全载荷) IKE(Internet Key Exchange,因特网密钥交换) IKE的两个阶段 大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计

    2024年01月19日
    浏览(38)
  • 5.2 IPSec之二----安全协议

    1、安全协议 认证头AH协议只提供认证服务 封装安全荷载协议ESP提供认证和加密两种服务 认证服务是可选的,加密服务必须实现   2、认证头协议AH 传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包 隧道模式的AH对整个内部IP包及其外部IP包头部的不变部

    2024年02月07日
    浏览(36)
  • 网际层的安全协议——IPSec

    1. IPSec概述 旨在网际层实现IP分组端到端的安全传输 实际是一个协议包,由一组安全协议组成(包括AH、ESP、SA和IKE等) 序号 协议 功能 1 SA (Security Association) 用于描述双方 如何 安全地通信 2 AH (Authentication Header) 实现数据完整性检测 3 ESP (Encapsulating Security Payload) 实现

    2024年02月11日
    浏览(42)
  • 详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议

    目录 IP安全概述  IPSec协议簇 IPSec的实现方式 AH(Authentication Header,认证头) ESP(Encapsulating Security Payload,封装安全载荷) IKE(Internet Key Exchange,因特网密钥交换) IKE的两个阶段  大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设

    2024年02月05日
    浏览(40)
  • 第五章 ip层安全协议——IPsec(郑大网安自用)

    提供如下3种服务: 数据完整性验证 通过哈希函数(如MD5)产生的校验来保证 数据源身份认证 通过在计算验证码时加入一个共享密钥来实现 防重放攻击 AH报头中的序列号可以防止重放攻击 格式、封装:…… 运行模式 传输模式 AH插入到IP首部(包括IP选项字段)之后、传输层

    2024年02月19日
    浏览(42)
  • 网络安全-Web端安全协议

    大家上网娱乐或办公总是离不开浏览器,也就是从web端访问各个网站,其安全的重要性与其使用的广泛性成正比。本文就web端常见的相关安全协议分享。 SSL(Secure Sockets Layer),安全套接层,它是在传输通信协议(TCP/IP)上实现的一种安全协议,它位于应用层协议之下且独立的

    2024年02月08日
    浏览(48)
  • 网络安全B模块(笔记详解)- Web信息收集

    1.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,查看该命令的完整帮助文件),并将该操作使用命令中固定不变的字符串作为Flag提交; Flag:nikto -H 2.通过Kali对服务器场景Linux进行Web扫描渗透测试(使用工具nikto,扫描目标服务器8080端口,检测其开放状态),

    2024年01月20日
    浏览(59)
  • 安全防御 --- IPSec理论(02)

    附: 协议与模式分类 esp 和 ah 的分类: 数据的安全性:ESP有机密性;AH无机密性 场景:ESP适合公网场景;AH适合内网 / 私网场景 (数据的安全性主要依赖于传输端之间需要做认证) 传输模式和隧道模式的分类: 传输端的可达性:传输模式有可达性;隧道模式无可达性 场景

    2024年02月08日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包