详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp

这篇具有很好参考价值的文章主要介绍了详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

IP安全概述

IPSec协议簇

IPSec的实现方式

AH(Authentication Header,认证头)

ESP(Encapsulating Security Payload,封装安全载荷)

IKE(Internet Key Exchange,因特网密钥交换)

IKE的两个阶段


IP安全概述

大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的。

TCP/IP协议族有两种IP版本:版本4(IPv4)和版本6(IPv6),IPv6是IPv4的后续版本,IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的考虑。

目前占统治地位的是IPv4,IPv4在设计之初没有考虑安全性,IP数据包本身并不具备任何安全特性,导致在网络上传输的数据很容易受到各式各样的攻击:比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此,通信双方不能保证收到IP数据报的真实性。


IPSec协议簇

为了加强因特网的安全性,从1995年开始,IETF着手制定了一套用于保护IP通信的IP安全协议(IP Security,IPSec)。IPSec是IPv6的一个组成部分,是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。

IPSec定义了一种标准的、健壮的以及包容广泛的机制,可用它为IP以及上层协议(比如TCP或者UDP)提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、机密性等。 IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。

IPSec协议簇中主要包括三个协议:IKE/AH/ESP

  • IKE(Internet Key Exchange,因特网密钥交换):IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。

  • AH协议(Authentication Header,验证头):可以证明数据的 起源地、保障数据的完整性以及防止相同数据包在因特网重播。

  • ESP协议(Encapsulating Security Payload,封装安全载荷):具有所有AH的功能,还可以利用加密技术保障数据机密性。

AH虽然可以保护通信免受窜改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全, ESP进一步提供数据保密性并防止窜改。也就是说,AH提供数据的可靠性和完整性,但机密性由ESP保护。虽然AH和ESP都可以提供身份认证,但它们有2点区别: ESP要求使用高强度的加密算法,会受到许多限制。 多数情况下,使用AH的认证服务已能满足要求,相对来说,ESP开销较大。 同时有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制,选择安全方案可以有更大的灵活度。


IPSec的实现方式

IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。

传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。 当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

传输模式的封包如下所示

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议


隧道模式用于主机与服务器,或者服务器与服务器之间,保护整个IP数据包,将整个IP数据包进行封装(称为内部IP头),然后增加一个IP头(称为外部IP头),并在内部与外部IP头之间插入一个IPSec头。

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

隧道模式的封包如下所示

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

IPSec可在终端主机、网关/路由器或者两者中同时进行实施和配置。至于IPSec在网络什么地方配置,则由用户对安全保密的要求来决定。 在需要确保端到端的通信安全时,在主机实施显得尤为有用。 然而,在需要确保网络一部分的通信安全时,在路由器中实施IPSec就显得非常重要。


AH(Authentication Header,认证头)

AH为IP报文提高能够数据完整性校验和身份验证,还具备可选择的重放攻击保护,但不提供数据加密保护。 AH不对受保护的IP数据报的任何部分进行加密,除此之外,AH具有ESP的所有其他功能。 AH和ESP同时保护数据,在顺序上,AH在ESP之后,AH格式如图:

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

头部(8位)表示AH后的载荷类型,传输模式下是6(TCP)或17(UDP),隧道模式下是5 (TCP)或41(UDP)。 载荷长度(8位)是整个AH的长度减2,长度以32为单位。保留(16)位是保留字段,全为0。 安全参数索引(32位)与外部IP头的目的地址一起对报文进行身份验证和完整性校验,序列号(32位)是一个单向递增的计数器,提供抗重播能力。验证数据的长度由具体的验证算法决定。

对AH的处理分成2部分:

  • 对发送的数据包添加AH头
  • 对收到的含有AH的数据包进行还原

ESP(Encapsulating Security Payload,封装安全载荷)

ESP为IP报文提供数据完整性校验、身份验证、数据加密以及重放攻击保护等。 除了AH提供的所有服务外,还提供机密性服务。 ESP可在传输模式以及隧道模式下使用。ESP头可以位于IP头与上层协议之间,或者用它封装整个IP数据报。ESP头的格式 :

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

安全参数索引(32位)用于标识处理数据包的安全关联。 序列号(32位)与AH类似,提供抗重放攻击。 填充项(0~255位),长度由具体加密算法决定。 填充长度(8位):接收端可以恢复的数据载荷的真实长度。 下一头部(8位):表示受ESP保护的载荷的类型。 在传输模式下可能是6(TCP)或17(UDP),在隧道模式下可能是5(IPv4)或41(IPV6)

AH和ESP可以单独使用,也可以同时使用。AH和ESP同时使用时,报文会先进行ESP封装,再进行AH封装;IPsec解封装时,先进行AH解封装,再进行ESP解封装。


IKE(Internet Key Exchange,因特网密钥交换)

整个IKE协议规范主要由3个文档定义:RFC2407、RFC2408和RFC2409

  • RFC2407定义了因特网IP安全解释域
  • RFC2408描述了因特网安全关联和密钥管理协议(Internet Security Association and Key Manangement Protocol,ISAKMP)
  • RFC2409描述了IKE协议如何利用Oakley,SKEME和ISAKMP进行安全关联的协商

以下文本来自于华为官网:

IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。IKE SA和IPSec SA需要的加密密钥和验证密钥都是通过DH算法生成的,它还支持密钥动态刷新。

IKE的两个阶段

IKE的第一阶段——主模式交换和积极模式交换

第一阶段的主要任务是建立IKE SA,为后面的交换提供一个安全通信信道。 使用主模式交换和积极模式交换。这两种模式都可以建立SA,两者的区别在于积极模式只用到主模式一半的消息,因此积极模式的协商能力受到限制的,而且它不提供身份保护。但是积极模式可以有一些特殊用途,比如远程访问等。 另外如果发起者已经知道响应者的策略,利用积极模式可以快速的建立IKE SA。

主模式和积极模式都允许4中不同的验证方法:

  1. 预共享密钥
  2. DSS数字签名
  3. RSA数字签名
  4. 交换加密

IKE的第二阶段——快速模式交换

快速模式交换主要是为通信双方协商IPSec SA的具体参数,并生成相关密钥。 IKE SA通过数据加密、消息验证来保护快速模式交换。快速模式交换和第一阶段交换相互关联,来产生密钥材料和协商IPSec的共享策略。 快速模式交换的信息由IKE SA保护,即除了ISA KMP报头外,所有的载荷都需要加密,并且还要对消息进行验证。




黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以V扫描下方二维码联系领取~

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

需要详细路线图的,下面获取

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

② 视频

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

③ 书籍

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

资源较为敏感,未展示全面,需要的下面获取

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议 ### 3️⃣Python面试集锦

① 面试资料

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

② 简历模板

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp,tcp/ip,安全,网络协议

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

------ 🙇‍♂️ 本文转自网络,如有侵权,请联系删除 🙇‍♂️ ------文章来源地址https://www.toymoban.com/news/detail-804435.html

到了这里,关于详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 网络安全协议之IPSec协议

    IPSec即IP安全协议 网络层在传输的时候可能会遭到攻击,这时我们需要用IPSec协议来进行保护 就像使用SSL协议来保护传输层一样 IPSec经常用于建立虚拟专用网络(VPN),它通过对IP数据包进行加密和认证,来提供两台计算机之间的安全加密通信 1. AH只提供认证和完整性保护,不

    2024年02月12日
    浏览(39)
  • 网络协议 — IPSec 安全隧道协议族

    2024年02月06日
    浏览(62)
  • IPsec、安全关联、网络层安全协议

    ·IP 几乎不具备任何安全性, 不能保证 :         1.数据机密性         2.数据完整性         3.数据来源认证 ·由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的 IP 数据报。 · IPsec 提供了标准、健壮且包含广泛的机

    2024年02月19日
    浏览(52)
  • 5.2 IPSec之二----安全协议

    1、安全协议 认证头AH协议只提供认证服务 封装安全荷载协议ESP提供认证和加密两种服务 认证服务是可选的,加密服务必须实现   2、认证头协议AH 传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包 隧道模式的AH对整个内部IP包及其外部IP包头部的不变部

    2024年02月07日
    浏览(37)
  • 网际层的安全协议——IPSec

    1. IPSec概述 旨在网际层实现IP分组端到端的安全传输 实际是一个协议包,由一组安全协议组成(包括AH、ESP、SA和IKE等) 序号 协议 功能 1 SA (Security Association) 用于描述双方 如何 安全地通信 2 AH (Authentication Header) 实现数据完整性检测 3 ESP (Encapsulating Security Payload) 实现

    2024年02月11日
    浏览(43)
  • 网络安全——网络层IPSec安全协议(4)

    作者简介:一名云计算网络运维人员、每天分享网络与运维的技术与干货。   座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页​​​​​​ 目录 前言 一.IPSec安全协议 1.IPSec提供的安全服务 2.IPSec结构 3.IPSce提供的两种机制 二.Authentication Header 协议 1. Authentication Heade

    2024年02月03日
    浏览(42)
  • 【ESP8266 (12F)】Wi-Fi通信与TCP IP协议栈(测试文章)_esp8266的通信协议(2)

    Wi-Fi是一种无线局域网技术,它可以让设备在一定范围内通过无线电波进行数据传输。Wi-Fi遵循IEEE 802.11标准,目前常见的有802.11b/g/n等协议。不同的协议有不同的频率、速率和兼容性。 ESP8266支持802.11b/g/n协议,可以工作在2.4GHz频段。它可以作为一个Wi-Fi客户端(Station,STA)或

    2024年04月27日
    浏览(46)
  • 命令行创建IP安全策略(IPSEC),让系统更安全

    简单理解,它是一个类似网络防火墙的东西,可以通过设置规则来限制IP、端口、协议的访问 IPsec Policy Agent 服务必须是运行的状态,设置的规则才会生效 可以在组策略编辑器中,图形化的创建: 但这不是今天讲的重点,而且图形化操作缺少效率,本文略过。 这里以禁止其它

    2024年02月07日
    浏览(37)
  • 【ESP8266 (12F)】Wi-Fi通信与TCP/IP协议栈(测试文章)

    测试文章: ESP8266是一款低成本的Wi-Fi芯片,它可以实现无线网络的连接和通信。本文将介绍ESP8266的Wi-Fi通信功能和TCP/IP协议栈的使用方法。 Wi-Fi是一种无线局域网技术,它可以让设备在一定范围内通过无线电波进行数据传输。Wi-Fi遵循IEEE 802.11标准,目前常见的有802.11b/g/n等协

    2024年02月10日
    浏览(53)
  • 基于ESP32的TCP/IP传输实现

    TCP/IP协议是Internet互联网最基本的协议,TCP/IP协议的应用层的主要协议有HTTP、Telnet、FTP、SMTP等,是用来读取来自传输层的数据或者将数据传输写入传输层;传输层的主要协议有UDP、TCP,实现端对端的数据传输;网络层的主要协议有ICMP、IP、IGMP,主要负责网络中数据包的传送

    2024年02月07日
    浏览(32)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包