1. IT分享知识网首页
  2. 未分类

IPsec协议详解

老牧童 未分类

IPsec协议详解本文详细介绍了 IPsec 的基本概念 包括数据来源认证 数据加密 数据完整性以及抗重放功能

大家好,欢迎来到IT知识分享网。

(一)基本概念

IPsec 是 IETF 制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。

数据来源认证:接收方认证发送方身份是否合法。

数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加 密数据进行解密后处理或直接转发。

数据完整性:接收方对接收的数据进行认证,以判定报文是否被篡改。

抗重放:接收方会拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包 所进行的攻击。

IPsec 包括认证头协议(Authenti c a tion Header,AH)封装安全载荷协议 (Encapsulating Security Payload,ESP因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。

AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。AH主要做认证,ESP可以做认证还可以加密。

IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现 Internet上数据的安全传输。IPsec协议详解

IPsec协议详解IPsec协议详解

安全联盟SA:

IPsec协议详解

IPsec协议详解

IPsec协议详解

(二)协议内容

(1)数据的封装模式

传输模式: 不改变原有的IP包头,通常用于主机与主机之间,只保护数据域。只针对数据部分进行加密。

隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信,适用于主机和网关实 现,针对头和数据进行加密。在隧道模式下,AH报头或ESP报头插在原始IP头之前, 另外生成一个新IP头(新IP头为对等体的IP地址)放到AH报头或ESP报头之前。隧 道模式在两台主机端到端连接的情况下,隐藏了内网主机的IP地址,保护整个原始数据包的安全。

传输模式:加密点,通信点一致的话,推荐传输模式。

隧道模式:加密点,通信点不一致,比如加密点在AB之间,通信点在CD之间 。

IPsec协议详解IPsec协议详解

传输模式:可见原始ip报头都保留,原始ip地址都是在公网可路由的IP,不需要再重新封装。IPsec协议详解

隧道模式需要对原始IP数据进行重新封装,会产生新的IP头部,RawIP是原始,NewIP是新的IP头部。AH对整个IP报文做认证。

IPsec协议详解

从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据包进行认证和加 密,并且可以使用对等体的IP地址来隐藏客户机的IP地址。从性能来讲,因为隧道模式有一个额外的IP头,所以它将比传输模式占用更多带宽。

(2)认证头协议AH

上面有提到IPsec 包括认证头协议(Authenti c a tion Header,AH)封装安全载荷协议 (Encapsulating Security Payload,ESP因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。

下面先介绍AH协议:

IPsec协议详解

AH报文结构(保留了一些ipv6特征):

IPsec协议详解

IPsec协议详解

(3)安全协议ESP

IPsec协议详解

IPsec协议详解

下面详细介绍一下每个字段:

SPI字段:安全参数索引,32bit,随机产生的,通过IKE进行协商的数据;在SADB数据库中查找SA

Sequence number字段:主要是防重放;通过窗口大小决定能接收哪些数据

IPsec协议详解

IV字段:8bit;被认证,不被加密

Padding:填充字段,做块加密

Next Header:主要是体现上层承载的是一个什么协议(深深体现出ipv6的格式)

Authentication:认证字段,96bit;把认证后的数据放在尾部,确保数据完整性

下面介绍ESP包输出处理过程——填充,加密,验证,重算

IPsec协议详解

IPsec协议详解

IPsec协议详解IPsec协议详解

ESP包输入处理:

IPsec协议详解

IPsec协议详解

先解密,外层头部剥离,再处理

IPsec协议详解

先重组,再解密,再转发给真正的接入者,对网络设备要求高

IPsec协议详解

重组是由最终接入者完成

(4)IKE协议

IKE协议可以为IPSec自动协商建立SA。

IKE协议建立在Internet安全联盟和密钥管理协议定义的框架上,是基于UDP的应用层协议。它为 IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。

对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后对等体间的数据将在IPSec隧 道中加密传输。

IKEv1使用两个阶段为IPSec进行密钥协商并建立IPSec SA。第一阶段,通信双方协商和建立IKE本身使用的安全通道,建立一个IKE SA。第二阶段,利用这个已通过了认证和安全保护的安全通道,建立一对IPSec SA。

IPsec协议详解

IPsec协议详解

IPsec协议详解

(5)IPsec的两个数据库

SPD  /  SADB

IPsec协议详解

IPsec协议详解

数据最终怎么处理完全是由SA决定

IPsec协议详解

(三)协议应用

GM/T-0022《IPSec VPN技术规范》规定:

 AH应和ESP嵌套使用,即先加密(ESP封装)后认证、完整性(AH封装)。

 ESP协议允许单独使用。

IPsec协议详解

IPsec协议详解IPsec协议详解

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://haidsoft.com/133022.html

(0)
老牧童老牧童
0
上一篇 2025-07-26 21:45
下一篇 2025-07-26 22:00

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注微信