- 1如何在Windows系统部署Jellyfin Server并实现公网访问内网影音文件_jellyfin win
- 2Mac上安装vscode以及可能出现的问题_vscode mac安装完打开提示有一个实例正在运行
- 3python学习——flask架构全家桶_flask-classy
- 4前端发送请求,显示超时取消_接口状态提示已取消,前端报请求超时
- 5BERT实战(更新中)_bert问答实战
- 6开源数据库全接触-MongoDB,Cassandra,Hypertable,CouchDB,Redis,HBase,Voldemort等35款数据库简介_cassandra数据库 等保
- 7android开发教程!关于Android开发的面试经验总结,小白也能看明白_安卓开发教程看哪家的
- 8蓝易云 - Vue框架中常见指令的应用概述。
- 9linux-AVM调试【1】_linux avm
- 10CrossOver24中文破解版发布!CrossOver 24.0中文破解版本激活使用指南_crossover优惠码
IPsec协议详解
赞
踩
(一)基本概念
IPsec 是 IETF 制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。
数据来源认证:接收方认证发送方身份是否合法。
数据加密:发送方对数据进行加密,以密文的形式在Internet上传送,接收方对接收的加 密数据进行解密后处理或直接转发。
数据完整性:接收方对接收的数据进行认证,以判定报文是否被篡改。
抗重放:接收方会拒绝旧的或重复的数据包,防止恶意用户通过重复发送捕获到的数据包 所进行的攻击。
IPsec 包括认证头协议(Authenti c a tion Header,AH)、封装安全载荷协议 (Encapsulating Security Payload,ESP)、因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。
AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换。AH主要做认证,ESP可以做认证还可以加密。
IPSec通过在IPSec对等体间建立双向安全联盟,形成一个安全互通的IPSec隧道,来实现 Internet上数据的安全传输。
安全联盟SA:
(二)协议内容
(1)数据的封装模式
传输模式: 不改变原有的IP包头,通常用于主机与主机之间,只保护数据域。只针对数据部分进行加密。
隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信,适用于主机和网关实 现,针对头和数据进行加密。在隧道模式下,AH报头或ESP报头插在原始IP头之前, 另外生成一个新IP头(新IP头为对等体的IP地址)放到AH报头或ESP报头之前。隧 道模式在两台主机端到端连接的情况下,隐藏了内网主机的IP地址,保护整个原始数据包的安全。
传输模式:加密点,通信点一致的话,推荐传输模式。
隧道模式:加密点,通信点不一致,比如加密点在AB之间,通信点在CD之间 。
传输模式:可见原始ip报头都保留,原始ip地址都是在公网可路由的IP,不需要再重新封装。
隧道模式需要对原始IP数据进行重新封装,会产生新的IP头部,RawIP是原始,NewIP是新的IP头部。AH对整个IP报文做认证。
从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据包进行认证和加 密,并且可以使用对等体的IP地址来隐藏客户机的IP地址。从性能来讲,因为隧道模式有一个额外的IP头,所以它将比传输模式占用更多带宽。
(2)认证头协议AH
上面有提到IPsec 包括认证头协议(Authenti c a tion Header,AH)、封装安全载荷协议 (Encapsulating Security Payload,ESP)、因特网密钥交换协议(Internet Key Exchange,IKE),用于保护数据流。
下面先介绍AH协议:
AH报文结构(保留了一些ipv6特征):
(3)安全协议ESP
下面详细介绍一下每个字段:
SPI字段:安全参数索引,32bit,随机产生的,通过IKE进行协商的数据;在SADB数据库中查找SA
Sequence number字段:主要是防重放;通过窗口大小决定能接收哪些数据
IV字段:8bit;被认证,不被加密
Padding:填充字段,做块加密
Next Header:主要是体现上层承载的是一个什么协议(深深体现出ipv6的格式)
Authentication:认证字段,96bit;把认证后的数据放在尾部,确保数据完整性
下面介绍ESP包输出处理过程——填充,加密,验证,重算
ESP包输入处理:
先解密,外层头部剥离,再处理
先重组,再解密,再转发给真正的接入者,对网络设备要求高
重组是由最终接入者完成
(4)IKE协议
IKE协议可以为IPSec自动协商建立SA。
IKE协议建立在Internet安全联盟和密钥管理协议定义的框架上,是基于UDP的应用层协议。它为 IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。
对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后对等体间的数据将在IPSec隧 道中加密传输。
IKEv1使用两个阶段为IPSec进行密钥协商并建立IPSec SA。第一阶段,通信双方协商和建立IKE本身使用的安全通道,建立一个IKE SA。第二阶段,利用这个已通过了认证和安全保护的安全通道,建立一对IPSec SA。
(5)IPsec的两个数据库
SPD / SADB
数据最终怎么处理完全是由SA决定
(三)协议应用
GM/T-0022《IPSec VPN技术规范》规定:
AH应和ESP嵌套使用,即先加密(ESP封装)后认证、完整性(AH封装)。
ESP协议允许单独使用。
