IPSEC VPN理論 ESP協議特性介紹

2021-10-04 11:01:08 字數 2521 閱讀 7632

esp協議理論

esp(封裝安全載荷)協議是乙個資料封裝協議,定義在rfc2406,為資料載荷提供了安全服務,協議號50,不加密原始報文頭部,可提供資料的私密性、完整性、源認證、防重放攻擊等安全保障。esp是ipsec體系結構中重要的協議。

esp的包結構

上圖是esp包結構示意圖,esp報頭中的「初始化向量iv」引數,當有ipsec加密時會有iv向量,如果沒有加密則沒有iv向量值,這個初始化向量值是用來與需要加密的塊做異或運算的初始值,具體內容將在本文後面部分介紹。

1、安全引數索引(spi)

安全引數索引是乙個32bit大小的資料,它的主要作用是用來標識sa(安全關聯)。spi值是由目標對等體在ike協商時所選擇的乙個數字,它就像乙個索引號,可以用來標識乙個sa。

什麼是sa?

sa叫安全關聯,可以簡單地理解為sa是在雙方建立vpn關係後對資料的處是方式。如加密使用3des,雜湊使用md5,封裝使用esp等引數的協商結果集,這樣的乙個組合可以看作是乙個sa。又比如,加密使用aes-256,雜湊使用sha-1,封裝使用esp,這又是另乙個組合,這也是另乙個sa。乙個站點可以跟若干個站點同時建立vpn關係,這個站點在跟不同的站點建立vpn關係時,對資料的處理方法一般情況都不太一樣,比如,跟a站點建立vpn時使用如上第乙個sa的組合,跟第二個站點建立vpn關係時使用如上第二個sa的組合。因此,在乙個vpn對等體上有可能存在很多個sa的組合,這些sa的組合會被存放在本地的sadb裡面,為了讓這些組合有乙個唯一的標識,使用的spi引數。

spi與sa如何關聯工作?

esp報文頭部是不加密的,spi值確定後傳送方把相應的spi值填上,相當於確認了這乙個負載部分的資料使用了哪乙個sa的策略加密的,當接收方接收到資料時,也第一時間檢視spi位,然後在本地sadb中查詢與之對應的spi標識的sa來對資料進行處理。

2、序列號

序列號也是乙個數字,它是傳送方在資料報頭中插入的唯一單調遞增的數字,其主要作用就是用來標識資料,以防止重放攻擊。如此時接收到資料的序列號為100,若序列號100的資料已接收過,那此次序列號為100的資料則會被丟棄,不再接收;序列號的另乙個作用是用於防止亂序,它與tcp中的序列號作用類似。

3、初始化向量(iv)

初始化向量(iv)是乙個8位元組大小的資料,它是用於des/3des/aes等對稱金鑰演算法在加密資料前對資料塊作異或運算的初始值。這些對稱金鑰演算法在加密資料時有兩種加密模式,一種是ecb(electronic codebook)電子密碼本模式,另一種是cbc(cipher block chaining)加密塊鏈結模式。這兩種加密方式的處理方式都有乙個共同點,即是在加密資料時先將資料切分成64bit大小的塊,然後對這些資料塊逐塊加密;不同點則是ecb在加密前不需要作異或運算,而cbc模式則需要對資料塊作異或運算後才開始加密。如下圖所示:

如上圖,cbc模式中需要乙個iv值,這個iv即是初始化向量,它也是乙個64bit大小的資料,這個資料是加密者隨機生成的,經過身分驗證,且這個iv是不加密的。iv與第乙個資料塊作異或運算,得出結果後再使用des或3des演算法進行加密處理,得到密文,再將這個密文與下乙個資料塊作異或運算,得出的結果再使用加密演算法加密,以此類推,直到將所有的資料塊都加密完成。

4、墊片資料

墊片資料即是填充資料,在上文中談到了資料加密的ecb與cbc兩種模式,這兩種加密模式都需要將資料進行切分為64bit大小的塊,那麼在切片到最後,有可能出現資料塊不足64bit大小。比如,資料大小為140bit,按每塊64bit切分,可以切分為2個64bit大小的塊,1個22bit大小,此時,最後乙個塊為了湊足64bit,就會將資料進行填充,填充的資料內容就會在墊片資料部分標識。如上例,填充的資料大小為44bit,這個填充資料大小值會在墊片長度中進行標識。

5、下一頭部

下一頭部跟ip報頭中的協議號類似,或者可以更加簡單地跟傳輸層對比。這一部分主要描述資料使用何種協議來處理,比如,如果該字段的值為4,則代表告知接收方,應當使用esp協議來處理資料。

6、認證字段

認證欄位中存放的是資料的雜湊值,這裡所存放的雜湊值只有96位。為什麼只有96位?因為雜湊函式有乙個「雪崩效應「,如果資料在傳送過程被篡改,雜湊值是完全不一樣的,因此,如果前96位都相同的話,基本上可以確定這個資料在傳送過程中沒有被篡改過。

NAS協議 理論

首先看一下信令與上網走的路線吧 首先解釋一下nas協議具體的作用,他主要是ue與mme之間的信令互動,基站只是做乙個 而已。會話管理如何來理解呢,我們現在手機和網路之間互動ip資料報其實是,手機與外部的網路進行互動ip資料報,而我們的eps網路僅僅只提供了乙個管道的功能,就是說手機與外網的資料報經過...

TCP IP協議理論

開發系統互連參考模型,簡稱osi參考模型,是國際標準化組織iso在20世紀80年代提出的,定義了網路互連的基本參考模型。osi參考模型定義了開放系統的層次結構和各層所提供的服務。osi參考模型的乙個成功四處在於,它清晰地分開了服務,介面和協議這三個容易混淆地概念。osi參考模型起初並不是作為網路體系...

ISIS路由協議理論

clns 無連線網路服務 1 clns相當於ip協議簇 2 clnp 無連線網路協議 相當於ip協議,clnp位址相當於ip位址。3 es endpoint system 相當於pc和伺服器 is internal system 相當於路由器,就是三層裝置。4 es is就是指在es和is之間需要建...