esp安全協議
ah和esp比較
封裝模式
ipsec (internet 協議安全)是乙個工業標準網路安全協議,為ip 網路通訊提供透明的安全服務,保護tcp/ip 通訊免遭竊聽和篡改,可以有效抵禦網路攻擊,同時保持易用性。
ipsec通過在ipsec對等體間建立雙向安全聯盟,形成乙個安全互通的ipsec隧道,來實現internet 上資料的安全傳輸。
1.訪問控制:通訊對等體認證機制,對於通訊的對等體進行認證,從而完成訪問控制功能。
2.無連線的完整性、資料**驗證:通過報文認證,防止傳輸過程中資料被篡改,確保發出資料和接收資料的一致性。ipsec利用hash函式為每個資料報產生–個加密校驗和,接收方在開啟包前先計算校驗和,若包遭篡改導致校驗和不相符,資料報即被丟棄。驗證資料來源,以保證資料來自真實的傳送者(ip報文頭內的源位址)。
3.防重放:通過ah或者esp的防重放視窗結合認證,來抵禦重放攻擊。確保每個ip包的唯一性,保證資訊萬一被擷取複製後,不能再被重新利用、重新傳輸回目的位址。該特性可以防止攻擊者擷取破譯資訊後,再用相同的資訊包冒取非法訪問權。
4.機密性(加密):通過esp的加密功能以及esp協議的報文填充功能來完成。在傳輸前,對資料進行加密,可以保證在傳輸過程中,即使資料報遭擷取,資訊也無法被讀出。該特性在ipsec中為可選項,與ipsec策略的具體設定相關。
ipsec包括認證頭協議ah(authenticationheader)、封裝安全載荷協議esp(encapsulating security payload)、網際網路金鑰交換協議ike (internet key exchange),用於保護主機與主機之間、主機與閘道器之間、閘道器與閘道器之間的一-個或多個資料流。
其中,ah和esp這兩個安全協議用於提供安全服務,ike協議用於金鑰交換。ipsec用於在協商發起方和響應方這兩個端點之間提供安全的ip通訊,通訊的兩個端點被稱為ipsec對等體。其中,端點可以是閘道器路由器,也可以是主機。
ipsec為對等體間建立ipsec隧道來提供對資料流的安全保護。一對ipsec對等體間可以存在多條ipsec隧道,針對不同的資料流各選擇一條隧道對其進行保護,例如有的資料流只需要認證、有的需要認證和加密。
ipsec對資料的加密是以資料報為單位,而不是以整個資料流為單位。傳送方對要保護的資料報進行加密封裝,在internet上傳輸,接收方採用相同的引數對報文認證、解封
裝,以得到原始資料。
安全聯盟由乙個三元組來唯一標識:安全引數索引(spi, security parameter index) 、目的ip位址、安全協議號(ah或esp) 。spi是為唯一標識sa而生成的乙個32位元的數值,它在ipsec頭中傳輸。安全聯盟是ipsec的基礎,也是ipsec的本質。sa是通訊對等體間對某些要素的約定,例如,使用哪種安全協議、協議的操作模式(傳輸模式和隧道模式)、加密演算法(des和3des)、特定流中保護資料的共享金鑰以及金鑰的生存週期等。對等體間需要通過手工配置或ike協議協商匹配的引數才能建立起安全聯盟。
單向性:在兩個對等體之間的雙向通訊,最少需要兩個安全聯盟來分別對兩個方向的資料流進行安全保護。入站資料流和出站資料流分別由入站sa和出站sa進行處理。如果希望同時使用ah和esp來保護對等體間的資料流,則分別需要兩個sa,乙個用於ah,另乙個用於esp。
ah對資料報和認證金鑰進行hash計算,接收方收到帶有計算結果的資料報後,執行同樣的hash計算並與原計算結果比較,傳輸過程中對資料的任何更改將使計算結果無效,這樣就提供了資料**認證和資料完整性校驗。ah協議的完整性驗證範圍為整個ip報文。
ah包結構
ah報文頭欄位含義:字段
長度含義
下一頭部
8位元標識ah報文頭後面的負載型別。傳輸模式下,是被保護的上層協議(tcp或udp)或esp協議的編號;隧道模式下,是ip協議或esp協議的編號。注意:當ah與esp協議同時使用時,ah報文頭的下一頭部為esp報文頭。
負載長度
8位元表示以32位元為單位的ah報文頭長度減2,預設為4。
保留字段
16位元
保留將來使用,預設為0。
spi32位元
ipsec安全引數索引,用於標識有相同ip位址和相同安全協議的不同ipsec安全聯盟。
序列號32位元
是乙個從1開始的單項遞增的計數器,唯一地標識每乙個資料報,用於防止重放攻擊。
認證資料
乙個變長字段,長度為32位元的整數倍,通常為96位元。
該欄位包含資料完整性校驗值 icv(integrity check value),用於接收方進行完整性校驗。可選擇的認證演算法有md5、sha1、sha2、sm3。
esp支援加密和認證。esp是一種基於ip的傳輸層協議,協議號為50。其工作原理是在每乙個資料報的標準ip報頭後面新增乙個esp報文頭,並在資料報後面追加乙個esp尾(esp tail和esp auth data)。與ah不同的是,esp將資料中的有效載荷進行加密後再封裝到資料報中,以保證資料的機密性,但esp沒有對ip頭的內容進行保護。
esp包結構
字段長度
含義spi
32位元
ipsec安全引數索引,用於標識有相同ip位址和相同安全協議的不同ipsec安全聯盟。
序列號32位元
是乙個從1開始的單項遞增的計數器,唯一地標識每乙個資料報,用於防止重放攻擊。
負載資料
—包含由下一頭部字段給出的變長資料。
填充字段
—用於增加esp報文頭的位數。填充欄位的長度與負載資料的長度和演算法有關。當待加密報文的明文長度不是加密演算法所要求的塊長度時,需要進行填充補齊。
填充長度
8位元給出前面填充欄位的長度,置0時表示沒有填充。
下一頭部
8位元標識esp報文頭後面的下乙個負載型別。傳輸模式下,是被保護的上層協議(tcp或udp)的編號;隧道模式下,是ip協議的編號。
認證資料
乙個變長字段,長度為32位元的整數倍,通常為96位元。
該欄位包含資料完整性校驗值icv,用於接收方進行完整性校驗。可選擇的認證演算法與ah的相同。esp的驗證功能是可選的,如果啟動了資料報驗證,會在加密資料的尾部新增乙個icv數值。
安全特性
ahesp
協議號51
50資料完整性校驗
支援(驗證整個ip報文)
支援(不驗證ip頭)
資料來源驗證
支援支援
資料加密
不支援支援
防報文重放攻擊
支援支援
ipsec nat-t(nat穿越)
不支援支援
傳輸模式只為高層協議提供安全服務。這種模式常應用在需要保護的兩台主機之間的端到端連線,而不是多台主機的兩個閘道器之間的資料流。傳輸模式和隧道模式的區別在於:
當安全協議同時採用ah和esp時,ah和esp協議必須採用相同的封裝模式。
C 基礎知識整理 基礎知識(2) 類
類,是物件導向語言的基礎。類的三大特性 封裝 繼承 多型。最基本的特性就是封裝性。程式設計師用程式描述世界,將世界的所有事物都看成物件,怎麼描述這個物件?那就是類了。也就是用類來封裝物件。用書上的話說,類是具有相同屬性和行為的物件的抽象。寶馬汽車 別克汽車 五菱之光汽車.基本具有相同的屬性和行為,所...
C 基礎知識整理 基礎知識(2) 類
類,是物件導向語言的基礎。類的三大特性 封裝 繼承 多型。最基本的特性就是封裝性。程式設計師用程式描述世界,將世界的所有事物都看成物件,怎麼描述這個物件?那就是類了。也就是用類來封裝物件。用書上的話說,類是具有相同屬性和行為的物件的抽象。寶馬汽車 別克汽車 五菱之光汽車.基本具有相同的屬性和行為,所...
電腦的基礎知識 電腦的基礎知識
電腦的組成部分與其作用 一 軟體系統 軟體系統的組成分別是 作業系統 應用軟體等。其應用軟體是指特定領域開發 並為特定目的服務的一類軟體。而作業系統是位於底層硬碟與使用者之間溝通的橋梁。使用者可以通過作業系統的使用者頁面,輸入命令,實現使用者需求。二 硬體系統 硬體系統是指構成計算機的物理裝置,即由...