安全協議IPSEC

2022-07-07 21:06:12 字數 2573 閱讀 3395

1、概念

ipsec(internet protocol security)是ietf(internet engineering task force)制定的一組開放的網路安全協議。它並不是乙個單獨的協議,而是一系列為ip網路提供安全性的協議和服務的集合。

ipsec被設計為同時支援ipv4和ipv6網路。

ipsec主要通過加密與驗證等方式,為ip資料報提供安全服務(解決ip層安全性問題)。

​ 在網路層進行資料加密

2、ipsec提供的服務

ipsec通過加密與驗證等方式,從以下幾個方面保障了使用者業務資料在internet中的安全傳輸:

資料加密:傳送方對資料進行加密,以密文的形式在internet上傳送,接收方對接收的加密資料進行解密後處理或直接**。

資料完整性:接收方對接收的資料進行驗證,以判定報文是否被篡改。

抗重放:接收方拒絕舊的或重複的資料報,防止惡意使用者通過重**送捕獲到的資料報所進行的攻擊。

校驗傳送者身份; 加密資料; 驗證傳送資料; 拒絕重複資料

3、ipsec的組成
​ ipsec主要包括安全協議ah(authentication header)和esp(encapsulating security payload),金鑰管理交換協議ike(internet key exchange)以及用於網路認證及加密的一些演算法等。

ipsec不只是乙個協議。而是由多個協議組成的乙個框架集合

1、加密

​ 分為對稱加密和非對稱加密。

2、驗證​ 驗證演算法,也叫hash演算法,雜湊函式。 》 **數字簽名(比對資料指紋)》**驗證資料的完整性

​ 常見的驗證演算法:

1、md5


訊息摘要md5(message digest 5),輸入任意長度的訊息,md5產生128位的簽名。


md5比sha更快,但是安全性稍差。


2、sha1


安全雜湊演算法sha(secure hash algorithm)是由nist開發的。在2023年對原始的hmac功能進行了修訂,被稱為sha1。輸入長度小於264bit的訊息,sha1產生160位的訊息摘要。


sha1比md5要慢,但是更安全。因為它的簽名比較長,具有更強大的防攻破功能,並可以更有效的發現共享的金鑰。


3、sha2


sha2是sha1的加強版本,sha2演算法相對於sha1加密資料長度有所上公升,安全效能要遠遠高於sha1。sha2演算法包括sha2-256、sha2-384和sha2-512,金鑰長度分別為256位、384位和512位。


隨著金鑰長度的上公升,認證演算法安全強度更高,但計算速度越慢。一般情況下256位就可以充分滿足安全需求。
3、封裝協議​ ipsec使用認證頭ah(authentication header)和封裝安全載esp(encapsulating security payload)兩種安全協議來傳輸和封裝資料,提供認證或加密等安全服務。

3.1 ah

ah是一種基於ip的傳輸層協議,協議號為51。

只能支援認證,不支援加密 。

對整個頭部進行認證。

3.2 esp
esp支援加密和認證

esp是一種基於ip的傳輸層協議,協議號為50。

​ 其工作原理是在每乙個資料報的標準ip報頭後面新增乙個esp報文頭,並在資料報後面追加乙個esp尾(esp tail和esp auth data)。

​ 與ah不同的是,esp將資料中的有效載荷進行加密後再封裝到資料報中,以保證資料的機密性,但esp沒有對ip頭的內容進行保護。

ah協議和esp協議比較:

安全特性

ahesp

協議號51

50資料完整性校驗

支援(驗證整個ip報文)

支援(不驗證ip頭)

資料來源驗證

支援支援

資料加密

不支援支援

防報文重放攻擊

支援支援

ipsec nat-t(nat穿越)

不支援支援

如果本篇部落格有任何錯誤和建議,歡迎大佬們批評指正

我是知逆,我們下期見

peace

網路安全之IPsec詳解

internet protocol security ipsec 是乙個安全網路協議套件,它可以完成認證加密資料報,從而為ip層網路裝置提供安全加密通訊。ipsec還被用到了vpn中。ipsec包括了用於在客戶端之間開始會話前建立相互認證和會話所用秘鑰分發的協議簇。ipsec可以保護資料流在端到端,...

IPSec的安全性如何? 微雲MPLS

ipsec是專門設計為ip提供安全服務的一種協議 其實是乙個協議族 ipsec可有效保護ip資料報的安全,所採取的具體保護形式包括 資料來源驗證 無連線資料的完整性驗證 資料內容的機密性保護 抗重播保護等。使用ipsec協議中的認證頭 ah 協議和封裝安全載荷 esp 協議,可以對ip資料報或上層協...

協議棧植入晶元勢在必行,IPSec就是個錯誤

這篇文章有點極端,但也可能迎合某些個人或者組織的意思。這篇文章較短,稍後我會繼續寫這個話題。心太痛,人太衰。1.協議棧植入晶元 如果你認為協議棧植入晶元是在消耗物資,磨滅成本,那你就錯了。tcp ip ethernet協議棧如今已經成了事實上的標準,多少年都沒有變過。固化的東西鑑於電路設計,開模,矽...