其他分享
首页 > 其他分享> > 网络安全协议之IPsec

网络安全协议之IPsec

作者:互联网

声明

本文仅发表在博客园,作者LightningStar。

简介[1]

IPSec(Internet 协议安全)是一个工业标准网络安全协议,工作在OSI模型的第三层,即网络层,为IP网络通信提供透明的安全服务,可使TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec是一种端到端的安全模式,通信数据由发送方加密,接收方解密,网络中其他的节点和主机无需支持IPSec。

IPSec工作网络层,使其在单独使用时适于保护基于TCP或UDP的协议(如安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。[2]

IPSec两个基本目标:

IPSec提供了两种安全机制:

后文中介绍的AH协议定义了认证的应用方法,提供数据源认证和完整性保障;ESP协议定义了加密的应用方法,提供数据源加密和可选认证的应用方法,提供了可靠性保障。在实际进行IP通信时,可以根据需要同时使用两种或者选择使用其中的一种。

协议组

IPSec不是一个单独的协议,它包括:

报文格式

IPSec协议有两种封装模式:[3]

协议类型 报文格式,图源[3:1]
AH协议 image_121
ESP协议 image_122
AH和ESP协议 image_123

认证头 AH[4]

认证头(Authentication Header,AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。

image_125
图源文献[4:1]

封装安全载荷 ESP[4:2]

封装安全载荷(Encapsulating Security Payload,ESP)协议对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,IP分组头部不被包括在内。

image_126
图源文献[4:3]

网络密钥交换 Internet Key Exchange(IKE)[5]

IKE是在IPSec协议组中用于创建Security Association(SA)[6]的协议。IKE首先要进行身份认证,然后再进行Diffie-Hellman密钥交换(Diffie-Hellman key exchange[7]),建立起共享秘密(shared secret)[8],并通过共享秘密派生密钥。

通道建立过程[9]

IPsec通道建立过程分为两部分:

拓展阅读

网络安全之IPsec详解

参考文献


  1. 石瑞生. 大数据安全与隐私保护[M]. 北京邮电大学出版社, 2019. ↩︎

  2. IPSec-wiki ↩︎

  3. IPsec 互联网安全协议 W3C school ↩︎ ↩︎

  4. IPSec-en-wiki ↩︎ ↩︎ ↩︎ ↩︎

  5. Internet Key Exchange en-wiki ↩︎

  6. Security Association en-wiki ↩︎

  7. Diffie–Hellman key exchange ↩︎

  8. Shared secret en-wiki ↩︎

  9. IPsec (Internet Protocol Security) ↩︎

标签:网络安全,协议,ESP,IP,认证,AH,IPSec,IPsec
来源: https://www.cnblogs.com/harrypotterjackson/p/15583407.html