AH认证头
1. 数据源校验,数据完整性校验,防重放
2. 无法做数据加密
在外层IP头中, 协议号=51
参数:
上层头部协议类型: 4 表示IP头 (AH里面包装了哪种消息)
AH头部长度: 24字节
预留字段 : 保留位-填0
SPI- 安全参数索引值 : 标记单向安全联盟(SA)ID值
Sequence-序列号 : 防止重放攻击,单向递增
ICV – 完整性校验值 : 通过验证算法计算之后得到的哈希值
验证范围(哈希运算范围) – 外层IP头-数据末尾ESP封装安全载荷
ESP 封装安全载荷
在外层IP头中,协议号=50
1. 数据源校验,数据完整性校验,防重放,私密性
ESP 头
SPI- 安全参数索引值 : 标记单向安全联盟(SA)ID值
Sequence-序列号 : 防止重放攻击,单向递增
ESP尾部
填充字段+填充长度
上层头部协议类型: 4 表示IP头 (ESP包装了哪种消息)
ICV – 完整性校验值 : 通过验证算法计算之后得到的哈希值
1. AH无法做数据加密,可以整包进行验证
2. ESP可以加密,也可以验证,无法整包进行验证(无法对外层IP头进行验证) , 验证只能从ESP头开始
3. AH 不能用于 IPSEC-NAT 穿越, 数据进行IPSEC 封装后,还需要进行NAT 地址转换(NAT会对数据外层IP头地址进行修改)
在IPSEC 隧道中有三种模式
1. AH
2. ESP
3. AH+ESP : 先使用ESP 进行安全封装(通过ESP 先进行加密和哈希运算),在把ESP消息进行AH封装,通过AH进行整包的完整性哈希校验。防止重放攻击
攻击者截获合法用户流量,并且复制该流量对网络中设备发起重复数据攻击 (DDOS)。
可以通过序列号单向递增方式防止重放攻击,接收者收到数据序列号和之前的一致,或者小于之前接收过的序列号,则认为是重放攻击。IPSEC封装模式
IPSEC可以单独支持一种能力,不进行新的IP头封装,只做数据安全加密。
传输transport:不封装新的IP 头,封装结构上直接在原始数据IP 头后加入安全头(AH、ESP、AH+ESP),用于内网之间数据安全传输,安全加密或者公对公之间数据安全传输,安全加密。
隧道 tunnel:IPSEC-VPN (两个、多个站点私有网络通过公有网络互联)封装协议组合封装模式
| 封装协议\封装模式 | 传输 | 隧道 |
| AH | 传输+AH | 隧道+AH |
| ESP | 传输+ESP | 隧道+ESP |
| AH+ESP | 传输+AH+ESP | 隧道+AH+ESP |
2.隧道+AH:新源地址|目的地址+AH+原始源地址|目的地址+DATA
3.传输+ESP:原始源地址|目的地址+ESP头+DATA+ESP尾+ICV
4.隧道+ESP:新源地址|目的地址+ESP头+原始源地址|目的地址+DATA+ESP尾+ICV
5.传输+AH+ESP:原始源地址|目的地址+AH+ESP头+DATA+ESP尾+ICV
6.隧道+AH+ESP:新源地址|目的地址+AH+ESP头+原始源地址|目的地址+DATA+ESP尾+ICV
安全联盟
安全联盟 – SA:一种约定,双向约定 (各项参数-组合)
IPSEC安全联盟SA – 两侧在进行IPSEC数据发送时的安全联盟约定:封装模式,封装协议,加密算法,验证算法,密钥。
两个IPSEC站点之间如果想要使用IPSEC进行封装,必须提前约定好IPSEC安全联盟,两个站点之间 会有两个方向的IPSEC安全联盟 SA,每个方向的IPSEC安全联盟SA都必须要有SPI – 安全联盟路径索引。© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容