互联网技术考试培训IPSec协议工作原理
摘要:互联网技术考试培训IPSec协议工作原理:IPSec是一种协议套件,它包括:AH、ESP、IKE、ISAKMP Internet Security Associationand Key Management Protocol,互联网安全联盟和密钥管理协议)/Oakley以及转码等几部分,这些组件之间的关系如阁5-2所示。
5.2.2 IPSec协议工作原理
IPSec是一种协议套件,它包括:AH、ESP、IKE、ISAKMP Internet Security Associationand Key Management Protocol,互联网安全联盟和密钥管理协议)/Oakley以及转码等几部分?这些组件之间的关系如阁5-2所示。
在图5-2中,安全体系结构包含了一般的概念和安全需求:ESP定义了ESP加密及验证处理的相关包格式和处理规则;AH定义了AH验证处理的相关包格式和处理规则:加密算法描述各种加密算法如何用于ESP中;验证算法描述各种身份验证算法如何应用于AH和ESP中;IKE定义了密钥自动交换协议:DOI定义了密钥协商协议彼此相关部分的标识符及参数:策略则决定两个实体之间能否通信以及如何进行通信。
AH由RFC2402定义,是一个网络层协议,类型号为51。它可以为IP包提供数据完整性、数据原始身份验证和一些可选的、有限的抗重播服务,一般可用于传送模式和隧道模式。AH提供的数据完整性与ESP提供的数据完整性稍有不同,即在隧道模式下,AH对外部IP头各部分也进行身份验证,而ESP不会对外部IP头进行验证。AH的头格式如图5-3所示。
在图5-3中各字段的含义如下。
1)下一个头:表明AH头之后的数据类型。
2)载荷长度:表示头本身的长度。
3)SPI:其值一般是在IKE交换过程中由目标主机选定的。这个值和IP头之前的目标地址以及协议结合在-?起,用来标识用于处理数据包的特定的那个安全联盟。
4)序列号:提供抗重播服务。它独一无二、单调递增,由发送端插在AH头中。创建好一个SA后,序列号便会初始化为零,并在进行IPSec输出处理之前,令此值递增。新的SA必须在序列号回归为零之前创建。一般为32位。
5)验证数据:是一个不固定的长度字段,此字段用于容纳数据完整性的检验结果。
AH协议可采用多种验证算法,已经被定义的验证算法有HMAC-MD5和HMAC-SHA1,
其中MD5是MessageDigest5(消息摘要5)的简写,SHA(安全散列算法)是SecurityHashAlgorithm的简写。通倌双方中的一方用密钥对整个IP包进行计算得到摘要值,另一方用同样的密钥和算法进行计算,如果两者的结果相同,则说明数据包在传输的过程中没有被改变,IP包就通过了身份验证。因此,数据的完整性和验证安全得到了保证。
ESP由RFC2406定义,协议类型值为50,用于确保IP数据包的机密性、数据完整性以及对数据源的身份验证,此外,它还提供抗重播服务。ESP可以单独使用,也可以和AH-起使用,用于传送模式或者隧道模式,它的头格式如图5-4所示。
1)下面对图5-4中各字段的含义进行解释。
安全参数索引(SPI):与上面提到的AH中的32位SPI值相同。通信节点使用该值来指出SA,SA用于确定数据应如何加密。
2)序列号:32位,从0开始,每发送一个数据报,该值加1。序列号可用于防御重放攻击,在循环用完所有值之前,必须建立新的SA。
3)要保护的数据:此宇段长度可变,它实际上包含数据报的加密部分以及加密算法需要的补充数据,例如初始化数据。
4)填充项:头的加密部分(净荷)必须在正确的边界终止,因此有时窬要填充。
5)填充长度:此字段指明净荷数据所葙要填充的数据里。
6)下一个头:指明数据类型。
7)身份验证数据:该字段是一个ICV(Integrity Check Value,完整性检查值)?它对除身份验证数据本身之外的整个ESP头进行计算。这种身份验证计算是可选的。
返回目录:
编辑特别推荐:
延伸阅读
通信工程师微信公众号
通信工程师备考资料免费领取
去领取
距离2025 通信工程师考试
还有- 1
- 3
- 1
专注在线职业教育24年
APP 
微信群 
扫描二维码
扫描二维码
