5.2 IPSec之二----安全协议

1、安全协议

  • 认证头AH协议只提供认证服务

  • 封装安全荷载协议ESP提供认证和加密两种服务

  • 认证服务是可选的,加密服务必须实现

5.2 IPSec之二----安全协议_第1张图片

 

2、认证头协议AH

  • 传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包

  • 隧道模式的AH对整个内部IP包及其外部IP包头部的不变部分进行认证

5.2 IPSec之二----安全协议_第2张图片

  • 下一个头标指被保护的IP荷载的值 ,比如传输层协议数据TCP值为6,UDP值为17

  • 序列号字段记录序列号计数器的值,为每个AH包赋予一个序号

  • 通信双方建立安全关联时,计数器初始化为0

    • 安全关联是单向的

    • 每发送一个包,外出的安全关联的计数器增1

    • 每接收一个包,进入的安全关联的计数器增1

    • 序列号用于防止存放攻击

  • 认证数据是可变长度字段,取决于采用的认证方法,认证数据也称为完整性校验值(ICV),该字段必须为32位的整数倍。如果不够32位,则必须进行填充

  • 用于生成完整性校验值ICV的算法由安全关联指定

3、封装安全荷载协议ESP

5.2 IPSec之二----安全协议_第3张图片

对于IPv6,与相应协议和模式下的IPv4相比,IPv6的与路由无关的扩展头也得到保护

4、ESP和AH的组合-----实际需求

可以对相同的IP业务流应用多个安全关联

  • 实现SA束的基本方式

    • 传输邻接:指对同一个IP数据报多次应用传输模式的AH和ESP两种协议,但只允许两种协议一个层次的组合

    • 隧道迭代:指对同一个IP数据报在隧道模式下使用ESP和AH的多层嵌套

    • 传输--隧道束:两种方式的结合

  • 认证和机密性服务

5.2 IPSec之二----安全协议_第4张图片

5.2 IPSec之二----安全协议_第5张图片

5.2 IPSec之二----安全协议_第6张图片

5.2 IPSec之二----安全协议_第7张图片

5.2 IPSec之二----安全协议_第8张图片

5.2 IPSec之二----安全协议_第9张图片

5.2 IPSec之二----安全协议_第10张图片

  • ESP和AH的基本组合应用

    • IPSec规范列出了四种组合应用场景

你可能感兴趣的:(网络安全,安全,网络)