基于IPSec协议的IPv6安全机制(三):IPSEC的四种功能

741 628

1、安全关联SecurityAssociation(SA)

IPSec中的一个基本概念是安全关联(SA),安全关联包含验证或者加密的密钥和算法。它是单向连接,为保护两个主机或者两个安全网关之间的双向通信需要建立两个安全关联。安全关联提供的安全服务是通过AH和ESP两个安全协议中的一个来实现的。如果要在同一个通信流中使用AH和ESP两个安全协议,那么需要创建两个(或者更多)的安全关联来保护该通信流。一个安全关联需要通三个参数进行识别,它由安全参数索引(AH/ESP报头的一个字段)、目的IP地址和安全协议(AH或者ESP)三者的组合唯一标识。表6列出AH和ESP报头在传送模式和隧道模式下的区别。

表6AH和ESP报头在传送模式和隧道模式下的区别

传送模式隧道模式

ESP压缩数据包和IPv6扩展ESP报头ESP报头

带AH的ESPESP报头和HA扩展报头

2、报头验证AuthenticationHeader(AH)

⑴验证报头的格式,如图2所示。

图2验证报头的格式(IPSecurityAuthenticationHeader)

验证报头的格式包括以下内容:

⑵验证数据(AuthenticationData)

验证数据,它包含完整性检查值(ICV),用来提供验证和数据完整性。用来计算ICV的算法由安全关联指定。ICV是在这种情况下计算的,即IP报头字段在传递过程中保持未变,验证报头带有的验证数据置0,IP数据包为有效载荷。有些字段在传递的过程中可能改变,包括最大跳数、业务类别和流标签等。IP数据包的接收者使用验证算法和安全关联中确定的密钥对验证报头重新计算ICV。如果ICV一样,接收者知道数据通过验证并且没有被更改过。验证数据包工作过程,如图3所示。

图3验证数据包工作过程

⑶防止重放攻击(PreventReplyAttack)

重放攻击是一种获得加密数据包,然后发送设定的目的地。收到复制加密数据包后,可能而而面临破解及其它一引起意想不到的后果。序列号计数器可阻止此类攻击,当发送者和接收者之间的通信状态建立的时候,序列号被置0。当发送者或者接收者传送数据的时候,它随后被加1。如果接收者发觉一个IP数据包具有复制的序列号字段,它将被丢弃,这是为了提供反重放的保护。该字段是强制使用的,即使接收者没有选择反重放服务它也会出现在特定的安全关联中。验证报头带有的验证数据置0,IP数据包为有效载荷。

3、封装安全有效载荷数据(EncapsulatingSecurityPayload)

安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。ESP用来为封装的有效载荷提供机密性、数据完整性验证。AH和ESP两种报文头可以根据应用的需要单独使用,也可以结合使用,结合使用时,ESP应该在AH的保护下。

⑴封装安全有效载荷数据包格式,如图4所示。

图4封装安全有效载荷数据包格式

封装安全有效载荷数据包含以下字段:

⑵ESP计算(ESPComputation)

图5ESP数据包压缩工作过程

⑶局限性

ESP不保护任何IP报头字段,除非这些字段被ESP封装(隧道模式),而AH则为尽可能多的IP报头提供验证服务。所以如果需要确保一个数据包的完整性、真实性和机密性时,需同时使用AH和ESP。先使用ESP,然后把AH报头封装在ESP报头的外面,从而接收方可以先验证数据包的完整性和真实性,再进行解密操作,AH能够保护ESP报头不被修改。

4、钥匙管理(KeyManagement)

密匙管理包括密匙确定和密匙分发两个方面,最多需要四个密匙:AH和ESP各两个发送和接收密匙。密匙本身是一个二进制字符串,通常用十六进制表示,例如,一个56位的密匙可以表示为5F39DA752E0C25B4。注意全部长度总共是64位,包括了8位的奇偶校验。56位的密匙(DES)足够满足大多数商业应用了。密匙管理包括手工和自动两种方式。

手工管理(Manual):手工管理方式是指管理员使用自己的密钥及其它系统的密钥手工设置每个系统。这种方法在小型网络环境中使用比较实际。

IPSec的自动管理密钥协议的默认名字是ISAKMP/Oakley。

⑴Oakley协议(OakleyKeyDetermination)

OAKLEY协议,其基本的机理是Diffie-Hellman密鈅交换算法。OAKLEY协议支持完整转发安全性,用户通过定义抽象的群结构来使用Diffie-Hellman算法,密鈅更新,及通过带外机制分发密鈅集,并且兼容用来管理SA的ISAKMP协议。

Diffie-Hellman密钥交换算法,当A和B要进行秘密通信时,他们可以按如下步骤建立共享密钥:

⑵ISAKMP协议(InternetSecurityAssociationandKeyManagementProtocol)

THE END

组网协议是构建网络通信的基础路由ip点对点应用层

ipsec的两种模式包括隧道模式和传送模式。综合知识

IPv61

IPSec隧道

2022年网络安全知识竞赛调查征集

在IKE的第一阶段中,主模式和野蛮模式都允许4中不同的验证方法:()()()()。

IKE交换的过程中可以使用的交换模式包括:()

IPSec题目答案解析,IPSec题目答案解析4

智汇华云:IPSecVPN原理介绍与实现

IPSec专题转自华为文档星痕1216

基于IPSec协议的IPv6安全机制(三):IPSEC的四种功能

1.IPSec基本原理要建立一对IPSec SA,IKEv1需要经历两个阶段:“主模式+快速模式”或者“野蛮模式+快速模式”,前者至少需要交换9条消息,后者也至少需要6条消息。而IKEv2正常情况使用2次交换共4条消息就可以完成一对IPSec SA的建立,如果要求建立的IPSec SA大于一对时,每一对IPSec SA只需额外增加1次创建子SA交换,也就是2条消息https://support.huawei.com/enterprise/zh/doc/EDOC1100203254/b436f4a5/IPSec%E5%8D%8F%E8%AE%AE%E6%A1%86%E6%9E%B6.htm
2.EVPNL2VPNoverSRv6BE技术介绍6W100新华三集团SRv6 SID C E 2 C E 1 SRv6 SID 建立 SRv6 PW 表项学习 报文转发 SRv6 PW 的建立过程 MAC 地址学习 生成 MAC 地址 表 SRv6 BE 报文转发方式 2 工作机制概述 P E 3 C E 3 SRv6 SID 类型 携带 SID 的 BGP EVPN 路由 SID 的功能 End.DX2 SIhttps://www.h3c.com/cn/Service/Document_Software/Document_Center/Home/Routers/00-Public/Learn_Technologies/Technologies/EVPN_L2VPN_over_SRv6_BE_Tech-20000/?CHID=1039628
3.物联网安全加速技术:面向低功耗设备的优化功耗管理技术的结合:为了进一步优化低功耗设备的安全性能,可以将功耗管理技术与安全加速技术相结合。例如,通过动态调整设备的工作频率和电压,可以降低其在处理安全任务时的功耗。此外,还可以采用休眠模式等节能技术,以在不需要实时处理安全任务时降低设备的功耗。 https://www.ctyun.cn/developer/article/622017579847749
4.路由器AUTO加密算法mob64ca13fd163c的技术博客2) 安全协议的类型:IPSec定义了两种安全协议、AH和ESP、 3) 源IP地址 ISAKMP/IKE阶段2 的传输集: 数据连接的传输定义了数据连接时如何被保护的。 安全协议:AH协议 ESP协议 连接模式:隧道模式 传输模式 加密方式:对于ESP而言有DES、3DES、AES-128、AES-192、AES-256 https://blog.51cto.com/u_16213603/12866266
5.Apple设备的CiscoIPsecVPN设置混合认证,服务器提供证书,客户端提供预共享密钥,进行 IPsec 认证。要求用户认证(通过xauth提供),包括认证方式的用户名和密码以及 RSA SecurID。 认证群组 Cisco Unity 协议根据一组常见参数,使用认证群组来分组用户。应创建一个针对用户的认证群组。对于预共享密钥认证和混合认证,群组名称必须在设备上配置,并且使用群组的https://support.apple.com/zh-cn/guide/deployment/depdf31db478/1/web/1.0
6.“信息安全”课程习题及参考答案网络信息安全doc7,阐述如何分别使用常规加密算法和公开密钥加密算法对单向鉴别的例子——电子邮件进行鉴别的原理,以及两种方法的优缺点。 如果使用常规加密方法进行发方和收方的直接鉴别,密钥分配策略是不现实的。这种方案需要发方向预期的收方发出请求,等待包括一个会话密钥的响应,然后才能发送报文。 http://read.cucdc.com/cw/62655/104021.html
7.IKE密钥交换原理消息③是发起方根据已确定的IKE策略,把自己的验证数据(包括所采用的身份认证机制中的密钥,证书等)发给响应方,让响应方最终完成对发起方的身份验证。至此整个信息交换过程就完成了,进入第二阶段IPSec SA建立了. 由野蛮模式和主模式的对比可以发现,与主模式相比,野蛮模式减少了交换信息的数目,提高了协商的速度,但是没https://www.jianshu.com/p/ba32be6bf672
8.网络中心职业院校数字校园的技术系统包括数字资源、教育教学、管理服务、支撑条件、网络安全五个部分。 数字资源的建设与应用要根据自身实际突出专业特色、校企合作特色,遵循社会服务、优先引入、慎重自建、边建边用、建用结合、开放共享的原则。 教育教学信息化应以人才培养模式革新为主线,适应“互联网+职业教育”发展需要,创新产http://www.xtzy.com/wlzx/detail.jsp?public_id=153330
9.详解IP安全:IPSec协议簇AH协议ESP协议本文详细阐述了IPSec协议簇,包括AH和ESP两种安全协议的功能、IKE协议的作用以及IPSec的实现方式,重点介绍了传输模式和隧道模式。IPSec旨在为IPv4和IPv6提供端到端和网络层的安全保障,通过IKE协议进行密钥管理和交换,AH提供完整性与认证,ESP提供加密和完整性保护。 https://blog.csdn.net/web22050702/article/details/137861215
10.overipsecVPN包括华为软件客户端与微软自带客户端两种配置华为AR系列路由器 实现l2tp over ipsec VPN【包括华为软件客户端与微软自带客户端两种配置方法】 http://ccieh3c.com/?p=1358 http://pan.baidu.com/s/1i5Hed5F 掌握目标 1、通过对路由器配置,实现L2TP over ipsec 配置【包括微软与华为自己软件客户端的实现】 https://hqyman.cn/post/589.html
11.网络线条网络安全专业试题库55. 防火墙的安全性包括:___、___、___、___和___五个方面。 56. 交换式局域网从根本上改变了“共享介质”的工作方式,它可以通过支持交换机端口结点之间的多个__ ,达到增加局域网带宽,改善局域网的性质与服务的目的。 57. Cisco设备需要为特权模式的进入设置强壮的密码,不要采用enable password设置密码,https://www.yc00.com/xiaochengxu/1690418665a347205.html
12.北邮网院通信新技术作业答案6篇(全文)17、功能不良的家庭结构模式包括() A.疏离的B.缠结的C.清晰的D.等级失调的 本题参考答案: A B D 18、父母和一个已婚子女或未婚兄弟姐妹生活在一起所组成的家庭模式。也包括父或母和一对已婚子女及其孩子所组成的家庭,一对夫妇同其未婚兄弟姐妹所组成的家庭() https://www.99xueshu.com/w/file5jvt80ns.html
13.多接入协议数据单元会话管理的制作方法3)ran将n2消息传送到新amf。n2消息包括n2参数和注册请求。注册请求可以包括注册类型、订户永久标识符或临时用户id、安全参数、nssai、mico模式默认设置(或配置)等。 [0170] 当使用5g ? ran时,n2参数包括与ue正驻留的小区相关的位置信息、小区标识符和rat类型。 https://www.xjishu.com/zhuanli/62/202080020586.html
14.陕西调度规程考试题(精选6篇)SA:一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。它保证了IPSec数据报封装及提取的正确性, 同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。 1.2 IPSec的两种模式https://www.360wenmi.com/f/fileff2kbqqt.html
15.水闸自动化监控系统控制结构包括3个层次,3个模式,分别为集中控制(2)IPSec的密钥管理包括密钥的确定和分发。IPSec支持哪两种密钥管理方式。试比较这两种方式的优缺点。 (3)如果按照以下网络结构配置IPSecVPN,安全机制选择的是ESP,那么IPSec工作隧道模式,一般情况下,在图中所示的四个网络接口中,将哪两个网络接口配置为公网IP,哪两个网络接口配置为内网IP。 https://www.educity.cn/souti/evslw56d.html
16.详解IPSec介绍当安全协议同时采用AH和ESP时,AH和ESP协议必须采用相同的封装模式。 加密算法 加密是一种将数据从明文转换成无法读懂的密文的过程,接收方只有在拥有正确的密钥的情况下才能对密文进行解密,从而保证了数据的私密性。 IPSec VPN工作过程中涉及数据加密(IP报文加密)和协议消息加密(ISAKMP消息加密)两种情况。 https://www.isolves.com/it/wl/zs/2021-01-12/35362.html
17.浅谈IPsecIKE和IKEv2的基本原理封装模式 IPsec支持两种封装模式:传输模式和隧道模式。 传输模式(Transport Mode) 该模式下的安全协议主要用于保护上层协议报文,仅传输层数据被用来计算安全协议头,生成的安全协议头以及加密的用户数据(仅针对ESP封装)被放置在原IP头后面。若要求端到端的安全保障,即数据包进行安全传输的起点和终点为数据包的实际起点和https://www.intsavi.com/page98.html?article_id=358&pagenum=all
18.IPsec与传输模式不同,在隧道模式中,原IP地址被当作有效载荷的一部分受到IPSec的安全保护,另外,通过对数据加密,还可以将数据包目的地址隐藏起来,这样更有助于保护端对端隧道通信中数据的安全性。 ESP隧道模式中签名部分(完整性检查和认证部分)和加密部分分别如图所示。ESP的签名不包括新IP头。 https://baike.sogou.com/v619370.htm