安全防御 --- IPSec理论

news2024/11/23 19:50:41

IPSec

1、概述:

是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议,在IP层通过数据来源认证、数据加密、数据完整性和抗重放功能来保证通信双方Internet上传输数据的安全性。

IPSec安全服务

  • 机密性
  • 完整性
  • 数据源鉴别
  • 重传保护
  • 不可否认性

2、IPSec三个重要协议

IPSec通过AH(认证头)和ESP(封装安全载荷)这两个安全协议实现IP数据报的安全传输

(1)AH --- 认证头协议

提供数据源认证、数据完整性校验和报文防重放功能

功能:(完整性、可用性)

  • 鉴别算法

(2)ESP --- 封装安全载荷协议

提供了除了AH认证头协议的所有功能外,还可以对IP报文净荷进行加密。ESP没有对IP头的内容进行保护

功能:(完整性、机密性、可用性)

  • 加密算法
  • 鉴别算法

PS:AH和ESP可以单独使用,也可以同时使用。AH和ESP同时使用时,报文会先进行ESP封装,再进行AH封装;IPsec解封装时,先进行AH解封装,再进行ESP解封装。


(3)IKE --- 密钥管理与分发协议

IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。协商出对等体间数据安全传输需要的认证算法、加密算法和对应的秘钥。

协商管理(IEK可动态管理IPSec架构的所有构件):

  • 协商工作方式以及工作模式(AH ESP)
  • 协商加密和鉴别算法
  • 密钥参数的协商 --- 密钥产生算法、密钥有效期、密钥分发者身份认证、密钥长度、认证算法

3、IPSec架构

解释域(DOI):将算法与密钥联动起来

4、两种工作模式

(1)传输模式

  • 使用场景:私网数据通过公网传输,异种网络之间通过其他网络传输


通信问题已经解决,需解决安全问题

  • 封装结构

(2)隧道模式

  • 使用场景:专线,隧道已做,本身路由可达


通信问题和安全问题都需要解决

  • 封装结构

:既有安全问题和通信问题的场景:

  • ipsec隧道模式
  • 其他隧道协议 + ipsec传输模式

5、AH

协议号51

(1)安全服务

  • 数据源认证 --- 通过计算验证码时加入一个共享秘钥来实现,和ospf认证类似
  • 数据抗重放 --- AH包中的序列号
  • 数据完整性 --- hash算法,校验hash值实现

无机密性,未使用加密算法

(2)传输模式

(3)隧道模式

(4)AH头部结构


做认证时,对于易变值是不做认证的,IP包中的TTL和TOS是不参与认证的

SPI:决定了数据传输进哪条通道

6、ESP

协议号50

(1)安全服务

  • 数据完整性
  • 数据源认证
  • 数据抗重放
  • 数据机密性
  • 数据流保护

(2)传输模式

(3)隧道模式

(4)ESP头部结构

7、SA --- 安全联盟

(1)概述:

定义了IPSec通信对等体间将使用哪种摘要和加密算法、什么样的秘钥进行数据的安全传输和转换

(2)安全标识:安全参数索引  目的IP地址  安全协议号

(3)生成SA:两种方式

  • 手工配置:较为复杂,所有信息手工配置永不老化
  • IKE动态协商:相对简单,通信对端体之间协商IKE参数,IKE协议自动协商来创建和维护SA,具有生存周期

附:生存周期:1. 基于时间;2. 基于流量

8、IKE

(1)什么是IKE?

IKE协议 是建立在Internet安全联盟和秘钥管理协议ISAMP定义的框架,提供了一套在不安全网络上安全地分发秘钥、验证身份、建立IPSec安全联盟的过程,简化了IPSec 的管理和使用。

(2)IKE用途

  1. 为ipsec通信双方,动态的建立安全联盟SA,对SA进行管理与维护
  2. 为ipsec生成密钥,提供AH/ESP加解密和验证使用

(3)两个阶段

<1> 阶段一:密钥产生算法、密钥分发者身份认证

  • 主模式:安全
  • 野蛮模式:快,但是不安全(相对主模式)

都不影响安全传输

<2> 阶段二:协商封装协议,对数据进行加密

  • 快速模式:快

(4)IKE工作过程

IKE经过两个阶段为ipsec进行密钥协商并建立安全联盟:

第一阶段:通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道,交换建立一个iskmp安全联盟(iskmp sa)

  • 主模式
  • 野蛮模式

第二阶段:用已经建立的安全联盟iskmp sa(ike sa)的安全通道为ipsec协商安全服务,建立ipsec sa,产生用于数据加密的密钥

9、IKE工作流程分析

(1)IKE SA

  • 主模式

6个包交互,默认使用IP地址作为身份标识,默认传递自己的接口地址作为身份标识,对方的公网地址作为对端身份标识去检查

安全提议:加密算法、hash算法、身份认证方式、密钥交换算法、密钥有效期
PS:IP地址无法修改

Ci:标识cookie信息;
SAi:表述协商的安全策略参数;
SAr:对方协商参数的确认;
Cr:对方cookie信息的确认;
Xi,Yi是交换的公钥信息,Ni是随机数;
ID是身份信息,hash是验证信息;

存在问题:只能使用IP地址进行身份标识,NAT环境不适用;厂商进行修改后,会导致不兼容问题


  • 野蛮模式

PS:X,Y是进行交互的公钥。Ni和Nr是随机数。(随机数保持活性)

野蛮虽然是三个包但是安全性没问题,ID设置灵活性很高,有助于不同厂商ipsec对接。nat也会破坏IP地址导致ip作为身份信息不可靠。


模式对比

模式主模式野蛮模式
信息交互交互6个消息交互3个消息
身份ID以IP地址作为身份ID,自动生成本端身份ID和对端身份ID可以多种形式(IP,字符串等)手动或自动生成本端和对端身份ID
域共享秘钥只能基于IP地址来确定域共享秘钥基于ID信息(主机名和IP地址)来确定域共享秘钥
安全性较高。前4个信息明文传输,最后2个信息加密传输,保护了对端身份较低。前2个消息明文传输,最后1个消息加密,不保护对端身份
速度较慢较快

(2)IPSec SA --- 快速模式

安全参数:封装协议、模式、加密算法、hash算法与认证、密钥有效期

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/489077.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

雨季时,骑行经过泥泞路段该怎么办?

泥泞路段骑行是一项需要技巧和勇气的挑战。在泥泞路段骑行&#xff0c;骑友又叫玩泥巴&#xff0c;不仅需要良好的车技和身体素质&#xff0c;还需要有足够的经验和判断力&#xff0c;以应对各种突发情况。下面&#xff0c;将从多个角度介绍泥泞路段骑行的挑战和技巧&#xff0…

宏观经济笔记--社会消费品零售总额

我们讨论了GDP的三个分项&#xff1a;投资、消费、净出口。投资我们前面已经介绍了&#xff0c;消费这一个分项我们还一直没有讨论。消费最重要的数据是每个月月中统计局公布的社会消费品零售总额。 一般的论调中&#xff0c;认为消费是三个GDP驱动项中最健康的一项&#xff0…

2023-5-4-Lua语言学习

&#x1f37f;*★,*:.☆(&#xffe3;▽&#xffe3;)/$:*.★* &#x1f37f; &#x1f4a5;&#x1f4a5;&#x1f4a5;欢迎来到&#x1f91e;汤姆&#x1f91e;的csdn博文&#x1f4a5;&#x1f4a5;&#x1f4a5; &#x1f49f;&#x1f49f;喜欢的朋友可以关注一下&#xf…

openQA----基于openQA新增指定版本的openSUSE的iso镜像进行测试

【原文链接】openQA----基于openQA新增指定版本的openSUSE的iso镜像进行测试 &#xff08;1&#xff09;执行如下命令下载openSUSE的测试脚本&#xff0c;它会从openSUSE的测试脚本github地址 /usr/share/openqa/script/fetchneedles&#xff08;2&#xff09;然后执行如下命…

在 SourceTree 中使用 rebase (win10)

原始状态 创建两个分支 dev1 dev2, 并且推送到远端 切换到dev1 做一些修改并提交dev1-1&#xff0c;注意不要推送到到远端 切换到master分支&#xff0c;拉取最新的代码 切换到dev1 分支&#xff0c;进行变基操作&#xff0c;右击master分支 推送dev1分支到远端 切换到master分…

如何快速获取已发表学术论文的期刊封面及目录(caj格式下载和caj转pdf)

目录 1 下载caj格式的封面和目录 2 CAJ格式的封面和目录转PDF格式 在进行职称评审或成果申报时&#xff0c;一般要求提交你发表的成果所在的期刊的当期封面和目录。本文就手把手带带你制作一个期刊目录。 重要提示&#xff1a;下载期刊封面和目录需要你有知网账号&#xff0…

iOS 17预计开放侧载,游戏安全对抗将迎来新高度

近日&#xff0c;据彭博社报道&#xff0c;iOS 17预计开放“侧载”机制。所谓的“侧载”是指&#xff1a;iPhone用户下载APP时&#xff0c;可选择不在APP store中下载&#xff0c;可在相关APP官网或者第三方应用市场进行下载。 众所周知&#xff0c;APP闭源生态是苹果公司最核…

C++ 基础二

C 核心编程 1 内存分区模型 内存分区模型 代码区&#xff1a;存放函数的二级制代码&#xff0c;由操作系统进行管理的 全局区&#xff1a;存放全局变量和静态变量以及常量 栈区&#xff1a;由编译器自动分配释放&#xff0c;存放函数的参数值&#xff0c;局部变量等 堆区&…

5.1 矩阵的特征值和特征向量

学习步骤&#xff1a; 学习特征值和特征向量的定义和性质&#xff0c;我会采取以下方法&#xff1a; 1. 学习线性代数基础知识&#xff1a;特征值和特征向量是线性代数中的重要概念&#xff0c;需要先掌握线性代数的基础知识&#xff0c;例如向量、矩阵、行列式、逆矩阵、转置…

Bark:基于转换器的文本到音频模型

Bark是由Suno创建的一个基于转换器的文本到音频模型。Bark可以生成高度逼真的多语言语音以及其他音频&#xff0c;包括音乐、背景噪音和简单的音效。该模型还可以产生非语言交流&#xff0c;如大笑、叹息和哭泣。为了支持研究社区&#xff0c;我们正在提供对预先训练的模型检查…

生物信息学中---数据集不平衡的处理方法

1.NearMiss&#xff1a; NearMiss 是 Mani 等人根据数据分布特征&#xff0c;基于 KNN 算法提出的欠采样方案&#xff0c; 对多数类样本利用随机欠采样来达到数据平衡。 根据不同数据采样的距离&#xff0c;可以分为三类&#xff1a; NearMiss-1、 NearMiss-2 和 NearMiss-3。…

什么是数据库分片?

什么是数据库分片&#xff1f; 数据库分片是指将一个大型数据库拆分成多个小型数据库&#xff0c;每个小型数据库称为一个分片。通过这种方式&#xff0c;可以将数据库的负载分散到多个服务器上&#xff0c;从而提高数据库的性能和可伸缩性。 为什么需要数据库分片&#xff1f…

从一到无穷大 #7 Database-as-a-Service租户隔离挑战与解决措施

文章目录 引言计算侧多租户隔离2DFQSQLVMRetro 其他隔离方法其他 引言 在云环境中租户之间的资源共享对于运营商的成本效益来说非常重要&#xff0c;但是一个主要问题是租户之间的资源隔离&#xff0c;这通常与Qos息息相关&#xff0c;从多租户的角度讲&#xff0c;安全性/性能…

ChatGPT 不好用?那你看下这份 Prompt 工程指南

作为大型语言模型接口&#xff0c;ChatGPT 生成的响应令人刮目相看&#xff0c;然而&#xff0c;解锁其真正威力的关键还是在于提示工程。 在本文中&#xff0c;我们将揭示制作提示的专家级技巧&#xff0c;以生成更准确、更有意义的响应。无论你使用 ChatGPT 是为了服务客户、…

用格林童话教你1分钟清晰JS加密

在许多格林童话中&#xff0c;我们可以看到许多隐藏的玄机和谜题&#xff0c;就像JavaScript代码一样。为了保护您的代码安全&#xff0c;我们可以使用JavaScript混淆加密技术来隐藏代码中的逻辑和关键信息。在本文中&#xff0c;我们将以“灰姑娘”为例&#xff0c;介绍如何使…

【视频解读】动手学深度学习V2_00预告

00预告 【动手学深度学习V2】 深度学习是人工智能最热的领域&#xff0c;在过去十年&#xff0c;人工智能的主要突破都来自于深度学习。 深度学习的核心是神经网络&#xff0c;它与人工智能的其他领域不一样的是&#xff0c;神经网络是一个非常灵活的框架&#xff0c;它允许我…

typescript is类型谓词

一、类型谓词是干嘛的&#xff1f; 类型谓词可以有效的帮助我们根据条件缩小类型范围&#xff08;narrowing&#xff09;。它与 typeof、instanceof、in类似。但是不同的是typeof、instanceof、in关键字在js中已经是存在的&#xff0c;在ts中使用它们&#xff0c;进行类型收缩…

为什么北欧的顶级程序员数量远远超于中国?

说起北欧&#xff0c;很多人会想到寒冷的冬天&#xff0c;漫长的极夜&#xff0c;童话王国和圣诞老人&#xff0c;但是如果我罗列下诞生于北欧的计算机技术&#xff0c;恐怕你会惊掉下巴&#xff0c;先来看一些人物介绍&#xff1a; Linus Torvalds&#xff1a;是芬兰籍的计算…

人才引进都选什么大学,哪些世界大学排名更靠谱?

最近几年&#xff0c;全国各地都在加大力度引进人才。上海市2020年首先推出留学生落户政策&#xff0c;毕业于世界排名前50名大学的留学生可直接申办落户&#xff0c;毕业于51-100名大学的&#xff0c;缴纳社保满6个月后可申办落户。 国家人事部门也确定了留学生“国家引进人才…

Portraiture4.03一款适用于PS与LR的智能AI磨皮修饰滤镜插件

一款好的图片磨皮软件可以解放修图者的双手&#xff0c;减去繁琐的抠图操作&#xff0c;轻松去除人像脸部的瑕疵。经典而实用的portraiture图片磨皮软件&#xff0c;是人像修图的颇佳选择。 Portraiture 4 是专为人像磨皮开发的经典滤镜&#xff0c;多年以来已经成为人像后期基…