简介

IPsec协议簇是应用在网络层上的,来保护IP数据报的一组网络传输协议的集合。它是IETF(Internet Engineering Task Force)制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

IPSec通过认证头AH(Authentication Header,协议号51)和封装安全载荷ESP(Encapsulating Security Payload)这两个安全协议来实现。AH可提供数据源验证和数据完整性校验功能;ESP除可提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。

IPSec协议有两种封装模式:

  • 传输模式。在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。

  • 隧道模式。在隧道模式下,AH或ESP插在原始IP头之前,另外生成一个新IP头放到AH或ESP之前。

传输模式用于两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯。在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。

通常,在两个安全网关(路由器)之间的数据流量,绝大部分都不是安全网关本身的通讯量,因此在安全网关之间一般不使用传输模式,而总是使用隧道模式。在一个安全网关被加密的报文,只有另一个安全网关能够解密。因此必须对IP报文进行隧道封装,即增加一个新的IP头,进行隧道封装后的IP报文被发送到另一个安全网关,才能够被解密。

报文格式

AH封装及头部格式

字段 长度 描述
Next Header 8比特 表示认证头部之后的下一个负载。
Payload Len 8比特 AH的长度减2,4字节为计数单位。例如,有个96比特的认证值,长度将是"4"(即头部固定的3个4字节 + ICV的3个4字节 - 2)。对于IPv6,头部总长度必须为8字节的倍数。
RESERVED 16比特 预留将来使用。必须置0,接收时忽略。
Security Parameters Index 32比特 用于给报文接收端识别SA
Sequence Number Field 32比特 序列号,每发送一个报文,计数加1,例如每发一个SA报文序列号增加1。
Integrity Check Value-ICV 变长 报文的ICV字段,可变长度,长度必须为32比特的整数倍。
ESP封装及头部格式

字段 长度 描述
Security Parameters Index 32比特 安全参数索引。
Sequence Number 32比特 序列号。
Payload Data* 变长 有效载荷数据(可变)。
Padding 0–255字节 填充字段。
Pad Length 8比特 填充字段长度。
Next Header 8比特 下一个头。
Integrity Check Value-ICV 变长 验证数据。
 AH和ESP协议组合使用

因特网密钥交换协议IKE(Internet Key Exchange)是IPSEC的信令协议。

 IKE Header Format

字段 长度 描述
IKE_AS Initiator's SPI 8 bytes 发送者用来唯一标识一个IKE安全联盟,该值不能设置为0。
IKE_AS Responder's SPI 8 bytes 应答者用来唯一标识一个IKE安全联盟,对于IKE初始交互的消息该值必须为0,其他消息不能为0。
Next Payload 1 byte 仅随头部之后的负载的类型。
MjVer 4 bits 标识所使用的IKE协议的最大版本。
MnVer 4 bits 标识所使用的IKE协议的最小版本。
Exchange Type 1 byte
  • 0-33: RESERVED
  • 34: IKE_SA_INIT
  • 35: IKE_AUTH
  • 36: CREATE_CHILD_SA
  • 37: INFORMATIONAL
  • 38-239: RESERVED TO IANA
  • 240-255: Reserved for private use.
Flags 1 byte 消息中设置的特定选项。如果Flag域置位表示带有选项。

  • X(reserved) (bits 0-2) - 发送时必须清0,接收时忽略。
  • I(nitiator) (bit 3 of Flags) - IKE_SA原始发送者在发送消息是必须将此位置1,源回应者发送的消息必须清零。
  • V(ersion) (bit 4 of Flags) - 标识转发者支持的版本比Major字段标识的版本更高 IKEv2版本的实现中,此比特必须置0,接收时忽略。
  • R(esponse) (bit 5 of Flags) - 标识此消息是对相同Message-ID的消息的一个回应消息。所有请求消息中此位需置0,所有回应消息置1。
  • X(reserved) (bits 6-7 of Flags) - 发送时需置0,接收时忽略。
Message ID 4 bytes 消息标识符,用来对请求消息和呼应消息的匹配,以便控制丢弃消息的重复发送。这在抑制重放攻击时对保障协议的安全性很关键。
Length 4 bytes 整个消息的长度(报文头+负荷),以字节为单位。
Next Payload 1 byte 标识消息中的下一个负载的类型。如果当前的负载是消息的最后一个,则此字段置0。

  • 0: No Next Payload
  • 1-32: RESERVED
  • 33: Security Association (SA)
  • 34: Key Exchange (KE)
  • 35: Identification - Initiator (IDi)
  • 36: Identification - Responder (IDr)
  • 37: Certificate (CERT)
  • 38: Certificate Request (CERTREQ)
  • 39: Authentication (AUTH)
  • 40: Nonce (Ni, Nr)
  • 41: Notify (N)
  • 42: Delete (D)
  • 43: Vendor ID (V)
  • 44: Traffic Selector - Initiator (TSi)
  • 45: Traffic Selector - Responder (TSr)
  • 46: Encrypted (E)
  • 47: Configuration (CP)
  • 48: Extensible Authentication (EAP)
  • 49-127: RESERVED TO IANA
  • 128-255: PRIVATE USE
C (Critical) 1 bit
  • 如果发送者想让接收者在无法识别当前一个负载的Next Payload域是能够跳过此域,可将此位置0。
  • 如果接收者能够识别负载的类型代码,则忽略此位。
  • 负载类型为以下情况时,此位必须设置为0。
    • Security Association (SA)
    • Key Exchange (KE)
    • Identification - Initiator (IDi)
    • Identification - Responder (IDr)
    • Certificate (CERT)
    • Certificate Request (CERTREQ)
    • Authentication (AUTH)
    • Nonce (Ni, Nr)
    • Notify (N)
    • Delete (D)
    • Vendor ID (V)
    • Traffic Selector - Initiator (TSi)
    • Traffic Selector - Responder (TSr)
    • Encrypted (E)
    • Configuration (CP)
    • Extensible Authentication (EAP)

注意,C比特应用于当前负载,而不是下一个负载。

RESERVED 7 bits 发送时必须置0,接收时忽略。
Payload Length 2 bytes 当前负载的长度,包括通用负载的头部,以字节为单位。

资料来源于网络,仅用于学习交流,如有侵权请联系作者删除

IPsec协议簇简析的更多相关文章

  1. BA-协议-BACnet 协议优势简析

    BACnet - Building Automation and Control Network 的简称,为楼宇自控网络制定 的网络和通讯协议 .由美国暖通空调工程师协会主导制定的开放的楼宇自控通讯标 ...

  2. 【HTTP】另类的POST头数据 RFC1867协议格式简析

    http://blog.csdn.net/ai2000ai/article/details/52161979 昨天在实战表单模拟提交的时候,有发现在提交某个表单的时候,页面(discuz!论坛)报错, ...

  3. DNS使用的是TCP协议还是UDP协议简析

    DNS使用的是TCP协议还是UDP协议简析   DNS同时占用UDP和TCP端口53是公认的,这种单个应用协议同时使用两种传输协议的情况在TCP/IP栈也算是个另类.但很少有人知道DNS分别在什么情况 ...

  4. 简析TCP的三次握手与四次分手【转】

    转自 简析TCP的三次握手与四次分手 | 果冻想http://www.jellythink.com/archives/705 TCP是什么? 具体的关于TCP是什么,我不打算详细的说了:当你看到这篇文 ...

  5. AFNetworking封装思路简析

    http://blog.csdn.net/qq_34101611/article/details/51698473 一.AFNetworking的发展 1. AFN 1.0版本 AFN 的基础部分是 ...

  6. [转载] Thrift原理简析(JAVA)

    转载自http://shift-alt-ctrl.iteye.com/blog/1987416 Apache Thrift是一个跨语言的服务框架,本质上为RPC,同时具有序列化.发序列化机制:当我们开 ...

  7. SpringMVC源码情操陶冶-DispatcherServlet简析(二)

    承接前文SpringMVC源码情操陶冶-DispatcherServlet类简析(一),主要讲述初始化的操作,本文将简单介绍springmvc如何处理请求 DispatcherServlet#doDi ...

  8. Linux 目录结构学习与简析 Part1

    linux目录结构学习与简析 by:授客 QQ:1033553122 说明: /             linux系统目录树的起点 =============== /bin      User Bi ...

  9. [转帖]简析数据中心三大Overlay技术

    简析数据中心三大Overlay技术 http://www.jifang360.com/news/20161010/n225987768.html 搭建大规模的云计算环境需要数据中心突破多种技术难题,其 ...

随机推荐

  1. Fence(poj1821)

    Fence Time Limit: 1000MS   Memory Limit: 30000K Total Submissions: 4705   Accepted: 1489 Description ...

  2. 【环境搭建】安装pyQt5 在pycharm报This application failed to start because no Qt platform plugin could be initialized的问题

    报错:This application failed to start because no Qt platform plugin could be initialized 解决办法: http:// ...

  3. 第二十七个知识点:什么是对称密码加密的AEAD安全定义?

    第二十七个知识点:什么是对称密码加密的AEAD安全定义? AEAD 在之前的博客里,Luke描述了一种被广泛使用的操作模式(ECB,CBC和CTR)对块密码.我们也可能会想我们加密方案的完整性,完整性 ...

  4. Simplicial principal component analysis for density functions in Bayes spaces

    目录 问题 上的PCA Hron K, Menafoglio A, Templ M, et al. Simplicial principal component analysis for densit ...

  5. [算法笔记-题解]问题 A: 例题4-1 一元二次方程求根

    问题 A: 例题4-1 一元二次方程求根 [命题人 : 外部导入] 时间限制 : 1.000 sec 内存限制 : 12 MB 题目描述 求一元二次方程ax2+bx+c=0的根,三个系数a, b, c ...

  6. 编写Java程序,应用客户端和服务端通过 Eclipse 控制台的输入和显示实现简易的聊天功能

    查看本章节 查看作业目录 需求说明: 应用客户端和服务端通过 Eclipse 控制台的输入和显示实现简易的聊天功能 实现思路: 创建 Java 项目,在项目中创建服务端类 ChatServerThre ...

  7. Ranger-Sqoop2插件实现详解

    1.组件和插件介绍 1.1.Ranger介绍 Apache Ranger能够监控和管理整个Hadoop平台的综合数据安全, 目前作为Apache Top Level Project(TLP顶级项目), ...

  8. python appium使用uiselector定位时,提示 Could not parse UiSelector argument: 'XXX' is not a string

    运行自动化代码,appium返回Could not parse UiSelector argument: 'XXX' is not a string,其中的xxx就是定位的元素 解决方案:外侧用 '' ...

  9. JDK_win10环境下安装JDK8时点击下一步没反应的解决办法

    问题现象 打开JDK8,点击下一步就没后续了... 解决方法 百度了一下"win10安装jdk8点下一步无响应" . 按照博客中说的操作试了下...安装成功了... 只想说...什 ...

  10. kubeadm 安装Kubernetes 1.16.3 (CentOS7+IPVS+Calico)

    目录 ·  . 一.更新系统内核(全部节点) ·  . 二.基础环境设置(全部节点) ·  . 1.修改 Host ·  . 2.修改 Hostname ·  . 3.主机时间同步 ·  . 4.关闭 ...