ipsec协议（IPSec 是什么）

本文目录

• IPSec 是什么
• 简述iPsec实现方式
• Ipsec协议主要应用属于哪一层
• ipsec协议包含哪些主要内容
• 双向身份认证主要使用的是ipsec协议中的哪一个协议

IPSec 是什么

IPv4缺乏对通信双方真实身份的验证能力，缺乏对网上传输的数据的完整性和机密性保护，并且由于IP地址可软件配置等灵活性以及基于源IP地址的认证机制，使得IP层存在着网络业务流易被**和捕获、IP地址欺骗、信息泄露和数据项被篡改等攻击，而IP是很难抵抗这些攻击的。为了实现安全IP，Internet工程任务组IETF于1994年开始了一项IP安全工程，专门成立了IP安全协议工作组IPSEC，来制定和推动一套称为IPSec(IP Security)的IP安全协议标准。其目标就是把安全特征集成到IP层，以便对Internet的安全业务提供低层的支持。IETF于1995年8月公布了一系列关于IPSec的RFC建议标准。

完整的IPsec核心文档集处在提议标准阶段。包括：

隧道隧道就是把一个包封装在另一个新包里面，整个源数据包作为新包的载荷部分，并在前面添加一个新的IP头。这个外部头的目的地址通常是IPSec防火墙、安全网关或路由器。通过隧道技术可以对外隐藏内部数据和网络细节。对IPSec而言，IP隧道的直接目标就是对整个IP数据包提供完全的保护。IP隧道如图所示。

此外，还有一个需要说明的概念就是“变换”。在IPSec中，一个变换是指一种安全机制的特定实现，如ESP的DES-C**实现称为“DES-C** ESP变换”。

IP协议本身缺乏安全性，仅用IP头中的校验和域来保证IP数据报的完整性。设计认证头（AH）协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据起源认证和抗重放保护服务。然而，AH不提供任何机密***，它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的密码认证，以确保被修改过的数据包可以被检查出来。AH使用消息认证码（MAC）对IP进行认证，最常用的MAC是HMAC。因为生成IP数据报的消息摘要需要密钥，所以IPSec的通信双方需要有共享密钥。对于MAC不了的解可以看MAC原理

AH由5个固定长度域和1个变长的认证数据域组成。下图说明了这些域在一个AH中的相对位置。

下面是这些域的说明：

• 下一个头（Next Header）：这个8比特的域指出AH后的下一个载荷的类型。例如，如果AH后面是一个ESP载荷，这个域将包含值50。如果在我们所说的AH后面是另一个AH，那这个域将包含值51。RFC1700中包含了已分配的IP协议值信息。
• 载荷长度（Payload length）：这个8比特的域包含以32比特为单位的AH的长度减2。为什么要减2呢？AH实际上是一个IPv6扩展头，IPv6规范RFC1883中规定计算扩展头长度时应首先从头长度中减去一个64比特的字。由于载荷长度用32比特度量，两个32比特字也就相当于一个64比特字，因此要从总认证头长度中减去2。
• 保留（Reserved）：这个16比特的域被保留供将来使用。AH规范RFC2402中规定这个域被置为0。
• 安全参数索引（SPI）：SPI是一个32比特的整数，用于和源地址或目的地址以及IPSec协议（AH或ESP）共同唯一标识一个数据报所属的数据流的安全关联（SA）。SA是通信双方达成的一个协定，它规定了采用的IPSec协议、协议操作模式、密码算法、密钥以及用来保护它们之间通信的密钥的生存期。关于SPI域的整数值，1到255被IANA（Internet Assigned Number Authority）留作将来使用；0被保留用于本地和具体实现使用。所以说目前有效的SPI值是从256到232-1。
• 序列号（Sequence number）：这个域包含有一个作为单调增加的计数器的32位无符号整数。当SA建立时，发送者和接收者的序列号值被初始化为0。通信双方每使用一个特定的SA发出1个数据报就将它们的相应的序列号加1。序列号用来防止对数据包的重放，重放指的是数据报被攻击者截取并重新传送。AH规范强制发送者总要发送序列号到接收者；而接收者可以选择不使用抗重放特性，这时它不理会进入的数据流中数据报的序列号。如果接收端主机启用抗重放功能，它使用滑动接收窗口机制检测重放包。具体的滑动窗口因不同的IPSec实现而不同；然而一般来说滑动窗口具有以下功能。窗口长度最小为32比特。窗口的右边界代表一特定SA所接收到的验证有效的最大序列号。序列号小于窗口左边界的包将被丢弃。将序列号值位于窗口之内的数据包将被与位于窗口内的接收到的数据包相比较。如果接收到的数据包的序列号位于窗口内并且数据包是新的，或者它的序列号大于窗口右边界且小于232，那么接收主机继续处理计算认证数据。对于一个特定的SA，它的序列号不能循环；所以在一个特定的SA传输的数据包的数目达到232之前，必须协商一个新的SA以及新的密钥。
• 认证数据：这个变长域包含数据报的认证数据，该认证数据被称为完整性校验值（ICV）。对于IPv4数据报，这个域的长度必须是32的整数倍；对于IPv6数据报，这个域的长度必须是64的整数倍。用来生成ICV的算法由SA指定。用来计算ICV的可用的算法因IPSec的实现的不同而不同；然而为了保证互操作性，AH强制所有的IPSec实现必须包含两个MAC：HMAC-MD5和HMAC-SHA-1。如果一个IPv4数据报的ICV域的长度不是32的整数倍，或一个IPv6数据报的ICV域的长度不是64的整数倍，必须添加填充比特使ICV域的长度达到所需要的长度。

简述iPsec实现方式

IPSec通过加密与验证等方式，从以下几个方面保障了用户业务数据在Internet中的安全传输：

数据来源验证：接收方验证发送方身份是否合法。

数据加密：发送方对数据进行加密，以密文的形式在Internet上传送，接收方对接收的加密数据进行解密后处理或直接转发。

数据完整性：接收方对接收的数据进行验证，以判定报文是否被篡改。

抗重放：接收方拒绝旧的或重复的数据包，防止恶意用户通过重复发送捕获到的数据包所进行的攻击。

扩展资料：

IPSec用来解决IP层安全性问题的技术。IPSec被设计为同时支持IPv4和IPv6网络。

IPSec主要包括安全协议AH（Authentication Header）和ESP（Encapsulating Security Payload），密钥管理交换协议IKE（Internet Key Exchange）以及用于网络认证及加密的一些算法等。

IPSec主要通过加密与验证等方式，为IP数据包提供安全服务。

Ipsec协议主要应用属于哪一层

IPsec应用于网络层。

IPSec是IETF（Internet Engineering Task Force，Internet工程任务组）的IPSec小组建立的一组IP安全协议集。IPSec定义了在网络层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。

扩展资料

 IPSec的功能：

1、保证数据来源可靠

在IPSec通信之前双方要先用IKE认证对方身份并协商密钥，只有IKE协商成功之后才能通信。由于第三方不可能知道验证和加密的算法以及相关密钥，因此无法冒充发送方，即使冒充，也会被接收方检测出来。

2、保证数据完整性

IPSec通过验证算法保证数据从发送方到接收方的传送过程中的任何数据篡改和丢失都可以被检测。

3、保证数据机密性

IPSec通过加密算法使只有真正的接收方才能获取真正的发送内容，而他人无法获知数据的真正内容。

ipsec协议包含哪些主要内容

保护 IP 数据包的内容。通过数据包筛选及受信任通讯的实施来防御网络攻击。这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。其中以接收和发送最为重要。

双向身份认证主要使用的是ipsec协议中的哪一个协议

IPSec采用双向身份验证，SSL采用单向/双向身份验证。 底层协议 IPSec是网络层保证IP通讯而提供的协议族，以网络层为中心。IPsec是网际层实现IP分组端到端安全传输的机制，由一组安全协议组成。鉴别首部协议AH(Authentication Header)和封装安全净荷协议ESP。