• 作者簡介：一名云計(jì)算網(wǎng)絡(luò)運(yùn)維人員、每天分享網(wǎng)絡(luò)與運(yùn)維的技術(shù)與干貨。?

• ?座右銘：低頭趕路，敬事如儀

• 個(gè)人主頁：網(wǎng)絡(luò)豆的主頁??????

目錄

前言

一.IPSec安全協(xié)議

1.IPSec提供的安全服務(wù)

2.IPSec結(jié)構(gòu)

3.IPSce提供的兩種機(jī)制

二.Authentication Header 協(xié)議

1. Authentication Header 協(xié)議結(jié)構(gòu)

?2.AH傳輸模式

3.AH隧道模式

前言

在前一章講解了IPSec采用的安全技術(shù)，那什么是IPSec安全協(xié)議呢？本章將會很透徹的講解IPSec安全協(xié)議。

一.IPSec安全協(xié)議

IPSec在IP層提供安全服務(wù)，它使系統(tǒng)能按需選擇安全協(xié)議，決定服務(wù)所使用的算法及放置需求服務(wù)所需密鑰到相應(yīng)位置。IPSec用來保護(hù)一條或多條主機(jī)與主機(jī)間、安全網(wǎng)關(guān)與安全網(wǎng)關(guān)間、安全網(wǎng)關(guān)與主機(jī)間的路徑。

1.IPSec提供的安全服務(wù)

IPSec能提供的安全服務(wù)集包括訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、拒絕重發(fā)包（部分序列完整性形式）、保密性和有限傳輸流保密性。因?yàn)檫@些服務(wù)均在IP層提供，所以任何高層協(xié)議均能使用它們，例如TCP、UDP、ICMP、BGP等。

?這些目標(biāo)是通過使用兩大傳輸安全協(xié)議，頭部認(rèn)證（AH）和封裝安全負(fù)載（ESP）以及密鑰管理程序和協(xié)議的使用來完成的。

?所需的IPSec協(xié)議集內(nèi)容及其使用方式是由用戶、應(yīng)用程序和/或站點(diǎn)、組織對安全和系統(tǒng)的需求來決定。

2.IPSec結(jié)構(gòu)

IPSec結(jié)構(gòu)包括眾多協(xié)議和算法，這些協(xié)議之間的相互關(guān)系如圖所示。

由圖可知，IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。

• 包括網(wǎng)絡(luò)認(rèn)證協(xié)議Authentication Header(AH)、
• 封裝安全載荷協(xié)議(Encapsulating Security Payload,ESP)、
• 密鑰管理協(xié)議(Internet Key Exchange,IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。

IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

3.IPSce提供的兩種機(jī)制

IPSce提供了兩種機(jī)制：認(rèn)證和加密

認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份，以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機(jī)制通過對數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過程中被竊聽。

其中，AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證：ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供可靠性保證。

?在實(shí)際進(jìn)行IP通信時(shí)，可以根據(jù)實(shí)際需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認(rèn)證服務(wù)，不過，AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP。

二.Authentication Header 協(xié)議

1. Authentication Header 協(xié)議結(jié)構(gòu)

Authentication Header(AH)協(xié)議主要提供認(rèn)證機(jī)制，保證數(shù)據(jù)包接收者得到的源地址是可靠的，同時(shí)也提供了數(shù)據(jù)的完整性，抗重播攻擊的能力。

它使通信免受篡改，但不能防止竊聽，適合用于傳輸非機(jī)密數(shù)據(jù)。

?AH的工作原理是在每一個(gè)數(shù)據(jù)包上添加一個(gè)身份驗(yàn)證包頭。

此包頭包含一個(gè)帶密鑰的Hash散列（可以將其當(dāng)做數(shù)字簽名，只是它不使用證書)，此Hash散列在整個(gè)數(shù)據(jù)包中計(jì)算，因此對數(shù)據(jù)的任何更改將致使散列無效，提供對數(shù)據(jù)的完整性保護(hù)。

AH包頭位置在IP包頭和傳輸層協(xié)議包頭之間，如圖所示。AH由IP協(xié)議號“51”標(biāo)識，該值包含在AH包頭之前的協(xié)議包頭中，如IP包頭。AH可以單獨(dú)使用，也可以與ESP協(xié)議結(jié)合使用。

AH由5個(gè)固定長度域和一個(gè)變長的認(rèn)證數(shù)據(jù)域組成，如圖所示。

?其中的字段意義如下。

• （1）下一頭：(8位)，識別這個(gè)包頭之后緊跟的包頭類型。在傳輸模式下，表示處于保護(hù)中的上層協(xié)議的值，比如TCP或UDP的值。
• （3）載荷長度：(8位）其值等于AH頭長度（以32位字長計(jì)算）減去2。AH頭是一個(gè)IPv6的擴(kuò)展頭按照RFC2460標(biāo)準(zhǔn)的規(guī)定：它的值是頭長度減去一個(gè)64位，在認(rèn)證數(shù)據(jù)為標(biāo)準(zhǔn)的96位時(shí)，這個(gè)域的值為4。
• （3）保留字段：16位，該字段用于今后的擴(kuò)充，設(shè)置為0。
• （4）安全參數(shù)索引SPl：專有32位值，用以區(qū)分那些目的IP地址和安全協(xié)議類型相同，但算法不同的數(shù)據(jù)包。
• （5）序列號：32位整數(shù)，它代表一個(gè)單調(diào)遞增計(jì)數(shù)器的值。
• （6）認(rèn)證值：這個(gè)域的長度可變，它存放IP數(shù)據(jù)包的完整性校驗(yàn)值ICV。

ICV，全稱integrity check value。是在對無格式文本安全列表和補(bǔ)充的計(jì)算得到的，用于信息安全的完整性檢查。ICV的算法是32位的自身反碼加法，每個(gè)32位塊跟隨32個(gè)0位。

?2.AH傳輸模式

如圖3-5所示，在傳輸模式下，AH包頭插在IP包頭之后，TCP、UDP或者ICMP等上層協(xié)議包頭之前。

一般AH為整個(gè)數(shù)據(jù)包提供完整性檢查，但是在傳輸過程中，某些IP頭字段會發(fā)生變化，且發(fā)送方無法預(yù)測數(shù)據(jù)包到達(dá)接收端時(shí)此字段的值。

例如生存期（Time To Live)或服務(wù)類型（Type of Service）等值可變字段（可變字段如圖3-6中灰色字段)，在進(jìn)行完整性檢查時(shí)，應(yīng)將這些值的可變字段置為0。AH盡可能為IP頭和上層協(xié)議數(shù)據(jù)提供足夠多的認(rèn)證，但AH并不能保護(hù)可變字段值，因此，AH提供給IP頭的保護(hù)有些是零碎的。

?通常，當(dāng)用于IPv6時(shí)，AH出現(xiàn)在IPv6逐跳路由頭之后，IPv6目的選項(xiàng)之前；而用于IPv4時(shí)，AH跟隨主IPv4頭。

3.AH隧道模式

以上介紹的是傳輸模式下的AH協(xié)議，AH隧道模式與傳輸模式略有不同。

• 在隧道模式下，整個(gè)原數(shù)據(jù)包被當(dāng)做有效載荷封裝起來，外面附上新的IP包頭。其中“內(nèi)部”IP包頭(原IP包頭)指定最終的信源和信宿地址，而“外部”IP包頭(新IP包頭)中包含的常常是做中間處理的網(wǎng)關(guān)地址。
• 與傳輸模式不同，在隧道模式中，原IP地址被當(dāng)做有效載荷的一部分，受到IPSec的保護(hù)。另外，通過對數(shù)據(jù)加密，還可以將數(shù)據(jù)包目的地址隱藏起來，這樣更有助于保護(hù)端對端隧道通信中數(shù)據(jù)的安全性。
• 圖中給出了AH隧道模式中的認(rèn)證部分。AH隧道模式為整個(gè)數(shù)據(jù)包提供完整性檢查和認(rèn)證，認(rèn)證功能優(yōu)于ESP。但在隧道技術(shù)中，AH協(xié)議很少單獨(dú)實(shí)現(xiàn)，通常與ESP協(xié)議組合使用。

?創(chuàng)作不易，求關(guān)注，點(diǎn)贊，收藏，謝謝~?? 文章來源地址http://www.zghlxwxcb.cn/news/detail-779729.html

到了這里，關(guān)于網(wǎng)絡(luò)安全——網(wǎng)絡(luò)層IPSec安全協(xié)議（4）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！