科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道IPSec中安全协议ESP、AH精解

IPSec中安全协议ESP、AH精解

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

被保护的数据,加密算法需要一个initialization vector(IV),注意IV需要认证,但是不是加密的,DES使用前8个字节做为IV,3DES、AES也使用8字节的IV.根据加密算法不同,补足的字节也不同。

作者:中国IT实验室 2007年9月17日

关键字: VPN 虚拟专用网 SSL VPN IPSecVPN

  • 评论
  • 分享微博
  • 分享邮件

  ESP 的协议号为50

  AH 协议号为51

  一、ESP详解

  (一)ESP提供:confidentiality,data integrity,optional data origin authentication,anti-replay services

  (二)ESP结构为:

  1、Security Parameter Index(SPI)

  2、Sequence Number

  3、Payload Data(Variable)

  4、Padding(0-255)Bytes

  5、Pad length

  6、Report Handler

  7、Authentication Data(varaible)

  SPI:

  1、destination address

  2、protocol

  3、identify the security association(SA)

  SPI number是在Internet Key Exchange(IKE)协商过程中,可以任意指定的。利用这个number可以在security association database(SADB)中查询相关信息。

  Sequence number:

  提供anti-replay services.这点在AH中也是同样的

  原理是通过increasing序号

  Payload data:

  被保护的数据,加密算法需要一个initialization vector(IV),注意IV需要认证,但是不是加密的,DES使用前8个字节做为IV,3DES、AES也使用8字节的IV.

  Padding Bytes:

  根据加密算法不同,补足的字节也不同。

  二、AH详解

  (一)AH提供:connectionless integrity,data authentication,optional replay protection,但是不提供confidentiality(加密)

  (二)AH的包结构:

  1、Next header

  2、Payload Length

  3、Reserved

  4、Security Parameter Index(SPI)

  5、Sequence Number

  6、Authentication Data(Variable)

  三、ESP、AH对比

  1、AH没有ESP的加密特性

  2、AH的authtication是对整个数据包做出的,包括IP头部分,因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum.所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。

  相反,ESP是对部分数据包做authentication,不包括IP头部分。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章