单页面网站 万网x3,网站关键词优化代码,台州建网站公司,需要自己的网站需要怎么做文章目录 目录 文章目录 一.TCP/IP 协议的缺点 二.IPsec诞生背景 IPsec可提供安全服务 三.IPsec协议簇 IPsec的两种工作模式 传输模式 隧道模式#xff1a; IPsec的安全协议 AH 协议:鉴别头协议 ESP协议#xff1a;封装安全载荷协议 AH与ESP对比 AHESP报文#xff1a…文章目录 目录 文章目录 一.TCP/IP 协议的缺点 二.IPsec诞生背景 IPsec可提供安全服务 三.IPsec协议簇 IPsec的两种工作模式 传输模式 隧道模式 IPsec的安全协议 AH 协议:鉴别头协议 ESP协议封装安全载荷协议 AH与ESP对比 AHESP报文 四.IPsec建立过程 安全联盟SA 手工建立SA编辑 动态建立SA IKE协议产生背景 IKE协议用途 IKE工作过程 主模式协商 野蛮模式 VPN黑洞 总结 一.TCP/IP 协议的缺点
IP层不校验数据完整性原始的IP协议IPv4不检查数据包的完整性。当数据包在网络中传输时中间的路由器或交换机不会验证数据包的内容是否被篡改。这意味着如果攻击者能够访问到网络中的数据流他们就有可能篡改数据包的内容而不被发现。缺乏端到端的校验虽然TCP协议在其传输层提供了校验和机制来验证报文在传输过程中是否出现错误但如果黑客修改了报文并重新计算填入校验和字段则接收方无法判断报文是否被修改。缺少数据加密原始的TCP/IP协议不提供数据加密功能。这意味着除非用户自己实现加密机制否则在网络上传输的所有数据都是明文的可以被任何能够访问网络的人读取
二.IPsec诞生背景 IPSecIP Security是一组开放的网络安全协议是对IP的安全性补充其工作在IP层为IP网络通信提供透明的安全服务。它并不是一个单独的协议而是一系列为IP网络提供安全性的协议和服务的集合这些协议和服务包括认证头AHAuthentication Header和封装安全载荷ESPEncapsulating Security Payload两个安全协议、密钥交换和用于验证及加密的一些算法等。 IPsec可提供安全服务 数据加密IPsec协议使用加密技术对数据进行加密确保数据在传输过程中的机密性。它提供了两种加密方式ESPEncapsulating Security Payload和AHAuthentication Header。ESP协议负责数据的加密而AH协议则提供数据的完整性校验和源验证功能。通过这些加密技术IPsec可以保护TCP/IP协议簇中传输的数据防止数据被窃取或篡改。认证机制IPsec协议提供了认证机制用于验证数据的完整性和来源。AH协议通过在每个数据包中添加一个认证头来实现这一功能。认证头包含了用于验证数据完整性的哈希值和用于验证数据来源的公钥或预共享密钥。通过验证认证头接收方可以确保接收到的数据是完整且来自可信的发送方。防止重放攻击IPsec协议通过使用序列号和时间戳来防止重放攻击。每个IPsec数据包都包含一个唯一的序列号接收方可以检查序列号的连续性来识别重放的数据包。此外时间戳也可以用来验证数据包的时效性确保数据包不是在过去某个时间截取的。访问控制IPsec协议支持访问控制功能可以根据策略规则来允许或拒绝特定的通信连接。通过配置IPsec策略可以实现基于源IP地址、目标IP地址、端口号等条件的访问控制增强网络的安全性。
三.IPsec协议簇 AH算法 DH算法的基本原理涉及以下步骤
Alice和Bob首先同意使用一个大的质数p和它的原根g。这两个数是公开的不需要保密。Alice选择一个私有的随机数x并计算X | g^x | /P (图中8)。她将X发送给Bob。Bob选择一个私有的随机数y并计算Y | g^y | / p (图中4 )他将B发送给Alice。Alice计算共享密钥Z |Y^x | /p(图中9)而Bob计算共享密钥S |X^y |/p图中9。
假设图中需要传输的内容为X8 Y4 以及公开数 g p以上为黑客能够知道的所有信息即使黑客知道共享密钥的算法如Z |Y^x | /p 如果黑客不知道x则无法算出共享密钥而x未经过传输是私有数因此黑客无法获知共享密钥。 IPsec的两种工作模式
注不同的工作模式代表不同的数据包封装方式
传输模式 封装方式不改变原有的IP头部在原始IP包头包头后面插入IPsec包用于将原来的数据封装成被保护的数据网络层传输层应用层数据。应用场景用于私网内部主机与主机之间通信;(原始IP包头未加密有安全隐患)
隧道模式 封装方式在原始IP包人前插入一个IPsec包头原始IP包头作为载荷的一部风受到IPSec保护。
应用场景经常用于私网与私网之间跨越公网通信建立安全的 VPN通道。
IPsec的安全协议
AH 协议:鉴别头协议
AHAuthentication Header协议是一种为IP数据包提供数据完整性验证和数据源身份认证的安全协议。协议号51
AH提供的安全服务 数据源验证AH协议通过验证数据包的完整性和身份来确保数据来自可信的源。它使用公钥加密或预共享密钥来对数据包进行加密和签名以验证发送方的身份和数据包的完整性。 数据完整性校验AH协议使用哈希算法如MD5或SHA-1来计算数据包的哈希值并将该哈希值附加在数据包的AH头认证数据字段中。接收方在接收到数据包后使用相同的哈希算法重新计算哈希值并与数据包中的哈希值进行比较以验证数据包的完整性。 防报文重放AH协议通过序列号和时间戳等机制来防止重放攻击。每个AH数据包都包含一个唯一的序列号接收方可以检查序列号的连续性来识别重放的数据包。此外时间戳也可以用来验证数据包的时效性确保数据包不是在过去某个时间截取的。
AH协议身份验证过程如下
发送方生成一个身份验证值使用共享密钥和AH头部中的其他字段进行计算。发送方将生成的身份验证值填充到AH头部的身份验证数据字段中。发送方将AH头部添加到待发送的IP包中并将IP包发送给接收方。接收方使用相同的共享密钥和接收到的IP包中的AH头部字段计算一个身份验证值。接收方将计算得到的身份验证值与接收到的IP包中的AH头部中的身份验证数据字段进行比较。如果两者相等则验证成功否则验证失败。
AH报文 Next Header指定AH头后面的协议头类型例如ESP、TCP或UDP等。
Payload Length表示AH头后面的数据负载长度不包括AH头本身。
Reserved保留字段通常为0。
Security Parameters Index (SPI)安全参数索引用于标识通信双方需要协商的安全参数。如工作模式类型协议类型
Sequence Number序列号用于防止重放攻击和数据包的乱序到达。
Authentication Data认证数据包含了用于验证数据完整性和身份的哈希值。
传输模式AH封装范围 隧道模式下AH封装范围 ESP协议封装安全载荷协议 ESPEncapsulating Security Payload协议是IPsec协议族中的一个重要组件主要用于为IP数据包提供加密、数据源认证、数据完整性校验和防报文重放等功能。与AH协议不同ESP协议主要关注数据的机密性通过加密技术来保护数据的内容不被泄露。协议号50
ESP提供的安全服务
数据机密性保护ESP协议使用对称加密算法如DES、3DES、AES等对IP数据包的内容进行加密确保数据在传输过程中不被未授权访问。加密后的数据以密文形式传输只有拥有正确密钥的接收方才能解密并获取原始数据。这提供了数据的机密性保护防止了数据的泄露和非法获取。数据源认证ESP协议还提供了数据源认证功能用于验证数据包的来源。这通过使用公钥加密或预共享密钥来生成认证标签通常是哈希值实现。发送方在生成ESP报文时会将认证标签附加在ESP尾中。接收方收到报文后会使用相同的密钥和算法重新计算认证标签并与报文中的标签进行比较。如果两者一致则说明数据包来自可信的发送方没有被篡改。数据完整性校验ESP协议使用哈希算法如MD5或SHA-1来计算数据包的哈希值并将其附加在ESP尾中。这个哈希值用于校验数据包的完整性确保数据在传输过程中没有被篡改。接收方在收到数据包后会使用相同的哈希算法重新计算哈希值并与报文中的哈希值进行比较。如果哈希值一致则说明数据包的内容没有被篡改保持了数据的完整性。防报文重放ESP协议通过序列号机制来防止报文的重放攻击。每个ESP数据包都包含一个唯一的序列号接收方可以检查序列号的连续性来识别重放的数据包。这种机制确保了每个数据包都是新鲜的没有被重复发送从而防止了重放攻击。 注意ESP尾部主要目的是进行数据的填充。因为数据进行加密主要使用的对称加密算 法而其中分组加密需要针对固定长度的分组进行加密如果最后分组的长度不足 则需要填充。满足加密的条件。还有就是下一头部因为包含数据信息所以也放在 尾部进行保护因为负载部分和尾部部分是会进行加密的。 ESP在传输模式下封装 ESP在隧道模式下封装 AH与ESP对比 AHESP报文
传输模式 隧道模式 四.IPsec建立过程
安全联盟SA IPsec中的安全联盟SA是确保IP通信安全的关键组件由SPI作为唯一标识它提供了通信对等体之间关于如何安全地交换数据的协定。通过正确配置和管理SAIPsec能够提供强大的安全保护包括数据加密、完整性验证和身份认证等从而确保数据的机密性、完整性和可靠性。
SA特点
安全联盟SA是IPSec提供安全服务数据流的一个单向逻辑关系。因为SA是单向的所以对于双向通信需要两个SA。SA是通信对等方之间对某些要素的一种协定这些要素包括使用何种安全协议、需要保护的数据流特征、传输的数据的封装模式、协议采用的加密和验证算法以及用于数据安全转换、传输的密钥和SA的生存周期等。在IPSec对等体即运行IPSec协议的两个端点之间成功建立安全联盟后IPSec可以对传输的数据进行加密和/或完整性验证以确保数据的安全性。每个SA都由一个三元组来唯一标识这个三元组包括安全参数索引SPI、目的IP地址和使用的安全协议号如AH或ESP。
手工建立SA
动态建立SA
IKE协议产生背景
IPsec保护数据包的前提是建立安全联盟SA手工配置繁琐且易错
IKE协议用途
IKE用于动态地建立和管理IPsec SA负责进行密钥交换和协商以生成用于IPsec加密和认证的密钥 IKE工作过程
阶段一:使用DH算法获得能够加密通信双方建立SA过程中需要协商参数的密钥并建立IKE SA双向通道用于双方身份认证。点击此处了解DH算法阶段二基于已建立的安全通道来协商IPsec SA的安全参数 阶段一协商过程 主模式协商 IP地址作为身份标识 第二次交换(消息3和消息4)
1NINr--- 代表的是随机数2XY --- DH算法中需要公开的参数
第三次交换消息5和6对等体验证
ISAKMP/IKE阶段1主要任务就是认证第三阶段即在安全的环境下进行认证前面两个步骤四个数据包的传输都是为了第三阶段第5和第6个数据包交换的认证做铺垫。第1-2包交换为认证准备好策略例如认证策略、加密策略和散列函数等第3-4包交换为保护5-6的安全算法提供密钥资源。
野蛮模式 阶段二
基于已经建立的安全通道来协商建立IPSEC SA的安全参数完成后则标 志着IPSEC SA的建立。---快速模式Quickmode---UDP 500 需要协商的安全参数
加密算法---正式传输数据时使用的加密算法加密算法协商完成后会计算密钥第一阶段计算出来的推导密钥会加入到该密钥的计算中HASH算法--- 正式传输数据时进行完整性校验的算法安全协议---AH/ESP 封装模式---传输模式/隧道模式 存活时间
VPN黑洞
隧道建立之后如果其中一段的设备异常重启另一端还在有效期内则他发 送的数据将有去无回就形成了VPN黑洞。 解决方法---DPD死亡对等体检测。 类似于心跳检测机制---采用空闲计时器原理---两边同时开启一个固定时间的计时 器期间数据值直接发过去如果计时器超时则数据发送前先发送一个DPD检测 报文如果收到对方的DPD应答报文则将重置计时器。如果没有收到并且连续 5次都没有收到则将拆掉安全通道。 总结
提示这里对文章进行总结 例如以上就是今天要讲的内容本文仅仅简单介绍了pandas的使用而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。
