欢迎光临云杰官网,本公司为企业提供企业专线网络、MPLS-VPN、SD-WAN、云专线等企业网络接入服务。

云杰通信

10年专注企业网络综合解决方案
国内行业十佳诚信企业、质量、服务

全国咨询热线136-3177-9516

行业知识

行业知识
当前位置:首页 > 新闻动态 > 行业知识

IPsec中AH协议和ESP协议

发布时间:2020-10-20 17:16:12来源:

IPsec中AH协议和ESP协议

  AH(Authentication Header)是报文验证头协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能_,可选择的散列算法有MD5(Message Digest ),SHA1(Secure Hash Algorithm)等。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。AH采用了hash算法来对数据包进行保护。AH没有对用户数据进行加密_。

  ESP(Encapsulating Security Payload)是报文安全封装协议,ESP将需要保护的用户数据进行加密后再封装到IP包中,证数据的*完整性、真实性和私有性_。 可选择的加密算法有DES,3DES等。

  AH协议

  AH协议通过使用带密钥的验证算法,对受保护的数据计算摘要。通过使用数据完整性检查,可判定数据包在传输过程中是否被修改;通过使用认证机制,终端系统或网络设备可对用户或应用进行认证,过滤通信流;认证机制还可防止地址欺骗攻击及重放攻击。

  在使用AH协议时,AH协议首先在原数据前生成一个AH报文头,报文头中包括一个递增的序列号(Sequence number)与验证字段(空)、安全参数索引(SPI)等。AH协议将对新的数据包进行离散运算,生成一个验证字段(authentication data),填入AH头的验证字段。AH协议目前提供了两种散列算法可选择,分别是:MD5和SHA1,这两种算法的密钥长度分别是128bit和160bit。

  AH协议使用32比特序列号结合防重放窗口和报文验证来防御重放攻击。

  在传输模式下,AH协议验证IP报文的数据部分和IP头中的不变部分。

  在隧道模式下, AH协议验证全部的内部IP报文和外部IP头中的不变部分。

  ESP协议

  ESP协议将用户数据进行加密后封装到IP包中,以保证数据的私有性。同时作为可选项,用户可以选择使用带密钥的哈希算法保证报文的完整性和真实性。ESP的隧道模式提供了对于报文路径信息的隐藏。

  在ESP协议方式下,可以通过散列算法获得验证数据字段,可选的算法同样是MD5和SHA1。与AH协议不同的是,在ESP协议中还可以选择加密算法,一般常见的是DES、3DES等加密算法。加密算法要从SA中获得密钥,对参加ESP加密的整个数据的内容进行加密运算,得到一段新的“数据”。完成之后,ESP将在新的“数据”前面加上SPI字段、序列号字段,在数据后面加上一个验证字段和填充字段等。

  ESP协议使用32比特序列号结合防重放窗口和报文验证,防御重放攻击

  在传输模式下,ESP协议对IP报文的有效数据进行加密(可附加验证)。

  在隧道模式下,ESP协议对整个内部IP报文进行加密(可附加验证)。

用手机看
IPsec中AH协议和ESP协议

拍下二维码,信息随身看

试试用手机扫一扫,
在你手机上继续观看此页面。