竭诚为您提供优质文档/双击可除
ah协议与esp协议
篇一:ipsec中ah与esp安全协议 ipsec中ah与esp安全协议
ipsec使用两种协议来提供通信安全――认证头标(ah)和封装安全净载(esp)。两种安全协议都分为隧道模式和传输模式。传输模式用在主机到主机的ipsec通信,隧道模式用在其它任何方式的通信。 认证头标(ah)提供:
1.数据源鉴别认证联合数据完整性保护及在发送接收端使用共享密钥来保证身份的真实性。2.数据完整性保护 通过对数据包长度进行单向散列算法计算进行保护,使用md5或sha-1算法。在ah的传输模式下,ah散列算法计算范围是整个数据包(包括ip报头)中在传输过程中不改变的所有域。ah包头被插入在ip报头之后,esp报头(如果有)和其它高层协议之前。
在ah的隧道模式下,ah散列算法计算整个原始数据包,并产生一个新的ip报头(新ip报头也在计算范围内,除易变字段)。ah包头被插入在新ip报头之后。3.可选的防重放
第 1 页 共 15 页
保护
通过要求接收方在报头中设置重发比特位以表明包已被看到。
封装安全净载(esp)提供: 1.私密性(加密)
在ip层通过对数据包进行加密来提供私密性。缺省使用des,cisco还提供3des加密。3des加密强度是des的2倍。
在esp传输模式下,只有ip净载被加密(不包括ip报头、esp报头),esp报头被插入在ip报头之后、上层协议报头之前。
在esp隧道模式下,整个ip数据包被加密(不包括esp报头),并产生一个新的ip报头,esp报头被插入在新ip报头之后。
在esp中,先进行加密后进行鉴别。(防止dos攻击时更快)2.有限的数据源鉴别认证
联合数据完整性保护及在发送接收端使用共享密钥来保证身份的真实性。(只有在esp的隧道模式下可以对加密后的ip报头进行鉴别)3.数据完整性保护
esp通过可选的鉴别域来提供数据包鉴别服务(hmac),使用md5和sha-1算法。
在esp传输模式下,散列算法计算范围是ip净载及esp
第 2 页 共 15 页
报头,ip报头不被鉴别。在esp隧道模式下,散列算法计算范围是整个ip数据包及esp报头,新ip报头不被鉴别。 4.可选的防重放保护
通过要求接收方在报头中设置重发比特位以表明包已被看到。
篇二:ipsec中esp、ah协议的区别 文章一:ipsec中安全协议esp、ah精解 esp的协议号为50 ah协议号为51 一、esp详解
(一)esp提供:confidentiality,dataintegrity,optionaldataoriginauthentication,anti-replayservices (二)esp结构为:
1、securityparameterindex(spi) 2、sequencenumber
3、payloaddata(Variable) 4、padding(0-255)bytes 5、padlength 6、Reporthandler
7、authenticationdata(varaible) spi:
第 3 页 共 15 页
ah协议与esp协议



