【web安全】IPSec 传输模式下 ESP 报文的装包与拆包过程

小编 2026-07-01 阅读:1823 评论:0
【web安全】IPSec 传输模式下 ESP 报文的装包与拆包过程 1、什么是IPSec 互联网安全协定(英语:Internet Protocol Security,缩写为 IPsec),是透...

【web安全】IPSec 传输模式下 ESP 报文的装包与拆包过程

1、什么是IPSec

互联网安全协定(英语:Internet Protocol Security,缩写为 IPsec),是透过对IP协议(互联网协议)的分组进行加密和认证来保护IP协议的网络传输协议族(一些相互关联的协议的集合)。

IPsec由两大部分组成:(1)建立安全分组流的密钥交换协议;(2)保护分组流的协议。前者为互联网金钥交换(IKE)协议。后者包括加密分组流的封装安全载荷协议(ESP协议)或认证头协议(AH协议)协议,用于保证数据的机密性、来源可靠性(认证)、无连接的完整性并提供抗重播服务。

2、什么是ESP

ESP是封装安全载荷(Encapsulate Security Payload)的英文缩写.

ESP属于IPSec的一种协议,ESP提供机密性、数据起源验证、无连接的完整性、抗重播服务和有限业务流机密性。该协议能够在数据的传输过程中对数据进行完整性度量,来源认证以及加密,也可以防止回放攻击。所以ESP协议相比AH协议来说功能更加完善。

传输模式,这是IPsec工作的两种方式之一。与隧道模式不同,当IPsec工作在传输模式时,新的IP头并不会被生成,而是采用原来的IP头,保护的也仅仅是真正传输的数据,而不是整个IP报文。在处理方法上,原来的IP报文会先被解开,再在数据前面加上新的ESP或AH协议头,最后再装回原来的IP头,即原来的IP包被修改过再传输。

3、 装包过程

\"在这里插入图片描述\"

  1. 将原本的IP报文拆开成IP头和报文数据。
  2. 对报文数据添加尾部(ESP trailer)信息。
  3. 尾部包含三部分。
    1. 由于所选的加密算法可能是块加密,所以当最后一块长度不够时,需要进行填充(padding)
    2. 附上填充长度(padding lenght)方便解包时顺利找出用来填充的那一段数据。
    3. Next header用来表明被加密的数据报文类型,如TCP
  4. 加密填充后的报文数据。
  5. 为第4步得到的加密数据添加ESP头部。
  6. ESP头由两部分组成,SPI和seq#(Sequence number)。加密数据与ESP头合称为“enchilada”。
  7. 附加完整性度量结果(ICV,Integrity check value)。对第4步得到的“enchilada”做摘要,得到一个完整性度量值,并附在ESP报文的尾部(即图中的ESP MAC。
  8. 获得原本的ip头,并将协议类型改为50,说明它里面装的是一个 IPsec 报文。

4、拆包过程

  1. 收到数据报文后,发现协议类型是50,故知道这是一个IPsec包。首先查看ESP 头, 通过里面的SPI决定数据报文所对应的SA,获得对应的模式 (tunnel/transport mode) 以及安全规范。
  2. 计算“enchilada”部分的摘要,与附在末尾的ICV做对比,如果一样的话说明数据是完整的。否则可以断定所收到的报文已经不是原来的报文了。
  3. 检查Seq#里的顺序号,保证数据是“新鲜”的。
  4. 根据SA所提供的加密算法和密钥,解密被加密过的数据,即“enchilada”。得到原IP报文与ESP尾部(trailer)。
  5. 根据ESP尾部里的填充长度信息,我们可以找出填充字段的长度,删去后就得到原来的IP报文。
  6. 最后转让到一个高一级的协议层—比如TCP或 UDP—由它们对这个包进行处理。
版权声明

本文仅代表作者观点,不代表百度立场。
本文系作者授权百度百家发表,未经许可,不得转载。

热门文章
  • Sequential Monte Carlo Methods (SMC) 序列蒙特卡洛/粒子滤波/Bootstrap Filtering

    Sequential Monte Carlo Methods (SMC) 序列蒙特卡洛/粒子滤波/Bootstrap Filtering
    Problem Statement 我们考虑一个具有马尔可夫性质、非线性、非高斯的状态空间模型(State Space Model):对于一个时间序列上的观测结果{yt,t∈N}\\{ y_t , t \\in N \\}{yt​,t∈N},我们认为每个观测结果yty_tyt​的生成依赖于一个无法直接观察的隐变量xt∈{xt,t∈N}x_t \\in \\{x_t , t \\in N \\}xt​∈{xt​,t∈N},即:p(...
  • 机房智能化温湿度解决方式之POE供电以太网温湿度传感器

    机房智能化温湿度解决方式之POE供电以太网温湿度传感器
    机房智能化温湿度解决方式之POE供电以太网温湿度传感器 北京盈创力和电子科技有限公司 智能型TCP网口温湿度记录仪 北京IP网络温湿度记录仪厂家,北京盈创力和 北京智能型TCP网口温湿度记录仪IP网络温湿度记录仪是一种新型的基于TCP/IP协议双绞线以太网标准温湿度采集模块,利用它可以实现现场温度值、相对湿度值的采集,同时利用其自身的RJ45通信接口可以方便地和机房监控主机或交换机集线器进行联网。 工作于-40℃~85℃工业级带...
  • Hive 系统函数及示例

    Hive 系统函数及示例
    查看所有系统函数 show functions; 函数分类 内置函数【系统函数】 数学函数: floor、round、ceil、cos、log2等 字符串函数: length、reverse、trim、lower、get_json_object、repeat等 收集函数: size 转换函数: cast 日期函数: year、month、datediff、date、date_add等 条件函数: coalesce、case…w...
  • CSRF的原理和防范措施

    CSRF的原理和防范措施
    a)攻击原理:i.用户C访问正常网站A时进行登录,浏览器保存A的cookieii.用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指定的参数iii.而攻击网站B在访问网站A的时候,浏览器会自动带上网站A的cookieiv.所以网站A在接收到请求之后可判断当前用户是登录状态,所以...
  • HTTP状态保持的原理

    HTTP状态保持的原理
    a)在用户登录之后,浏览器返回响应的时候会在响应中添加上cookieb)浏览器接收到cookie之后会自动保存c)当用户再次请求同一服务器中的其他网页的时候,浏览器会自动带上之前保存的cookied)服务接收到请求之后可以请 request 对象中取到cookie 判断当前用户是否登录  Http是无状态的,就是连接时数据互通,关闭后...
标签列表