IPSec报文格式
网络协议报文格式大全http://bbs.hh010.com/thread-531884-1-1.html
(出处: 鸿鹄论坛)
IPSec报文格式IPSec协议族是IETF(Internet Engineering Task Force)制定的一系列协议,它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。IPSec通过认证头AH(Authentication Header,协议号51)和封装安全载荷ESP(Encapsulating Security Payload)这两个安全协议来实现。AH可提供数据源验证和数据完整性校验功能;ESP除可提供数据验证和完整性校验功能外,还提供对IP报文的加密功能。IPSec协议有两种封装模式:
[*]传输模式。在传输模式下,AH或ESP被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。
[*]隧道模式。在隧道模式下,AH或ESP插在原始IP头之前,另外生成一个新IP头放到AH或ESP之前。
传输模式用于两台主机之间的通讯,或者是一台主机和一个安全网关之间的通讯。在传输模式下,对报文进行加密和解密的两台设备本身必须是报文的原始发送者和最终接收者。通常,在两个安全网关(路由器)之间的数据流量,绝大部分都不是安全网关本身的通讯量,因此在安全网关之间一般不使用传输模式,而总是使用隧道模式。在一个安全网关被加密的报文,只有另一个安全网关能够解密。因此必须对IP报文进行隧道封装,即增加一个新的IP头,进行隧道封装后的IP报文被发送到另一个安全网关,才能够被解密。报文格式图1 AH封装及头部格式
http://www.023wg.com/message/message/image/ipsec-ah-header.png
字段长度描述
Next Header8比特表示认证头部之后的下一个负载。
Payload Len8比特AH的长度减2,4字节为计数单位。例如,有个96比特的认证值,长度将是"4"(即头部固定的3个4字节 + ICV的3个4字节 - 2)。对于IPv6,头部总长度必须为8字节的倍数。
RESERVED16比特预留将来使用。必须置0,接收时忽略。
Security Parameters Index32比特用于给报文接收端识别SA
Sequence Number Field32比特序列号,每发送一个报文,计数加1,例如每发一个SA报文序列号增加1。
Integrity Check Value-ICV变长报文的ICV字段,可变长度,长度必须为32比特的整数倍。
图2 ESP封装及头部格式
http://www.023wg.com/message/message/image/ipsec-esp-header.png
字段长度描述
Security Parameters Index32比特安全参数索引。
Sequence Number32比特序列号。
Payload Data*变长有效载荷数据(可变)。
Padding0–255字节填充字段。
Pad Length8比特填充字段长度。
Next Header8比特下一个头。
Integrity Check Value-ICV变长验证数据。
图3 AH和ESP协议组合使用
http://www.023wg.com/message/message/image/ipsec-ah_esp-header.png
因特网密钥交换协议IKE(Internet Key Exchange)是IPSEC的信令协议。图4 IKE Header Format
http://www.023wg.com/message/message/image/ipsec-ike-header.png
字段长度描述
IKE_AS Initiator's SPI8 bytes发送者用来唯一标识一个IKE安全联盟,该值不能设置为0。
IKE_AS Responder's SPI8 bytes应答者用来唯一标识一个IKE安全联盟,对于IKE初始交互的消息该值必须为0,其他消息不能为0。
Next Payload1 byte仅随头部之后的负载的类型。
MjVer4 bits标识所使用的IKE协议的最大版本。
MnVer4 bits标识所使用的IKE协议的最小版本。
Exchange Type1 byte
[*]0-33: RESERVED
[*]34: IKE_SA_INIT
[*]35: IKE_AUTH
[*]36: CREATE_CHILD_SA
[*]37: INFORMATIONAL
[*]38-239: RESERVED TO IANA
[*]240-255: Reserved for private use.
Flags1 byte消息中设置的特定选项。如果Flag域置位表示带有选项。
[*]X(reserved) (bits 0-2) - 发送时必须清0,接收时忽略。
[*]I(nitiator) (bit 3 of Flags) - IKE_SA原始发送者在发送消息是必须将此位置1,源回应者发送的消息必须清零。
[*]V(ersion) (bit 4 of Flags) - 标识转发者支持的版本比Major字段标识的版本更高 IKEv2版本的实现中,此比特必须置0,接收时忽略。
[*]R(esponse) (bit 5 of Flags) - 标识此消息是对相同Message-ID的消息的一个回应消息。所有请求消息中此位需置0,所有回应消息置1。
[*]X(reserved) (bits 6-7 of Flags) - 发送时需置0,接收时忽略。
Message ID4 bytes消息标识符,用来对请求消息和呼应消息的匹配,以便控制丢弃消息的重复发送。这在抑制重放攻击时对保障协议的安全性很关键。
Length4 bytes整个消息的长度(报文头+负荷),以字节为单位。
Next Payload1 byte标识消息中的下一个负载的类型。如果当前的负载是消息的最后一个,则此字段置0。
[*]0: No Next Payload
[*]1-32: RESERVED
[*]33: Security Association (SA)
[*]34: Key Exchange (KE)
[*]35: Identification - Initiator (IDi)
[*]36: Identification - Responder (IDr)
[*]37: Certificate (CERT)
[*]38: Certificate Request (CERTREQ)
[*]39: Authentication (AUTH)
[*]40: Nonce (Ni, Nr)
[*]41: Notify (N)
[*]42: Delete (D)
[*]43: Vendor ID (V)
[*]44: Traffic Selector - Initiator (TSi)
[*]45: Traffic Selector - Responder (TSr)
[*]46: Encrypted (E)
[*]47: Configuration (CP)
[*]48: Extensible Authentication (EAP)
[*]49-127: RESERVED TO IANA
[*]128-255: PRIVATE USE
C (Critical)1 bit
[*]如果发送者想让接收者在无法识别当前一个负载的Next Payload域是能够跳过此域,可将此位置0。
[*]如果接收者能够识别负载的类型代码,则忽略此位。
[*]负载类型为以下情况时,此位必须设置为0。
[*]Security Association (SA)
[*]Key Exchange (KE)
[*]Identification - Initiator (IDi)
[*]Identification - Responder (IDr)
[*]Certificate (CERT)
[*]Certificate Request (CERTREQ)
[*]Authentication (AUTH)
[*]Nonce (Ni, Nr)
[*]Notify (N)
[*]Delete (D)
[*]Vendor ID (V)
[*]Traffic Selector - Initiator (TSi)
[*]Traffic Selector - Responder (TSr)
[*]Encrypted (E)
[*]Configuration (CP)
[*]Extensible Authentication (EAP)
注意,C比特应用于当前负载,而不是下一个负载。
RESERVED7 bits发送时必须置0,接收时忽略。
Payload Length2 bytes当前负载的长度,包括通用负载的头部,以字节为单位。
参考标准
标准描述
RFC 4302IP Authentication Header
RFC 4303IP Encapsulating Security Payload (ESP)
RFC 4306Internet Key Exchange (IKEv2) Protocol
感謝版主! 小乔,太给力了 ddddddddddddddddddddd
页:
[1]