IPSec及IKE原理

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,IPSec,及,IKE,原理,课程内容,第一章,IPSec,第二章,IKE,IPSec,IPSec,（,IP Security,）是,IETF,制定的为保证在,Internet,上传送数据的安全保密性能的框架协议,IPSec,包括报文验证头协议,AH,（协议号,51,）和报文安全封装协议,ESP,（协议号,50,）两个协议,IPSec,有隧道（,tunnel,）和传送（,transport,）两种工作方式,IPSec,的组成,IPSec,提供两个安全协议,AH(Authentication Header),报文认证头协议,MD5(Message Digest 5),SHA1(Secure Hash Algorithm),ESP(Encapsulation Security Payload),封装安全载荷协议,DES(Data Encryption Standard),3DES,其他的加密算法：,Blowfish,，,blowfish,、,cast,IPSec,的安全特点,数据机密性（,Confidentiality,）,数据完整性（,Data Integrity,）,数据来源认证（,Data Authentication,）,反重放（,Anti-Replay,）,IPSec,基本概念,数据流,(Data Flow),安全联盟,(Security Association),安全参数索引,(Security Parameter Index),安全联盟生存时间,(Life Time),安全策略,(Crypto Map),转换方式,(Transform Mode),AH,协议,数据,IP,包头,数据,IP,包头,AH,数据,原,IP,包头,AH,新,IP,包头,传输模式,隧道模式,下一个头,负载长度,保留域,安全参数索引,(SPI),序列号,验证数据,AH,头结构,0,8,16,31,ESP,协议,数据,IP,包头,加密后的数据,IP,包头,ESP,头部,ESP,头,新,IP,包头,传输模式,隧道模式,ESP,尾部,ESP,验证,ESP,尾部,ESP,验证,0,8,16,24,安全参数索引,(SPI),序列号,有效载荷数据（可变）,填充字段,(0-255,字节）,填充字段长度,下一个头,验证数据,ESP,协议包结构,数据,原,IP,包头,加密部分,课程内容,第一章,IPSec,第二章,IKE,IKE,IKE,（,Internet Key Exchange,，因特网密钥交换协议）,为,IPSec,提供了自动协商交换密钥、建立安全联盟的服务,通过数据交换来计算密钥,IKE,的安全机制,完善的前向安全性,数据验证,身份验证,身份保护,DH,交换和密钥分发,IKE,的交换过程,SA,交换,密钥交换,ID,交换及验证,发送本地,IKE,策略,身份验证和,交换过程验证,密钥生成,密钥生成,接受对端,确认的策略,查找匹配,的策略,身份验证和,交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,DH,交换及密钥产生,a,c=g,a,modp,d,a,modp,peer2,peer1,b,d=g,b,modp,c,b,modp,d,a,modp=c,b,modp=g,ab,modp,(g,p),IKE,在,IPSec,中的作用,降低手工配置的复杂度,安全联盟定时更新,密钥定时更新,允许,IPSec,提供反重放服务,允许在端与端之间动态认证,IPSec,与,IKE,的关系,IKE,TCP,UDP,IPSec,IKE,TCP,UDP,IPSec,加密的,IP,报文,IP,IKE,的,SA,协商,SA,SA,课程结束 谢谢,