《IPSec及IKE原理.ppt》由会员分享,可在线阅读,更多相关《IPSec及IKE原理.ppt(16页珍藏版)》请在三一办公上搜索。
1、IPSec及IKE原理,课程内容,第一章 IPSec第二章 IKE,IPSec,IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议IPSec有隧道(tunnel)和传送(transport)两种工作方式,IPSec 的组成,IPSec 提供两个安全协议AH(Authentication Header)报文认证头协议 MD5(Message Digest 5)SHA1(Secure Hash Algorithm)ESP(Encapsulation
2、 Security Payload)封装安全载荷协议 DES(Data Encryption Standard)3DES 其他的加密算法:Blowfish,blowfish、cast,IPSec 的安全特点,数据机密性(Confidentiality)数据完整性(Data Integrity)数据来源认证(Data Authentication)反重放(Anti-Replay),IPSec 基本概念,数据流(Data Flow)安全联盟(Security Association)安全参数索引(Security Parameter Index)安全联盟生存时间(Life Time)安全策略(Cr
3、ypto Map)转换方式(Transform Mode),AH协议,数据,IP 包头,数据,IP 包头,AH,AH,新IP 包头,传输模式,隧道模式,AH头结构,0,8,16,31,ESP 协议,数据,IP 包头,加密后的数据,IP 包头,ESP头部,ESP头,新IP 包头,传输模式,隧道模式,ESP尾部,ESP验证,ESP尾部,ESP验证,ESP协议包结构,课程内容,第一章 IPSec第二章 IKE,IKE,IKE(Internet Key Exchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥,IKE的安全机制,完善的前向安全性
4、数据验证身份验证身份保护DH交换和密钥分发,IKE的交换过程,SA交换,密钥交换,ID交换及验证,发送本地IKE策略,身份验证和交换过程验证,密钥生成,密钥生成,接受对端确认的策略,查找匹配的策略,身份验证和交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,DH交换及密钥产生,a,c=gamodp,damodp,peer2,peer1,b,d=gbmodp,cbmodp,damodp=cbmodp=gabmodp,(g,p),IKE在IPSec中的作用,降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证,IPSec 与IKE的关系,IKE,IPSec,IKE,IPSec,IKE的SA协商,SA,SA,
