IPSec及IKE原理

1、ipsec及ike原理,課程內(nèi)容,第一章 ipsec 第二章 ike,ipsec,ipsec（ip security）是ietf制定的為保證在internet上傳送數(shù)據(jù)的安全保密性能的框架協(xié)議 ipsec包括報(bào)文驗(yàn)證頭協(xié)議ah（協(xié)議號(hào)51） 和報(bào)文安全封裝協(xié)議esp（協(xié)議號(hào)50）兩個(gè)協(xié)議 ipsec有隧道（tunnel）和傳送（transport）兩種工作方式,ipsec 的組成,ipsec 提供兩個(gè)安全協(xié)議 ah (authentication header)報(bào)文認(rèn)證頭協(xié)議 md5(message digest 5) sha1(secure hash algorithm) esp (enca

2、psulation security payload)封裝安全載荷協(xié)議 des (data encryption standard) 3des 其他的加密算法：blowfish ，blowfish、cast,ipsec 的安全特點(diǎn),數(shù)據(jù)機(jī)密性（confidentiality） 數(shù)據(jù)完整性（data integrity） 數(shù)據(jù)來(lái)源認(rèn)證 （data authentication） 反重放（anti-replay,ipsec 基本概念,數(shù)據(jù)流 (data flow) 安全聯(lián)盟 (security association) 安全參數(shù)索引 (security parameter index) 安全聯(lián)盟生

3、存時(shí)間 (life time) 安全策略 (crypto map) 轉(zhuǎn)換方式(transform mode,ah協(xié)議,數(shù)據(jù),ip 包頭,數(shù)據(jù),ip 包頭,ah,ah,新ip 包頭,傳輸模式,隧道模式,ah頭結(jié)構(gòu),0,8,16,31,esp 協(xié)議,數(shù)據(jù),ip 包頭,加密后的數(shù)據(jù),ip 包頭,esp頭部,esp頭,新ip 包頭,傳輸模式,隧道模式,esp尾部,esp驗(yàn)證,esp尾部,esp驗(yàn)證,esp協(xié)議包結(jié)構(gòu),課程內(nèi)容,第一章 ipsec 第二章 ike,ike,ike（internet key exchange，因特網(wǎng)密鑰交換協(xié)議） 為ipsec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù) 通過(guò)

4、數(shù)據(jù)交換來(lái)計(jì)算密鑰,ike的安全機(jī)制,完善的前向安全性 數(shù)據(jù)驗(yàn)證 身份驗(yàn)證 身份保護(hù) dh交換和密鑰分發(fā),ike的交換過(guò)程,sa交換,密鑰交換,id交換及驗(yàn)證,發(fā)送本地 ike策略,身份驗(yàn)證和 交換過(guò)程驗(yàn)證,密鑰生成,密鑰生成,接受對(duì)端 確認(rèn)的策略,查找匹配 的策略,身份驗(yàn)證和 交換過(guò)程驗(yàn)證,確認(rèn)對(duì)方使用的算法,產(chǎn)生密鑰,驗(yàn)證對(duì)方身份,發(fā)起方策略,接收方確認(rèn)的策略,發(fā)起方的密鑰生成信息,接收方的密鑰生成信息,發(fā)起方身份和驗(yàn)證數(shù)據(jù),接收方的身份和驗(yàn)證數(shù)據(jù),peer1,peer2,dh交換及密鑰產(chǎn)生,a,c=gamodp,damodp,peer2,peer1,b,d=gbmodp,cbmodp,damodp= cbmodp=gabmodp,g ,p,ike在ipsec中的作用,降低手工配置的復(fù)雜度 安全聯(lián)盟定時(shí)更新 密鑰定時(shí)更新 允許ipsec提供