您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > IPSec及IKE原理
IPSec及IKE原理课程内容第一章IPSec第二章IKEIPSecIPSec(IPSecurity)是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH(协议号51)和报文安全封装协议ESP(协议号50)两个协议IPSec有隧道(tunnel)和传送(transport)两种工作方式IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES其他的加密算法:Blowfish,blowfish、cast…IPSec的安全特点数据机密性(Confidentiality)数据完整性(DataIntegrity)数据来源认证(DataAuthentication)反重放(Anti-Replay)IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略(CryptoMap)转换方式(TransformMode)AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据(可变)填充字段(0-255字节)填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分课程内容第一章IPSec第二章IKEIKEIKE(InternetKeyExchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASA
本文标题:IPSec及IKE原理
链接地址:https://www.777doc.com/doc-1820208 .html