15-IP安全性.pptVIP

* 华中农业大学信息学院 * IPSec实现 实现形式 与IP协议栈紧密集成，直接修改协议栈，既适用于主机模式，也适用于安全网关 若无法修改协议栈 (1)BITS ( Bump-in-the-stack) 位于IP协议栈和网络驱动程序之间 (2)BITW (Bump-in-the-wire) 外置加密设备，通常是可IP寻址的 * 华中农业大学信息学院 * IPSec密钥管理 包括密钥的确定和分配 典型的需求是两个应用需要4个密钥：针对发送和接收的AH和ESP 两种管理方式： 手工 自动 自动密钥管理协议 ISAKMP/Oakley ISAKMP/IKE 作用：在IPSec通信双方之间，建立起共享安全参数及验证过的密钥（建立“安全关联”）. * 华中农业大学信息学院 * ISAKMP ISAKMP: Internet Security Association and Key Management Protocol RFC 2408 是一个针对认证和密钥交换的框架 框架结构 定义了过程和分组格式来建立、维护、删除安全关联(SA) 双方交换数据（密钥、鉴别数据） 双方交换数据的过程中的处理方法 独立于加密算法、密钥交换协议、鉴别算法 * 华中农业大学信息学院 * ISAKMP消息结构 ISAKMP头部结构 ISAKMP的paylo