IPSec-IKE要点解析.ppt

  1. 1、本文档共46页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
* * A Domain of Interpretation (DOI) defines payload formats, exchange types, and conventions for naming security-relevant information such as security policies or cryptographic algorithms and modes. The situation may include addresses, security classifications, modes of operation (normal vs. emergency), etc. 在IPSECDOI以内,所有著名的标识符必须在IPSECDOI下面与IANA一起被登记 ,对于IPSECDOI,状况域是一个有下列值的4字节位掩码 SIT_IDENTITY_ONLY: 0x01;SIT_IDENTITY_ONLY 类型指定,安全关联将被在联系的鉴定有效负载中提供的源身份信息所标记。 SIT_SECRECY :0x02;SIT_SECRECY类型指定安全关联在要求标记秘密的环境中正被商议 SIT_INTEGRITY :0x04;SIT_INTEGRITY 类型指定安全关联在要求标记完整性的环境中正被商议 * * * * * * * * * * 发起者向响应者发送一个封装有建议载荷(如加密算法、认证算法及认证方式等)的SA载荷。 2。响应者发送一个SA载荷,表明它所接受的正在协商的SA建议。 3。和4。发起者和响应者交换D-H公开值和随机数(nonce),该nonce是计算共享密钥所必须的。 5。和6。发起者和响应者交换标识数据(如节点的IP地址、域名等)并认证D-H交换,这两个消息是加密的,采用3和4中交换的信息生成密钥。 * * * * * * * * * * 在IKE第一阶段,采用公钥密码体制和运行密钥管理协议产生第一个共享的安全关联,被称为ISAKMP SA或第一阶段SA,该SA包含了第二阶段所需的对称加密密钥和认证密钥。 第二阶段,在ISAKMP SA的保护下运行密钥管理协议,可以产生多个IPSec SA来保护数据的安全传输,在IPSec SA中协商的是加密、认证算法,SA的生存时间,密钥长度。 * PFS(perfect forward secrecy):完美前向保密,描述这样一种现象,对于密钥信息的衍生而言,如果一个单独的密钥被攻破,将不会危及其他密钥保护的数据的安全性 * * 这里的协议(protocol)指AH or ESP,密钥的推导与SPI有关,使得每个密钥都是单向的 使用完美前向保密(PFS)描述这样一种现象,对于密钥信息的衍生而言,如果一个单独的密钥被攻破,将不会危及其他密钥保护的数据的安全性 * * * 在Cookie交换中,发起者产生一随机数Cookie-I,发给响应者,通常Cookie-I与本地的密钥和相关信息(如IP地址)有关。例如,采用MD5或SHA-1对源地址、目的地址、UDP源、目的端口号、本地生成的保密随机数和当前的日期、时间的连接进行杂凑运算。响应者收到Cookie-I后产生一个Cookie-R,且能与〈initiator,cookie-i〉一一对应。在第3个报文中,包含了〈Cookie-I,Cookie-R〉,响应者根据〈initiator,cookie-i〉计算Cookie-R,并与报文中的Cookie-R比较。如果不同,就抛弃该报文。 Cookie 交换不能抵抗中间人攻击。 * * 主模式:用公钥加密认证 HDR contains CKY-I | CKY-R,HASH(l)是响应方证书的HASH值 KE = g^i (Initiator) or g^r (Responder) 这里nonce是通过加密传输的,因此可作为共享密钥,HASH值就可以直接用来认证对方的身份。 用公钥加密认证中存在的问题 问题 采用了四次公钥加/解密操作,耗费计算资源,与签名认证算法相比,多了两次加/解密 修改方法 采用修正的公钥加密认证 Main Mode: Authentication with Revised Public Key Encryption HDR contains CKY-I | CKY-R KE = g^i (Initiator) or g^r (Responder) Ki = prf(Ni, CKY-I), Kr = prf(Nr, CKY-R) 密钥推导 SKEYID Pre-shared keys SKEYID=PRF(preshared key, Ni|Nr) SKEYID是从预共享密钥推导得到,并且总是与Ni/Nr有关,

文档评论(0)

南非的朋友 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档