IPSEC很好的教程分析.pptVIP

第四章：IPSec-IKE 4.1 什么是IKE? 4.2 ISAKMP协议 4.3 IKE第一阶段 4.4 IKE第二阶段：建立IPSec SAs 4.1 什么是IKE? IKE（ Internet Key Exchange ，RFC2409）：因特网密钥交换协议是一个以受保护的方式动态协商SA的协议。 IKE的功能： 协商：通信参数，安全特性 认证通信对端 保护实体 用安全的方法产生，交换，建立密钥 管理，删除安全关联（SA） IKE的组成和实现 IKE是一个混合的协议，它的组成： Internet密钥交换协议（IKE，RFC2409） Internet安全关联密钥管理协议（ISAKMP，RFC2408） Oakley密钥确定协议（RFC2412） IPSec Domain of Interpretation ，（IPSec DOI，RFC2407） IKE分两个阶段实现： 第一阶段为建立IKE本身使用的安全信道而相互交换SA（采用ISAKMP）——ISAKMP SA（双向） 第二阶段利用第一阶段建立的安全信道交换IPSec通信中使用的SA——IPSec SA（单向） IKE Network Placement 4.2 ISAKMP协议 Internet Security Association and Key Management Protocol (RFC 2407) 提供密钥管理架构 定义SA的建立、协商、修改、删除规程和分组格式 独立于密钥交换协议、加密算法和认证方法 下层由UDP协议承载，端口号为500。 ISAKMP payload format ISAKMP head ISAKMP头（HDR） Generic Payload Header 通用载荷头 Data Attributes 数据属性 Transform Payload 变换载荷 Proposal Payload 建议载荷 Security Association Payload 安全关联载荷（SA） Key Exchange Payload 密钥交换载荷 Identification Payload 识别载荷 Certificate Payload 证书载荷（CERT） Certificate Request Payload 证书请求载荷 Hash Payload 杂凑载荷 Signature Payload 签名载荷 Nonce Payload Nonce载荷 ISAKMP head ISAKMP Generic Payload Header Security Association Payload Proposal Payload Transform Payload Key Exchange Payload密钥交换载荷 Identification Payload标识载荷 Certificate Payload证书载荷 IKE的结构 安全关联（SA） 安全关联数据库（SAD） 安全参数索引（SPI） 4.3 IKE第一阶段 目的： 建立ISAKMP SA（安全通道） 步骤（交换4-6个报文） 协商安全参数 Diffie - Hellman 交换 认证实体 交换模式： 主模式（Main Mode）：在 IKE中必须配置主模式 野蛮模式（ Aggressive Mode）：用来简化规程和提高处理效率 Diffie Hellman Algorithm Setup p : prime. g : generator of Z*p protocol share a secret value K 第一阶段属性 认证方法 预先共享密钥 数字签名（DSS或RSA） 公钥加密（RSA或EI-Gamal） 群（group）描述（预先定义） 群类型（协商） 模指数群 MODP（modular exponentiation group） 在有限域GF[2^N]上定义的椭圆曲线群 EC2N （elliptic curve group over GF[2^N]） IKE预定义群 MODP 素数Prime:768-bit,1024-bit,1536-bit 生成元Generator:2 EC2N GF[2^155],GF[2^185] GF[2^163](2groups),GF[2^283](2groups) 第一阶段属性（续） 加密算法 密钥长度 分组大小 哈希算法 生存时间（秒和/或千字节） 主模式 野蛮模式 符号说明 HDR：一个ISAKMP头，HDR*表明ISAKMP后面的载荷是加密的 SA：带有一个或多个建议的安全关联载荷 KE：密钥交换载荷 IDX：标识载荷，X=i表示发起者，X=r表示响应者 HASH