IPSec及IKE原理教程分析.pptVIP

* ISSUE 固网产品课程开发室 IPSec及IKE原理 课程内容 第一章 IPSec 第二章 IKE IPSec IPSec（IP Security）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议 IPSec包括报文验证头协议AH（协议号51） 和报文安全封装协议ESP（协议号50）两个协议 IPSec有隧道（tunnel）和传送（transport）两种工作方式 IPSec 的组成 IPSec 提供两个安全协议 AH (Authentication Header)报文认证头协议 MD5(Message Digest 5) SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 DES (Data Encryption Standard) 3DES 其他的加密算法：Blowfish ，blowfish、cast … IPSec 的安全特点 数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication） 反重放（Anti-Replay） IPSec 基本概念 数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 (Crypto Map) 转换方式(Transform Mode) AH协议 数据 IP 包头 数据 IP 包头 AH 数据 原IP 包头 AH 新IP 包头 传输模式 隧道模式 下一个头 负载长度 保留域 安全参数索引(SPI) 序列号 验证数据 AH头结构 0 8 16 31 ESP 协议 数据 IP 包头 加密后的数据 IP 包头 ESP头部 ESP头 新IP 包头 传输模式 隧道模式 ESP尾部 ESP验证 ESP尾部 ESP验证 0 8 16 24 安全参数索引(SPI) 序列号 有效载荷数据（可变） 填充字段(0-255字节） 填充字段长度 下一个头 验证数据 ESP协议包结构 数据 原IP 包头 加密部分 课程内容 第一章 IPSec 第二章 IKE IKE IKE（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥 IKE的安全机制 完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发 IKE的交换过程 SA交换 密钥交换 ID交换及验证 发送本地 IKE策略 身份验证和 交换过程验证 密钥生成 密钥生成 接受对端 确认的策略 查找匹配 的策略 身份验证和 交换过程验证 确认对方使用的算法 产生密钥 验证对方身份 发起方策略 接收方确认的策略 发起方的密钥生成信息 接收方的密钥生成信息 发起方身份和验证数据 接收方的身份和验证数据 Peer1 Peer2 DH交换及密钥产生 a c=gamodp damodp peer2 peer1 b d=gbmodp cbmodp damodp= cbmodp=gabmodp (g ,p) IKE在IPSec中的作用 降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证 IPSec 与IKE的关系 IKE TCP UDP IPSec IKE TCP UDP IPSec 加密的IP报文 IP IKE的SA协商 SA SA * 此为封面页，需列出课程编码、课程名称和课程开发室名称。 要求：每个子课程（6位编码的课程）要求做一个这样的胶片，胶片文件命名为“课程编码 课程名称.ppt”。 此页胶片仅在授课时使用，胶片＋注释中不使用。 封面页按产品分为4个，各产品使用自己的封面，把其他封面直接删除即可。 * 此页为了让学员和老师对课程安排有一个大致的了解。 此页列出本课程的主要培训标题，列出每章的名称即可。如果章下面的节不多，在此页可以一并列出。 此页胶片仅在授课时使用，胶片＋注释中有专门的目录和标题，不需要重复使用该页面。 * 此页为了让学员和老师对课程安排有一个大致的了解。 此页列出本课程的主要培训标题，列出每章的名称即可。如果章下面的节不多，在此页可以一并列出。 此页胶片仅在授课时使用，胶片＋注释中有专门的目录和标题，不需要重复使用该页面。 ISSUE 固网产品课程开发室 * 此为封面页，需列出课程编码、课程名称和课程开发室名称。 要求：每个子课程（6位编码的课程）要求做一个这样的胶片，