152-网络安全协议-ch3.ppt

IKE交换机制——阶段2-快速交换模式 IKE交换机制——阶段2-快速交换模式 一个完整的IPsec VPN工作原理 IPsec优点 机密性：IKE使用D-H组中的加密算法。IKE定义了5个D-H组，其中3个组使用乘幂算法（模数位数分别是768、1024、1680位），另两个组使用椭圆曲线算法（字段长度分别是155、185位）。因此，IKE的加密算法强度高，密钥长度大。 完整性：在阶段1和2交换中，IKE通过交换验证载荷（包含散列值或数字签名）保护交换消息的完整性，并提供对数据源的身份验证。IKE列举了4种验证方法：预共享密钥、数字签名、公钥加密和改进的公钥加密。 IPsec优点 抗DOS：对任何交换来说，第一步都是cookie交换。每个通信实体都生成自己的cookie，cookie提供了一定程度的抗拒绝服务攻击的能力。对任何交换来说，第一步都是cookie交换。每个通信实体都生成自己的cookie，cookie提供一定程度抗拒绝服务攻击的能力。 防中间人攻击：中间人攻击包括窃听、插入、删除、修改报文、反射报文回到发送者、重放旧报文以及重定向报文。ISAKMP的特征能阻止这些攻击。 IPsec优点 完美的向前保密：完美向前保密（PFS），指即使攻击者破解了一个密钥，也只能还原这个密钥加密的数据，而不能还原其他的加密数据。要达到理想的PFS，一个密钥只能用于一种用途，生成一个密钥的素