IPSec原理(PPT).pptx

IPSec 简介;※ IPSec 协商简述 ● 协商过程图示 ● IKE Phase 1 ● IKE Phase 2 ● 自动连接 ※ ISAKMP 报头 ※ DH 密钥交换 ※ SA ※ IPSec 的两个数据库 ● SPD ● SADB;※ 增强的 IPSec 特性 ● NAT 穿越原理 ● 配置 NAT 穿越 ● 空闲超时 ● 抗重放 ● DPD;IPSec 协商简述;IPSec 协商简述 （协商过程图示）;IKE（Internet Key Exchange，因特网密钥交换）协议在与 Photuris 的竞争中取得胜利，成为 IPSec 框架下强制推行的密钥管理手段。换句话说，IKE 为 IPSec 协议产生所需的全部密钥，在产生了密钥后，防火墙就可以使用密钥对用户数据进行加密并传输了。 IKE 的协商包含两个阶段：IKE Phase 1 和 IKE Phase 2 。下页图中展示了 IKE 的协商和加密过程，图中“使用 进行加密”的说法并不严谨，为了便于理解，可以暂时把 SA 想成一把钥匙。;;IPSec 协商简述 （IKE Phase 1，IKE 第一阶段）;IKE Phase 1（第一阶段） IKE Phase 1 协商时使用的 可以通过两种方式获取： · 预共享密钥（由用户预先在两台对等体设备上配置的对称密钥）； · 公钥加密算法，如 RSA 或 DSA（稍后介绍）。 该阶段在协商后将得到 ISAKMP SA （也被称为 IKE SA），用于加密 IKE Phase 2 的协商控制报文（可以暂时将 SA 想成加解密时使用的密钥）。协商时还通过交换 DH 得到一个“密钥 K”，用于推算出 IPSec 密钥。 该阶段协商过程的安全性高，但算法会消耗大量资源，计算速度慢。;IKE 和 ISAKMP 的区别： 虽然在描述时经常混合使用 IKE（Internet Key Exchange）和 ISAKMP（Internet Security Association and Key Mangement Protocol），但两者还是存在区别的。 IKE 和 ISAKMP 的不同之处在于：IKE 真正定义了一个密钥交换的过程，而ISAKMP 只是定义了一个通用的可以被任何密钥交换协议使用的框架。 IKE（Internet Key Exchange）是一种混合型协议，由 RFC 2409 定义，包含了 3 个不同协议的有关部分：ISAKMP、Oakley 和 SKEME 。; · ISAKMP 是一个框架，定义了每一次交换的包结构，每次需要几个包交换 （主模式 6 个包和野蛮模式 3 个包），由美国国家安全处开发； · Oakley：定义 IKE 提供了一个多样化，多模式的应用，让 IKE 可以用在 很多场合，由大学开发； · SKEME：提供了 IKE 交换密钥的算法和方式，即通过 DH 进行密钥交换 和管理的方式，由个人开发。;IKE Phase 1 阶段的配置截图：;IKE Phase 1 的配置命令行：;IKE Phase 1 协商后得到的 ISAKMP SA：;IKE Phase 1 有两种协商模式，分别是主模式和野蛮模式： 主模式 共交互 6 条 IKE 消息，第 5、6 条被加密，该方式较安全。 野蛮模式 共交互 3 条 IKE 消息，消息均以明文发送，只能通过散列值判断 IKE 消息的完整性，不提供机密性，该方以牺牲安全性为代价换来了更快的协商速度。野蛮模式主要提供给远程接入 IKE 客户使用。;主模式协商过程;野蛮模式协商过程 野蛮模式的协商消息全部以明文方式传输，不能协商 DH 参数。;IPSec 协商简述（IKE Phase 1）;IPSec 协商简述 （IKE Phase 2，IKE 第二阶段）;IKE Phase 2（第二阶段） IKE Phase 2 将进行 IPSec 参数的协商，协商是在 IKE Phase 1 协商后所提供的安全信道上进行的，IPSec 协商的参数包含传输方式、验证算法、加密算法和隧道模式等。;由于在 IKE Phase 1 阶段已经获得了“密钥 K”，因此可以推导出当前和后续将要更新的 IPSec 密钥。通过第二阶段的协商确定了加密方式和密钥等，最终得到 IPSec SA ，用于加解密用户数据。 因为 IPSec SA 是单向的，因此每个方向都会分别产生一个 IPSec SA 。由于全部的 IPSec 的密