IKE原理及应用培训资料.pptVIP

IKE目的 生成并管理动态的密钥 IKE协商可以协商其他具体的安全服务，而不仅仅为IPSec服务。 IKE协商采用UDP报文，端口为500 IKE参考文献（RFC2407~RFC2409) IKE基本概念－－SA “安全联盟”（Security Association，SA） SA 两个通信实体经协商建立起来的协定。 SA决定了用来保护数据包安全的 协议、密钥以及密钥的有效存在时间等 IKE原理及应用－－SA DH交换－原理 对于一个大素数p， Zp为一个乘法群。 取Zp中一个元g，如果任意元t属于Zp，都能找到g^x mod p = t, 则称g为Zp的生成元。 一般的，如果（g，p）＝ 1 ，则g为Zp的生成元。 如果知道x，计算g^x mod p是容易的 反之，知道g^x mod p， 求出x是困难的。 DH交换 RFC规定了两个DH组，组一p为768bits，组二p为1024bits，两个DH组的g都为2。 简单的DH交换并不能保证生成的公共值是安全的。 DH交换的中间人攻击 中间人攻击 中间人攻击实施难度很高，需要控制双方的数据发送。 避免中间人攻击的方法是进行身份验证。 IKE采用验证的方式避免中间人攻击 IKE对付攻击 DOS攻击：用户传送众多要求确认的信息到服务器，使服务器里充斥着这种无用信息。所有的信息都有需回复的虚假地址，以至于当服务器试图回传时，却无法找到用