【网络通信安全管理员认证－中级】IPSEC.pptxVIP

虚拟专用网2;一、VPN中的关键技术;隧道技术;隧道协议-数据封装;隧道协议;访问控制;密码算法;密钥管理;用户鉴别;网络管理;二、VPN的隧道技术;1、隧道的相关知识;2、隧道协议类型;3、第二层隧道：PPTP（1）;3、第二层隧道：PPTP（2）;4、第二层隧道：L2TP;5、第三层隧道技术：IPSec;6、几种隧道技术的比较;三、基于IPSec的VPN的体系结构;1、IPSec体系结构;2、IPSec协议框架（1）;●密钥管理协议：IKE － RFC2409 、ISAKMP－RFC2408、OAKLEY协议－RFC2412。 ●密码算法：HMAC－RFC2104/2404、CAST－RFC2144、ESP加密算法－RFC2405/2451等。 ●其他：解释域DOI－RFC2407、IPComp－RFC2393、Roadmap－RFC2411。;IPSec架构;3、AH协议;4、ESP协议;5、IPSec传输模式;6、IPSec隧道模式;7、安全策略数据库(SPD)（1）;7、安全策略数据库(SPD)（2）;8、安全联盟数据库(SADB)（1）;8、安全联盟数据库(SADB)（2）;9、数据包输出处理;10、数据包输入处理;11、包处理组件实现模型;四、互联网密钥交换(Internet Key Exchange);1、IKE功能;2、密钥交换包格式(ISAKMP)—1因特网安全关联和密钥管理协议（ISAKMP,Internet Security Association and Key Management Protocol);2、密钥交换包格式(ISAKMP)--2;3、安全联盟的协商;4、密钥交换的两个阶段;5、Diffie-Hellman密钥交换;6、交换流程（1）（阶段一身份保护模式）;6、交换流程（2）阶段一说明;6、交换流程（3）（阶段二快速模式）;6、交换流程（4）阶段二说明;五、IPSec的安全性评价及其改进;1、IPSec VPN的优势（1）;1、IPSec VPN的优势（2）;2、IPSec过于复杂（1）;2、IPSec过于复杂（2）建议去掉传送模式;2、 IPSec过于复杂（3）建议去掉AH协议; 网络新技术不断涌现，对IPSec协议提出了 新的挑战；针对IPSec协议的各种不足，IETF 下的IPSec工作组正在酝酿IPSec协议的改进， 包括IKEV2。 国内外研究发现，IPSec协议大致存在下列 问题： 1. IKE协议的安全性； 2. 与现有网络机制的兼容性； 3. 缺乏对远程拨号接入的支持； 4. 不支持组播、多协议；; 1. 网络新技术不断涌现，对IPSec协议提出 了新的挑战；针对IPSec协议的各种不足， IETF下的IPSec工作组正在酝酿对IPSec协议的 改进，即IKEV2。 2. J.Zhou在分析IKE协议基础上，提出 HASH_I和HASH_R的计算公式存在安全隐患。 3. Bruce Schneier等人认为IKE协议过于复杂 ，某些细节描述不够清楚，与ISAKMP协议有 冲突。 ; 4. J.M.Sierra等人提出利用新的协商模式- 发生器模式（Generator Mode）实现IKE SA的 快速更新。 5. Radia Perlman等研究发现，IKE协议提 供的用户身份保密功能与采用的身份认证方 法直接相关，对激进模式进行适当的修改也 能提供身份保护。J.Zhou提出采用数字签名 认证方式的主模式可能导致发起方的身份信 息泄漏。;网络地址转换－NAT技术通过修改IP包 内容实现包的正常传输；而IPSec协议通过采 用验证技术保护IP包中数据完整性，因此 NAT与IPSec是一对矛盾。 IETF下的网络工作组提出了在隧道模式下使用IPC-NAT( IPSec Control NAT) 的解决方案。 对于端到端的IPSec与NAT的共处，网络工作组建议使用RSIP(Realm Specific IP) 协议。 ;Balaji Sivasubramanian等提出适用于协作IP网络的一种的端到端安全解决方案。该方案的巧妙之处在于IPSec处理预先使用NAT变换之后的数据（公共IP地址或端口），数据包经过NAT设备时，NAT设备对它的修改正好与IPSec提供的数据完整性保护相吻合。 IPSec工作组提出利用UDP协议封装IPSec处理后的数据包，则NAT设备最多需要涉及对UDP头的数据修改。 ; IPSec协议本身只提供IP层的安全服务，无 法在更高层实施更小颗粒的访问控制，这样 就有必要借鉴高层机制，帮助IPSec协议改进 对远程接入的支持。 安全远程接入解决方案大致有： 联合L2TP协议 利用Mobile IP协