IPSEC了理论基础

Page 10
Page 11
IPSEC的协议组成部分
ESP（负载安全封装协议) AH 认证头协议 Internet密钥交换协议（IKE）
Page 12
ESP
IP协议号：50 能够提供：私密性 完整性 数据的源认证
Page 13
ESP包结构1
Page 14
协商协议参数
交换公共密钥 对双方进行认证
在交换后对密钥进行管理
第一阶段

1、2个包的交换 功能：交换ip地址和对第一阶段策略的协商 Peer 加密算法 Hash算法 验证算法 D-H组
生存时间 0x0 0x1 0x51 0x80
3、4个包的交换 功能：D-H的交换 交换D-H的公共值，随机数 密钥生成
Page 5
缺点：容易受“中间人”攻击 IPSEC解决办法：通信双方相互验证（数字签名）
Page 6
IPsecVPN 两大模式
传输模式 隧道模式
加密点: 完成加密的设备 通信点：完成通信的设备
Page 7
通信模型1
Page 8
通信模型2
Page 9
通信模型3
博赛网络科技有限公司
----Superthink高端网络实验室
高薪IT之路， 从Superthink起步
IPSEC理论基础
Page 2
IPSEC的基本理论
1.IPSEC是由IPV6引入的 2.提供网络层加密 3.通过增加一个新的预定义头部的方式进行加密
Page 3
IPsec的基本理念
1.验证对方 2.协商通信协议和策略
ESP包结构2
Page 15
wenku.baidu.com
AH
1.不提供加密功能 2.只提供一个完整性的功能 优点：AH会对原IP头部的不变字段做Hash 协议号：51
Page 16
AH的传输模式
Page 17
IKE
IKE Ike ：udp的500号端口（源和目的） Ike 负责在两个ipsec对等体间协商一条ipsec隧道的协议。 承载第一阶段策略
前四个包都没有加密
5、6个包的交换（加密的） 彼此认证对方的密钥 完成第一阶段认证
第二阶段（三个包）
作用：协商对具体流量加密时的策略 第二阶段是基于流量的 因为流量才会触发策略 1、2个包 第二阶段策略协商
接收方在没有收到发送方发来的第三个包时不会接受发送 方发来的任何数据，防重放攻击。
superthink 高端网络实验室
Page 4
DH算法
Diffie-Hellman算法是一种公共密钥加密系统，该算法是建 立在“离散对数数学难题”的基础上的
DH在交换过程中所有的参与者首先必须属于一个组，这个 组定义了要使用哪个质数p，以及底数g 在通信双方需要选择一个随机的私人数字，并在组内进行 乘幂运算，产生一个公共值 A=g^a mod p B=g^b modp 双方交换机的公共密钥，双方再次执行乘幂的运算，生成 一个密钥 B^a mod p = g^ab mod p =A^b mod p