IPSEC了理论基础
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Page 10
Page 11
IPSEC的协议组成部分
ESP(负载安全封装协议) AH 认证头协议 Internet密钥交换协议(IKE)
Page 12
ESP
IP协议号:50 能够提供:私密性 完整性 数据的源认证
Page 13
ESP包结构1
Page 14
协商协议参数
交换公共密钥 对双方进行认证
在交换后对密钥进行管理
第一阶段
1、2个包的交换 功能:交换ip地址和对第一阶段策略的协商 Peer 加密算法 Hash算法 验证算法 D-H组
生存时间 0x0 0x1 0x51 0x80
3、4个包的交换 功能:D-H的交换 交换D-H的公共值,随机数 密钥生成
Page 5
缺点:容易受“中间人”攻击 IPSEC解决办法:通信双方相互验证(数字签名)
Page 6
IPsecVPN 两大模式
传输模式 隧道模式
加密点: 完成加密的设备 通信点:完成通信的设备
Page 7
通信模型1
Page 8
通信模型2
Page 9
通信模型3
博赛网络科技有限公司
----Superthink高端网络实验室
高薪IT之路, 从Superthink起步
IPSEC理论基础
Page 2
IPSEC的基本理论
1.IPSEC是由IPV6引入的 2.提供网络层加密 3.通过增加一个新的预定义头部的方式进行加密
Page 3
IPsec的基本理念
1.验证对方 2.协商通信协议和策略
ESP包结构2
Page 15
wenku.baidu.com
AH
1.不提供加密功能 2.只提供一个完整性的功能 优点:AH会对原IP头部的不变字段做Hash 协议号:51
Page 16
AH的传输模式
Page 17
IKE
IKE Ike :udp的500号端口(源和目的) Ike 负责在两个ipsec对等体间协商一条ipsec隧道的协议。 承载第一阶段策略
前四个包都没有加密
5、6个包的交换(加密的) 彼此认证对方的密钥 完成第一阶段认证
第二阶段(三个包)
作用:协商对具体流量加密时的策略 第二阶段是基于流量的 因为流量才会触发策略 1、2个包 第二阶段策略协商
接收方在没有收到发送方发来的第三个包时不会接受发送 方发来的任何数据,防重放攻击。
superthink 高端网络实验室
Page 4
DH算法
Diffie-Hellman算法是一种公共密钥加密系统,该算法是建 立在“离散对数数学难题”的基础上的
DH在交换过程中所有的参与者首先必须属于一个组,这个 组定义了要使用哪个质数p,以及底数g 在通信双方需要选择一个随机的私人数字,并在组内进行 乘幂运算,产生一个公共值 A=g^a mod p B=g^b modp 双方交换机的公共密钥,双方再次执行乘幂的运算,生成 一个密钥 B^a mod p = g^ab mod p =A^b mod p