IPSec协议
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IKE协议 理论模型:
IKE的安全基础
• • • • • 1.Diffie-Hellman密钥交换 2.安全散列 3.对称密钥加密 4.公开密钥加密 5.数字签名
IKE的安全性分析
• 中间人攻击:
Internet
M
A
IKEv2的推出:
IPSec工作组于2005年12月推出了IKE2。
IKE:RFC2409
端到端IPSec VPN的工作原理
பைடு நூலகம்
IKE阶段1
IKE阶段2
IPSec SA (Security Association)
◆SPI (Security Parameter Index),由IKE自动分配 ◆发送数据包时,会把SPI插入到IPSec头中 ◆接收到数据包后,根据SPI值查找SAD和SPD,从而 获知解密数据包所需的加解密算法、hash算法等。 ◆一个SA只记录单向的参数,所以一个IPSec连接会有 两个IPSec SA。
1 认证报文头(Authentication Header, AH)
2 封装安全载荷(Encapsulating Security Payload, ESP)
3 Internet密钥交换(Internet Key Exchange, IKE)
IPSec的安全体系结构
安全体系结构
封装安全载荷(ESP)
IPSec协议
申国伟 shenguowei@hrbeu.edu.cn
主要内容
IPSec概述及体系结构 IPSec的AH协议
IPSec的ESP协议 IPSec的IKE协议
基于IPSec的VPN应用
IPSec概述
目标:
实现比较全面的网络层安全,包括网络之间的相 互认证、加密链路的建立和保密通信。
主要协议集:
ESP头格式:
0
ESP头部
7 15 23 31 安全参数索引(SPI) 序列号 初始化向量(IV) 有效载荷数据
ESP尾部 ESP验证 数据
填充项 填充项长度 下一头部 验证数据(ICV)
验 证 加 范 密 围 范 围
IKE协议
IKE协议:基于ISAKMP、Oakley和SKEME,是一
种混合型协议,它建立在由ISAKMP定义的一个框 架上,同时实现了Oakley和SKEME协议的一部分。
AH的结构:
下一头部 载荷长度 保留字段 安全参数索引(SPI) 序列号 验证数据
AH协议续
AH的两种传输模式:
传输模式和隧道模式
新IP头 AH TCP头 TCP载荷数据
传输模式
新IP头 AH 原IP头 TCP头 TCP载荷数据
隧道模式
ESP协议
ESP协议功能:
为IP报文提供数据完整性校验、身份认证、 数据加密以及重放攻击保护等。
B
IKEv2:RFC4306
基于IPSec的VPN应用
• VPN的定义:
RFC2746对IP VPN的概念阐述:IP VPN是一种使 用IP网络设施对专用广域网进行仿真,依靠ISP和 其他的NSP在公共网络上模拟专用网,建立专用 数据通信网络的技术。
• VPN的主要技术:
1.IPSec技术 2.MPLS技术 3.SSL技术
谢 谢!
认证头协议(AH)
加密算法
验证算法
解释域(DOI)
密钥管理(IKE)
策略
IPSec的通信流程
IPSec封装模式
IPSec支持两种封装模式:传输模式和隧道模式
传输模式 隧道模式
AH协议
AH功能:
为IP包提供数据完整性校验和身份认证 具备可选择的重放攻击保护 保护上层协议(传输模式)或完整的IP数据包(隧 道模式)