华为公司IPSEC&IKE原理讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
HUAWEI Confidential
Page 10
ESP 协议
IP 包头
传输模式 IP 包头 隧道模式 新IP 包头 ESP头
0
数据
ESP尾部 ESP验证
ESP头部
加密后的数据
加密部分
原IP 包头
8
数据
16 安全参数索引(SPI)
ESP尾部
24
ESP验证
ESP协议包结构
序列号 有效载荷数据(可变) 填充字段(0-255字节)
DH交换及密钥产生
peer1
(g ,p)
peer2
a
c=gamodp
b
d=gbmodp cbmodp
damodp
damodp= cbmodp=gabmodp
HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential
Page 16
IKE在IPSec中的作用
降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 8
IPSec 基本概念
数据流 (Data Flow)
安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 (Crypto Map) 转换方式(Transform Mode)
学习完此课程,您将会:
掌握IPSec的基本概念
了解IPSec的报文格式 掌握IPSec的数据加密流程 掌握IPSec和IKE之间的关系
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 4
第1章 IPSec 概论 第2章 IKE 概论
Page 18
小结
VPN概念 IPSec原理与工作流程 IKE原理与密钥交换过程
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 19
谢谢
发起方的密钥生成信息
产生密钥
密钥生成
接收方的密钥生成信息
密钥交换
密钥生成
发起方身份和验证数据
验证对方 身份
身份验证和 交换过程验证
ID交换及验证
身份验证和 交换过程验证
接收方的身份和验证数据
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 15
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 5
IPSec
IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安
全保密性能的框架协议
IPSec包括报文验证头协议AH(协议号51) 和报文安全封装协议ESP
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
IPSec 的安全特点
数据机密性(Confidentiality) 数据完整性(Data Integrity) 数据来源认证 (Data Authentication)
反重放(Anti-Replay)
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 9
AH协议
IP 包头
传输模式
数据 数据
IP 包头
隧道模式
AH
新IP 包头
AH
原IP 包头
数据
16 31
0
8
AH头结构
下一个头
负载长度
安全参数索引(SPI) 序列号 验证数据
保留域
HUAWEI TECHNOLOGIES CO., LTD.
Security Level: internal
DP500009 IPSEC&IKE原 理
ISSUE1.0
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
IPSec在IP层对IP报文提供安全服务,IPSec 协议本身定义了如何在IP数据包中增加字段 来保证IP包的完整性、 私有性和真实性,以 及如何加密数据包。使用IPsec数据就可以安 全地在公网上传输。IKE(Internet Key Exchange)为IPSec提供了自动协商交换密 钥、建立安全联盟的服务, 能够简化IPSec 的使用和管理,大大简化IPSec的配置和维护 工作。
填充字段长度
下一个头
验证数据
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 11
第1章 IPSec 概论 第2章 IKE概论
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 12
IKE
IKE(Internet Key Exchange,因特网密钥交换协议)
为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 13
IKE的安全机制
完善的前向安全性 数据验证
身份验证 身份保护
DH交换和密钥分发
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 14
IKE的交换过程
Peer1
发送本地 IKE策略
发起方策略
Peer2
确认对方使 用的算法 查找匹配 的策略
接收方确认的策略
SA交换
接受对端 确认的策略
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 17
IPSec 与IKE的关系
IKE的SA协商
IKE
IKE
SA
SATCP UDPISecTCP UDPIPSec
IP
加密的IP报文
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 2
参考资料
VRP 5.30 《操作手册》、《命令手册》 《故障信息收集排错指导书》 。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
(协议号50)两个协议
IPSec有隧道(tunnel)和传送(transport)两种工作方式
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
IPSec 的组成
IPSec 提供两个安全协议
AH (Authentication Header)报文认证头协议 − MD5(Message Digest 5) − SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 − DES (Data Encryption Standard) − 3DES − 其他的加密算法:Blowfish ,blowfish、cast …