华为公司IPSEC&IKE原理讲解
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(协议号50)两个协议
IPSec有隧道(tunnel)和传送(transport)两种工作方式
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
IPSec 的组成
IPSec 提供两个安全协议
AH (Authentication Header)报文认证头协议 − MD5(Message Digest 5) − SHA1(Secure Hash Algorithm) ESP (Encapsulation Security Payload)封装安全载荷协议 − DES (Data Encryption Standard) − 3DES − 其他的加密算法:Blowfish ,blowfish、cast …
HUAWEI Confidential
Page 10
ESP 协议
IP 包头
传输模式 IP 包头 隧道模式 新IP 包头 ESP头
0
数据
ESP尾部 ESP验证
ESP头部
加密后的数据
加密部分
原IP 包头
8
数据百度文库
16 安全参数索引(SPI)
ESP尾部
24
ESP验证
ESP协议包结构
序列号 有效载荷数据(可变) 填充字段(0-255字节)
学习完此课程,您将会:
掌握IPSec的基本概念
了解IPSec的报文格式 掌握IPSec的数据加密流程 掌握IPSec和IKE之间的关系
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 4
第1章 IPSec 概论 第2章 IKE 概论
IKE(Internet Key Exchange,因特网密钥交换协议)
为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 13
IKE的安全机制
完善的前向安全性 数据验证
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 9
AH协议
IP 包头
传输模式
数据 数据
IP 包头
隧道模式
AH
新IP 包头
AH
原IP 包头
数据
16 31
0
8
AH头结构
下一个头
负载长度
安全参数索引(SPI) 序列号 验证数据
保留域
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 2
参考资料
VRP 5.30 《操作手册》、《命令手册》 《故障信息收集排错指导书》 。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
发起方的密钥生成信息
产生密钥
密钥生成
接收方的密钥生成信息
密钥交换
密钥生成
发起方身份和验证数据
验证对方 身份
身份验证和 交换过程验证
ID交换及验证
身份验证和 交换过程验证
接收方的身份和验证数据
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 15
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 17
IPSec 与IKE的关系
IKE的SA协商
IKE
IKE
SA
SA
TCP UDP
IPSec
TCP UDP
IPSec
IP
加密的IP报文
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
DH交换及密钥产生
peer1
(g ,p)
peer2
a
c=gamodp
b
d=gbmodp cbmodp
damodp
damodp= cbmodp=gabmodp
HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential
Page 16
IKE在IPSec中的作用
降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证
身份验证 身份保护
DH交换和密钥分发
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 14
IKE的交换过程
Peer1
发送本地 IKE策略
发起方策略
Peer2
确认对方使 用的算法 查找匹配 的策略
接收方确认的策略
SA交换
接受对端 确认的策略
Page 18
小结
VPN概念 IPSec原理与工作流程 IKE原理与密钥交换过程
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 19
谢谢
www.huawei.com
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 7
IPSec 的安全特点
数据机密性(Confidentiality) 数据完整性(Data Integrity) 数据来源认证 (Data Authentication)
反重放(Anti-Replay)
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 5
IPSec
IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安
全保密性能的框架协议
IPSec包括报文验证头协议AH(协议号51) 和报文安全封装协议ESP
填充字段长度
下一个头
验证数据
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 11
第1章 IPSec 概论 第2章 IKE概论
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 12
IKE
Security Level: internal
DP500009 IPSEC&IKE原 理
ISSUE1.0
www.huawei.com
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
IPSec在IP层对IP报文提供安全服务,IPSec 协议本身定义了如何在IP数据包中增加字段 来保证IP包的完整性、 私有性和真实性,以 及如何加密数据包。使用IPsec数据就可以安 全地在公网上传输。IKE(Internet Key Exchange)为IPSec提供了自动协商交换密 钥、建立安全联盟的服务, 能够简化IPSec 的使用和管理,大大简化IPSec的配置和维护 工作。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 8
IPSec 基本概念
数据流 (Data Flow)
安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 (Crypto Map) 转换方式(Transform Mode)