IPSec及IKE原理

IPSec及IKE原理课程内容第一章IPSec第二章IKEIPSecIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议IPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议IPSec有隧道（tunnel）和传送（transport）两种工作方式IPSec的组成IPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议MD5(MessageDigest5)SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议DES(DataEncryptionStandard)3DES其他的加密算法：Blowfish，blowfish、cast…IPSec的安全特点数据机密性（Confidentiality）数据完整性（DataIntegrity）数据来源认证（DataAuthentication）反重放（Anti-Replay）IPSec基本概念数据流(DataFlow)安全联盟(SecurityAssociation)安全参数索引(SecurityParameterIndex)安全联盟生存时间(LifeTime)安全策略(CryptoMap)转换方式(TransformMode)AH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631ESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号有效载荷数据（可变）填充字段(0-255字节）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分课程内容第一章IPSec第二章IKEIKEIKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立安全联盟的服务通过数据交换来计算密钥IKE的安全机制完善的前向安全性数据验证身份验证身份保护DH交换和密钥分发IKE的交换过程SA交换密钥交换ID交换及验证发送本地IKE策略身份验证和交换过程验证密钥生成密钥生成接受对端确认的策略查找匹配的策略身份验证和交换过程验证确认对方使用的算法产生密钥验证对方身份发起方策略接收方确认的策略发起方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据接收方的身份和验证数据Peer1Peer2DH交换及密钥产生ac=gamodpdamodppeer2peer1bd=gbmodpcbmodpdamodp=cbmodp=gabmodp(g,p)IKE在IPSec中的作用降低手工配置的复杂度安全联盟定时更新密钥定时更新允许IPSec提供反重放服务允许在端与端之间动态认证IPSec与IKE的关系IKETCPUDPIPSecIKETCPUDPIPSec加密的IP报文IPIKE的SA协商SASA