密钥管理

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

LOGOISAKMP&SKIP---VPN中的密钥管理名词解释SKIP---SimpleKey-ManagementforInternetProtocolsISAKMP---InternetSecurityAssociation&KeyManagementProtocol协议框架,结合认证、密钥管理和安全连接等来建立私有通信VPN---VisualPrivateNetwork通过一个公用网络(因特网)建立一个临时的、安全的链接IPsec---IPSecurity在IP层提供安全功能(包括认证和加密)IKE---InternetKeyExchange在不安全的网络环境中安全地建立或更新共享密钥SA---SecurityAssociation通信实体之间利用安全服务来实现安全通信ISAKMP/IKE实现IP层SA管理&Diffie-Hellman密钥交换ISAKMP提供两个阶段的协商---IKESA&IPsecSAISAKMPISAKMPIKESATCP/UDPIPsecIPTCP/UDPIPsecIPIPsecSAIKESA:两个实体间的协商并保护IPSecSA的协商作为UDP负载传送通过数字签名认证IKESA交互过程:报文1&2---协商SA特性,明文传输,未认证发送者A发送一条包含一组或多组策略提议接受者B则在自己的策略中寻找与之匹配的策略路由器配置:R1(config)#cryptoisakmpenableR1(config)#cryptoisakmppolicy10//策略号(可能需要多个策略)//RSA使用X.509基于证书的认证R1(config)#authenticationrsa-encr//IKE认证方式R1(config)#group2//IKE密钥交换R1(config)#hashmd5//IKE策略哈希R1(config)#encryption3des//IKE策略加密R1(config)#lifetime86400//IKE寿命IKESA交互过程:报文3&4---交换Ni,执行DH交换,建立主密钥,明文传输,未认证Diffie-Hellman公开值:gx,gyNi:A的随机数Nr:B的随机数生成密钥:•密钥素材,提供了用于生成实际所用密钥的原始信息SKEYID=HMAC-MD5(Ni,Nr,gxy)•其他密钥素材---SKEYID-d&SKEYID-a&SKEYID-eSKEYID-d:协商出后续IPSECSA加密使用的密钥SKEYID-d=HMAC-MD5(SKEYID,gxy,Cookie-A,Cookie-B,0)SKEYID-a:为后续的IKE消息协商以及IPSECSA协商进行完整性检查SKEYID-a=HMAC-MD5(SKEYID,gxy,Cookie-A,Cookie-B,1)SKEYID-e:为后续的IKE消息协商以及IPSECSA协商进行加密SKEYID-e=HMAC-MD5(SKEYID,gxy,Cookie-A,Cookie-B,2)IKESA交互过程:报文5&6---双方交换标识信息,使用数字签名进行认证SKEYID-e加密保护,IDA&IDB为标识信息,由标识域传输A的Hash值:Hash_I=HMAC-MD5(SKEYID,gx,gy,Cookie-A,Cookie-B,SAp,IDA)签名,放入签名域传给BUDP头域ISAKMP头域标识域证书域签名域ISAKMP报文UDP包IKESA交互过程:B的Hash值:Hash_R=HMAC-MD5(SKEYID,gy,gx,Cookie-B,Cookie-A,SAp,IDB)验证A的数字签名,若签名有效,B向A发送自己的Hash值数字签名是基于从有效证书授权中心(证书域传递)获得的证书协商完成:通信双方A&B认同了SA,建立了安全通道生成了相同的密钥素材SKEYID等优缺点:提供较高的安全性在以后的IPsec通信中不用携带密钥信息密钥更新过程中导致通信的延迟(丢包、重传)SKIP协议概述:SimpleKey-ManagementforInternetProtocols服务于IP的密钥管理机制,无需在建立连接之前进行连接会话使用经过鉴别对方的公钥值和自己的私钥来生成双方共享密钥每个IPsec通信包中都含有密钥信息---实现一包一密钥,随时更新,无延时轻量级特点---2个节点都有对方的公钥证书,无需额外密钥交换包SKIP协议特点:SimpleKey-ManagementforInternetProtocols有效抵抗中间人攻击使用鉴别过的Diffie-Hellman公钥值对发布证书的实体的数字签名进行验证已知密钥攻击使用主密钥和瞬时密钥的二级密钥结构拒绝服务攻击预先计算并缓存主密钥SKIP在VPN中实现SKIP与IPsec结合,密钥管理和密钥交换与PKI结合,颁发和识别X.509数字证书SKIP协议的密钥产生实体A&B分别拥有自己的Diffie-Hellman私钥值i&j二级密钥结构---瞬时密钥Kp主密钥KijKij&Kp分别对应一个分组对称密码(64~256Bit之间)Kij加密Kp,Kp用于对IP数据通信流量进行加密和鉴别加密和鉴别将Kp分离为E_Kp和A_Kp作为加密密钥和鉴别密钥E_Kp=H(Kp|Crypt_Alg|02h)|H(Kp|Crypt_Alg|00h)A_Kp=H(Kp|MAC_Alg|03h)|H(Kp|MAC_Alg|01h)//Crypt_Alg---定义了用于加密的数据流量的算法//MAC_Alg---定义了用于计算报文鉴别码的算法证书信息库B的数字证书证书信息库A的数字证书A,iB,jgijmodpgijmodp主密钥Kij加密临时密钥Kp40~256bit加密密钥E_Kp鉴别密钥A_kp长期密钥gijmodpSKIP在VPN中实现VPN设备数字证书的产生、分发、撤消以及为第三方CA提供接口设备数字证书在CA上产生缓存证书信息---将常用的其它设备的数字证书存放在本地的缓存中先去证书缓存信息库查找,如果没有再去公共的证书库去取CA撤销某个设备的证书,须刷新缓存库证书缓存信息库VPN设备CA证书信息库在线分发和更新VPN设备的私钥CA的公钥分发(离线)第三方CASKIP在VPN中实现SKIP协议和IPsec结合的体系结构SKIP密钥管理器提取公钥,验证真实性,并将Kp存入CacheSKIP密钥管理器核心密钥Cache证书信息库核心密钥加解密引擎应用层TCP/UDPIPIPsec核心模块SKIP核心模块网络接口策略配置管理器系统策略库SKIP在VPN中实现SKIP协议和IPsec结合的体系结构发送流程:查找策略库,觉得是否实施IPsec处理,若需要则填充IPsec头将增加了IPsec头的IP数据报交SKIP模块处理,加入SKIP协议头从核心密钥Cache中提取瞬时密钥Kp,在核心加解密引擎中用Kij将Kp加密后填入SKIP协议头若实施机密性保护,---在核心加解密引擎中用E_Kp加密IPsec头后的数据若提供鉴别服务---在核心加解密引擎中用A_Kp生成原IP数据报的鉴别数据IP头SKIP头AH/ESP头上层协议数据鉴别数据用Kij加密的Kp用E_Kp加密用A_Kp生成新IP头SKIP头AH/ESP头上层协议数据鉴别数据用Kij加密的Kp用E_Kp加密用A_Kp生成原始IP头IPsec传输模式IPsec隧道模式SKIP在VPN中实现SKIP协议和IPsec结合的体系结构接收流程:查找策略库,觉得是否实施SKIP处理,若需要则处理IP数据报用Kij解密SKIP头中的Kp,并分离出E_Kp和A_Kp,若提供了机密性保护,则用E_Kp解密被加密的数据若提供了鉴别服务,则用A_Kp生成鉴别数据,并与接收到的IP数据报中的鉴别数据进行比较去除SKIP协议头,并交由IPsec核心模块处理VPNSecurity通过加密和认证来确保网络的安全LOGO感谢您的关注!

1 / 18
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功