IPSEC_IKE原理

HUAWEITECHNOLOGIESCO.,LTD.原理ISSUE1.0internalHUAWEITECHNOLOGIESCO.,LTD.Page2HUAWEIConfidentialIPSec在IP层对IP报文提供安全服务，IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性，以及如何加密数据包。使用IPsec数据就可以安全地在公网上传输。IKE（InternetKeyExchange）为IPSec提供了自动协商交换密钥、建立安全联盟的服务，能够简化IPSec的使用和管理，大大简化IPSec的配置和维护工作。HUAWEITECHNOLOGIESCO.,LTD.Page3HUAWEIConfidential参考资料zVRP５.30《操作手册》、《命令手册》z《故障信息收集排错指导书》。HUAWEITECHNOLOGIESCO.,LTD.Page4HUAWEIConfidential学习完此课程，您将会：掌握IPSec的基本概念了解IPSec的报文格式掌握IPSec的数据加密流程掌握IPSec和IKE之间的关系HUAWEITECHNOLOGIESCO.,LTD.Page5HUAWEIConfidential第第11章章IPSecIPSec概论概论第2章IKE概论HUAWEITECHNOLOGIESCO.,LTD.Page6HUAWEIConfidentialIPSeczIPSec（IPSecurity）是IETF制定的为保证在Internet上传送数据的安全保密性能的框架协议zIPSec包括报文验证头协议AH（协议号51）和报文安全封装协议ESP（协议号50）两个协议zIPSec有隧道（tunnel）和传送（transport）两种工作方式HUAWEITECHNOLOGIESCO.,LTD.Page7HUAWEIConfidentialIPSec的组成zIPSec提供两个安全协议AH(AuthenticationHeader)报文认证头协议−MD5(MessageDigest5)−SHA1(SecureHashAlgorithm)ESP(EncapsulationSecurityPayload)封装安全载荷协议−DES(DataEncryptionStandard)−3DES−其他的加密算法：Blowfish，blowfish、cast…HUAWEITECHNOLOGIESCO.,LTD.Page8HUAWEIConfidentialIPSec的安全特点z数据机密性（Confidentiality）z数据完整性（DataIntegrity）z数据来源认证（DataAuthentication）z反重放（Anti-Replay）HUAWEITECHNOLOGIESCO.,LTD.Page9HUAWEIConfidentialIPSec基本概念z数据流(DataFlow)z安全联盟(SecurityAssociation)z安全参数索引(SecurityParameterIndex)z安全联盟生存时间(LifeTime)z安全策略(CryptoMap)z转换方式(TransformMode)HUAWEITECHNOLOGIESCO.,LTD.Page10HUAWEIConfidentialAH协议数据IP包头数据IP包头AH数据原IP包头AH新IP包头传输模式隧道模式下一个头负载长度保留域安全参数索引(SPI)序列号验证数据AH头结构081631HUAWEITECHNOLOGIESCO.,LTD.Page11HUAWEIConfidentialESP协议数据IP包头加密后的数据IP包头ESP头部ESP头新IP包头传输模式隧道模式ESP尾部ESP验证ESP尾部ESP验证081624安全参数索引(SPI)序列号填充字段(0-255字节）有效载荷数据（可变）填充字段长度下一个头验证数据ESP协议包结构数据原IP包头加密部分加密部分HUAWEITECHNOLOGIESCO.,LTD.Page12HUAWEIConfidential第1章IPSec概论第第22章章IKEIKE概论概论HUAWEITECHNOLOGIESCO.,LTD.Page13HUAWEIConfidentialIKEzIKE（InternetKeyExchange，因特网密钥交换协议）z为IPSec提供了自动协商交换密钥、建立安全联盟的服务z通过数据交换来计算密钥HUAWEITECHNOLOGIESCO.,LTD.Page14HUAWEIConfidentialIKE的安全机制z完善的前向安全性z数据验证身份验证身份保护zDH交换和密钥分发HUAWEITECHNOLOGIESCO.,LTD.Page15HUAWEIConfidentialIKE的交换过程SA交换SA交换密钥交换密钥交换ID交换及验证ID交换及验证发送本地IKE策略发送本地IKE策略身份验证和交换过程验证身份验证和交换过程验证密钥生成密钥生成密钥生成密钥生成接受对端确认的策略接受对端确认的策略查找匹配的策略查找匹配的策略身份验证和交换过程验证身份验证和交换过程验证确认对方使用的算法确认对方使用的算法产生密钥产生密钥验证对方身份验证对方身份发起方策略发起方策略接收方确认的策略接收方确认的策略发起方的密钥生成信息发起方的密钥生成信息接收方的密钥生成信息接收方的密钥生成信息发起方身份和验证数据发起方身份和验证数据接收方的身份和验证数据接收方的身份和验证数据Peer1Peer1Peer2Peer2HUAWEITECHNOLOGIESCO.,LTD.Page16HUAWEIConfidentialDH交换及密钥产生aac=gamodpc=gamodpdamodpdamodppeer2peer2peer1peer1bbd=gbmodpd=gbmodpcbmodpcbmodpdamodp=cbmodp=gabmodpdamodp=cbmodp=gabmodp(g,p)(g,p)HUAWEITECHNOLOGIESCO.,LTD.Page17HUAWEIConfidentialIKE在IPSec中的作用z降低手工配置的复杂度z安全联盟定时更新z密钥定时更新z允许IPSec提供反重放服务z允许在端与端之间动态认证HUAWEITECHNOLOGIESCO.,LTD.Page18HUAWEIConfidentialIPSec与IKE的关系IKEIKETCPTCPUDPUDPIPSecIPSecIKEIKETCPTCPUDPUDPIPSecIPSec加密的IP报文加密的IP报文IPIPIKE的SA协商IKE的SA协商SASASASAHUAWEITECHNOLOGIESCO.,LTD.Page19HUAWEIConfidential小结zVPN概念zIPSec原理与工作流程zIKE原理与密钥交换过程谢谢