收藏 分销(赏)

IPSec基本原理.ppt

上传人:二*** 文档编号:12817078 上传时间:2025-12-10 格式:PPT 页数:30 大小:914KB 下载积分:5 金币
下载 相关 举报
IPSec基本原理.ppt_第1页
第1页 / 共30页
本文档共30页,全文阅读请下载到手机保存,查看更方便
资源描述
,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,IPSec,基本原理,构建安全优化的广域网,1.0,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,数据在公网上传输时,很容易遭到篡改和窃听,普通的,VPN,本质上并不能防止篡改和窃听,IPSec,通过验证算法和加密算法防止数据遭受篡改和窃听等安全威胁,大大提高了安全性,引入,描述,IPSec VPN,的功能和特点,描述,IPSec VPN,的体系结构,描述,AH,和,ESP,两种安全协议的特点和工作机制,描述,IKE,的功能、特点和工作机制,课程目标,学习完本课程,您应该能够:,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,IPSec VPN,概述,RFC 2401,描述了,IPSec,(,IP Security,)的体系结构,IPSec,是一种网络层安全保障机制,IPSec,可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能,IPSec,可以引入多种验证算法、加密算法和密钥管理机制,IPSec VPN,是利用,IPSec,隧道实现的,L3 VPN,IPSec,也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,IPSec,的体系结构,安全协议,负责保护数据,AH/ESP,工作模式,传输模式:实现端到端保护,隧道模式:实现站点到站点保护,密钥管理,手工配置密钥,通过,IKE,协商密钥,IPSec,传输模式,RTA,RTB,站点,A,站点,B,加密报文,IP,IPSec,隧道模式,RTA,RTB,IPSec Tunnel,站点,A,站点,B,普通报文,加密报文,IP,普通报文,IPSec SA,SA,(,Security Association,,安全联盟),由一个(,SPI,,,IP,目的地址,安全协议标识符)三元组唯一标识,决定了对报文进行何种处理,协议、算法、密钥,每个,IPSec SA,都是单向的,手工建立,/IKE,协商生成,SPD,(,Security Policy Database,),SAD,(,Security Association Database,),IPSec,出站包处理流程,查找,SPD,策略,数据包到达,出接口,查找,IPSec SA,查找,IKE SA,创建,IKE SA,创建,IPSec SA,执行安全服务,(,AH/ESP/AH+ESP,),转发,丢弃,旁路安全服务,丢弃,需要提供安全服务,没有找到,没有找到,找到,找到,IPSec,入站包处理流程,目的地址,是否本地,数据包到达,入接口,该数据包是否,被,IPSec,保护,查找,IPSec SA,解开,IPSec,封装,获得原始,IP,包,转发,否,是,是,没有找到,否,找到,提交上层处理,丢弃,目的地址,是否本地,否,是,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,AH,介绍,AH,(,Authentication Header,),RFC 2402,提供数据的完整性校验和源验证,不能提供数据加密功能,可提供有限的抗重播能力,AH,头格式,Next Header,Payload Len,Reserved,Security Parameters Index(SPI),Sequence Number Field,Authentication Data(variable),0,8,16,31,AH,用,IP,协议号,51,标识,传输模式,AH,封装,载荷数据,TCP,原始,IP,头,载荷数据,原始,IP,头,TCP,AH,头,验证计算前,所有可变字段预先置,0,Authentication Data,密钥,AH,头,单向散列函数,载荷数据,TCP,原始,IP,头,原始,IP,包,AH,处理后的包,隧道模式,AH,封装,载荷数据,TCP,原始,IP,头,Authentication Data,密钥,AH,头,单向散列函数,新,IP,头,载荷数据,TCP,原始,IP,头,AH,头,新,IP,头,验证计算前,所有可变字段预先置,0,载荷数据,TCP,原始,IP,头,原始,IP,包,AH,处理后的包,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,ESP,介绍,ESP,(,Encapsulating Security Payload,),RFC 2406,可提供数据的机密性保证,可提供数据的完整性校验和源验证,可提供一定的抗重播能力,ESP,头和尾格式,ESP,用,IP,协议号,50,标识,24,16,8,0,31,Sequence Number,Security Parameters Index(SPI),Authentication Data(variable),Next Header,Pad length,Payload Data(variable),Padding(0-255 bytes,),ESP,尾,传输模式,ESP,封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始,IP,头,ESP Auth,ESP,尾,ESP,头,密文,验证密钥,ESP,头,密文,载荷数据,TCP,原始,IP,头,原始,IP,包,验证算法,密文,ESP,尾,隧道模式,ESP,封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始,IP,头,新,IP,头,ESP,尾,ESP,头,密文,验证密钥,ESP,头,密文,载荷数据,TCP,原始,IP,头,原始,IP,包,验证算法,密文,ESP Auth,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,IKE,介绍,RFC 2409,使用,Diffie-Hellman,交换,在不安全的网络上安全地分发密钥,验证身份,定时更新,SA,和密钥,实现完善的前向安全性,允许,IPSec,提供抗重播服务,降低手工布署的复杂度,UDP,端口,500,IKE,AH/ESP,IKE,与,IPSec,的关系,IKE,普通报文,受保护的报文,交换密钥,协商,IPSec SA,AH/ESP,普通报文,IPSec,IPSec,IKE,为,IPSec,提供自动协商交换密钥、建立,SA,的服务,IPSec,安全协议负责提供实际的安全服务,IKE,协商的两个阶段,阶段,1,在网络上建立一个,IKE SA,,为阶段,2,协商提供保护,主模式(,Main Mode,)和野蛮模式(,Aggressive Mode,),阶段,2,在阶段,1,建立的,IKE SA,的保护下完成,IPSec SA,的协商,快速模式(,Quick Mode,),IKE,主模式,策略协商,DH,交换,ID,交换及验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,发送本地,IKE,策略,身份验证和,交换过程验证,密钥生成,密钥生成,接受对端,确认的策略,查找匹配,的策略,身份验证和,交换过程验证,IKE,野蛮模式,发送本地,IKE,策略,开始,DH,交换,验证,接受对端确认的策略,密钥生成,验证,查找匹配的策略,继续,DH,交换,验证,发起方策略,DH,公共值,接收方确认的策略、,DH,公共值、验证载荷,验证载荷,Peer1,Peer2,IPSec,可提供,IP,通信的机密性、完整性和数据源验证服务,AH,可提供数据源验证和完整性保证,,ESP,还可提供机密性保证,IPSec,通过,SA,为数据提供安全服务,IKE,为,IPSec,提供了安全的密钥交换手段,本章总结,
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 环境建筑 > 其他

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服