资源描述
,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,杭州华三通信技术有限公司,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,IPSec,基本原理,构建安全优化的广域网,1.0,杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播,数据在公网上传输时,很容易遭到篡改和窃听,普通的,VPN,本质上并不能防止篡改和窃听,IPSec,通过验证算法和加密算法防止数据遭受篡改和窃听等安全威胁,大大提高了安全性,引入,描述,IPSec VPN,的功能和特点,描述,IPSec VPN,的体系结构,描述,AH,和,ESP,两种安全协议的特点和工作机制,描述,IKE,的功能、特点和工作机制,课程目标,学习完本课程,您应该能够:,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,IPSec VPN,概述,RFC 2401,描述了,IPSec,(,IP Security,)的体系结构,IPSec,是一种网络层安全保障机制,IPSec,可以实现访问控制、机密性、完整性校验、数据源验证、拒绝重播报文等安全功能,IPSec,可以引入多种验证算法、加密算法和密钥管理机制,IPSec VPN,是利用,IPSec,隧道实现的,L3 VPN,IPSec,也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,IPSec,的体系结构,安全协议,负责保护数据,AH/ESP,工作模式,传输模式:实现端到端保护,隧道模式:实现站点到站点保护,密钥管理,手工配置密钥,通过,IKE,协商密钥,IPSec,传输模式,RTA,RTB,站点,A,站点,B,加密报文,IP,IPSec,隧道模式,RTA,RTB,IPSec Tunnel,站点,A,站点,B,普通报文,加密报文,IP,普通报文,IPSec SA,SA,(,Security Association,,安全联盟),由一个(,SPI,,,IP,目的地址,安全协议标识符)三元组唯一标识,决定了对报文进行何种处理,协议、算法、密钥,每个,IPSec SA,都是单向的,手工建立,/IKE,协商生成,SPD,(,Security Policy Database,),SAD,(,Security Association Database,),IPSec,出站包处理流程,查找,SPD,策略,数据包到达,出接口,查找,IPSec SA,查找,IKE SA,创建,IKE SA,创建,IPSec SA,执行安全服务,(,AH/ESP/AH+ESP,),转发,丢弃,旁路安全服务,丢弃,需要提供安全服务,没有找到,没有找到,找到,找到,IPSec,入站包处理流程,目的地址,是否本地,数据包到达,入接口,该数据包是否,被,IPSec,保护,查找,IPSec SA,解开,IPSec,封装,获得原始,IP,包,转发,否,是,是,没有找到,否,找到,提交上层处理,丢弃,目的地址,是否本地,否,是,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,AH,介绍,AH,(,Authentication Header,),RFC 2402,提供数据的完整性校验和源验证,不能提供数据加密功能,可提供有限的抗重播能力,AH,头格式,Next Header,Payload Len,Reserved,Security Parameters Index(SPI),Sequence Number Field,Authentication Data(variable),0,8,16,31,AH,用,IP,协议号,51,标识,传输模式,AH,封装,载荷数据,TCP,原始,IP,头,载荷数据,原始,IP,头,TCP,AH,头,验证计算前,所有可变字段预先置,0,Authentication Data,密钥,AH,头,单向散列函数,载荷数据,TCP,原始,IP,头,原始,IP,包,AH,处理后的包,隧道模式,AH,封装,载荷数据,TCP,原始,IP,头,Authentication Data,密钥,AH,头,单向散列函数,新,IP,头,载荷数据,TCP,原始,IP,头,AH,头,新,IP,头,验证计算前,所有可变字段预先置,0,载荷数据,TCP,原始,IP,头,原始,IP,包,AH,处理后的包,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,ESP,介绍,ESP,(,Encapsulating Security Payload,),RFC 2406,可提供数据的机密性保证,可提供数据的完整性校验和源验证,可提供一定的抗重播能力,ESP,头和尾格式,ESP,用,IP,协议号,50,标识,24,16,8,0,31,Sequence Number,Security Parameters Index(SPI),Authentication Data(variable),Next Header,Pad length,Payload Data(variable),Padding(0-255 bytes,),ESP,尾,传输模式,ESP,封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始,IP,头,ESP Auth,ESP,尾,ESP,头,密文,验证密钥,ESP,头,密文,载荷数据,TCP,原始,IP,头,原始,IP,包,验证算法,密文,ESP,尾,隧道模式,ESP,封装,Authentication Data,加密密钥,加密算法,载荷数据,TCP,原始,IP,头,新,IP,头,ESP,尾,ESP,头,密文,验证密钥,ESP,头,密文,载荷数据,TCP,原始,IP,头,原始,IP,包,验证算法,密文,ESP Auth,IPSec VPN,概述,IPSec,体系结构,AH,ESP,IKE,目录,IKE,介绍,RFC 2409,使用,Diffie-Hellman,交换,在不安全的网络上安全地分发密钥,验证身份,定时更新,SA,和密钥,实现完善的前向安全性,允许,IPSec,提供抗重播服务,降低手工布署的复杂度,UDP,端口,500,IKE,AH/ESP,IKE,与,IPSec,的关系,IKE,普通报文,受保护的报文,交换密钥,协商,IPSec SA,AH/ESP,普通报文,IPSec,IPSec,IKE,为,IPSec,提供自动协商交换密钥、建立,SA,的服务,IPSec,安全协议负责提供实际的安全服务,IKE,协商的两个阶段,阶段,1,在网络上建立一个,IKE SA,,为阶段,2,协商提供保护,主模式(,Main Mode,)和野蛮模式(,Aggressive Mode,),阶段,2,在阶段,1,建立的,IKE SA,的保护下完成,IPSec SA,的协商,快速模式(,Quick Mode,),IKE,主模式,策略协商,DH,交换,ID,交换及验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,发送本地,IKE,策略,身份验证和,交换过程验证,密钥生成,密钥生成,接受对端,确认的策略,查找匹配,的策略,身份验证和,交换过程验证,IKE,野蛮模式,发送本地,IKE,策略,开始,DH,交换,验证,接受对端确认的策略,密钥生成,验证,查找匹配的策略,继续,DH,交换,验证,发起方策略,DH,公共值,接收方确认的策略、,DH,公共值、验证载荷,验证载荷,Peer1,Peer2,IPSec,可提供,IP,通信的机密性、完整性和数据源验证服务,AH,可提供数据源验证和完整性保证,,ESP,还可提供机密性保证,IPSec,通过,SA,为数据提供安全服务,IKE,为,IPSec,提供了安全的密钥交换手段,本章总结,
展开阅读全文