Transcript IPSec协议

IPSec协议
申国伟
[email protected]
主要内容
IPSec概述及体系结构
IPSec的AH协议
IPSec的ESP协议
IPSec的IKE协议
基于IPSec的VPN应用
IPSec概述
目标：
实现比较全面的网络层安全，包括网络之间的相
互认证、加密链路的建立和保密通信。
主要协议集：
1 认证报文头（Authentication Header, AH）
2 封装安全载荷（Encapsulating Security Payload, ESP）
3 Internet密钥交换（Internet Key Exchange, IKE）
IPSec的安全体系结构
安全体系结构
封装安全载荷(ESP)
认证头协议（AH）
加密算法
验证算法
解释域（DOI）
密钥管理（IKE）
策略
IPSec的通信流程
IPSec封装模式
IPSec支持两种封装模式：传输模式和隧道模式
传输模式
隧道模式
AH协议
AH功能：
为IP包提供数据完整性校验和身份认证
具备可选择的重放攻击保护
保护上层协议（传输模式）或完整的IP数据包（隧
道模式）
AH的结构：
下一头部 载荷长度 保留字段
安全参数索引（SPI）
序列号
验证数据
AH协议续
AH的两种传输模式：
传输模式和隧道模式
新IP头
AH
TCP头
TCP载荷数据
传输模式
新IP头
AH
原IP头
TCP头
TCP载荷数据
隧道模式
ESP协议
ESP协议功能：
为IP报文提供数据完整性校验、身份认证、
数据加密以及重放攻击保护等。
ESP头格式：
0
ESP头部
7
15
23
31
安全参数索引（SPI）
序列号
初始化向量（IV）
有效载荷数据
ESP尾部
ESP验证
数据
填充项 填充项长度 下一头部
验证数据(ICV)
验
证
加
范
密
围
范
围
IKE协议
IKE协议：基于ISAKMP、Oakley和SKEME,是一
种混合型协议，它建立在由ISAKMP定义的一个框
架上，同时实现了Oakley和SKEME协议的一部分。
IKE协议
理论模型：
IKE的安全基础
•
•
•
•
•
1.Diffie-Hellman密钥交换
2.安全散列
3.对称密钥加密
4.公开密钥加密
5.数字签名
IKE的安全性分析
• 中间人攻击：
Internet
M
A
IKEv2的推出：
IPSec工作组于2005年12月推出了IKE2。
IKE：RFC2409
IKEv2：RFC4306
B
基于IPSec的VPN应用
• VPN的定义：
RFC2746对IP VPN的概念阐述：IP VPN是一种使
用IP网络设施对专用广域网进行仿真，依靠ISP和
其他的NSP在公共网络上模拟专用网，建立专用
数据通信网络的技术。
• VPN的主要技术：
1.IPSec技术
2.MPLS技术
3.SSL技术
端到端IPSec VPN的工作原理
IKE阶段1
IKE阶段2
IPSec SA (Security Association)
◆SPI (Security Parameter Index)，由IKE自动分配
◆发送数据包时，会把SPI插入到IPSec头中
◆接收到数据包后，根据SPI值查找SAD和SPD，从而
获知解密数据包所需的加解密算法、hash算法等。
◆一个SA只记录单向的参数，所以一个IPSec连接会有
两个IPSec SA。
谢 谢！