收藏
下载资源

密钥可能被窃听使用非对称加密算法.ppt

上传人:bao****ty 文档编号:132909108 上传时间:2020-05-21 格式:PPT 页数:31 大小:1.27MB
返回 下载 相关 举报
密钥可能被窃听使用非对称加密算法.ppt_第1页
第1页 / 共31页
密钥可能被窃听使用非对称加密算法.ppt_第2页
第2页 / 共31页
密钥可能被窃听使用非对称加密算法.ppt_第3页
第3页 / 共31页
密钥可能被窃听使用非对称加密算法.ppt_第4页
第4页 / 共31页
密钥可能被窃听使用非对称加密算法.ppt_第5页
第5页 / 共31页
点击查看更多>>
资源描述

《密钥可能被窃听使用非对称加密算法.ppt》由会员分享,可在线阅读,更多相关《密钥可能被窃听使用非对称加密算法.ppt(31页珍藏版)》请在金锄头文库上搜索。

1、第五章IPSecVPN原理与配置 理论部分 广域网存在各种安全隐患网上传输的数据有被窃听的风险网上传输的数据有被篡改的危险通信双方有被冒充的风险 VPN的定义2 1 VPN建立 保护 网络实体之间的通信使用加密技术防止数据被窃听数据完整性验证防止数据被破坏 篡改通过认证机制确认身份 防止数据被截获 回放 VPN的定义2 2 Internet vpn隧道 R1 R2 传输模式封装模式相对简单 传输效率较高IP包头未被保护 VPN的连接模式2 1 Internet A B IP包头 有效载荷 IP包头 VPN头 有效载荷 VPN尾 IP包头 VPN头 IP包头 有效载荷 隧道模式IP包头被保护 V

2、PN的连接模式2 2 新IP头 VPN头 Internet A B 被保护的 新IP头 VPN头 VPN尾 VPN尾 站点到站点VPN VPN的类型2 1 Internet Internet 远程访问VPN VPN的类型2 2 加密算法对称加密算法非对称加密算法密钥交换数据报文验证HMACMD5和SHA VPN技术 对称加密算法DES3DESAES 加密算法4 1 Internet 明文数据 m 加密函数E k m c 解密函数D k c m 共享密钥k 非对称加密算法的原理DH算法 Diffie Hellman 迪菲 赫尔曼 加密算法4 2 Internet 公钥加密E p m c 私钥解密

3、D q c m 将公钥给对方 明文数据 m 私钥始终未在网上传输 加密算法4 3 密钥交换带外共享带内共享IKE InternetKeyExchange 因特网密钥交换协议 Internet 共享密钥key 问题使用对称加密算法 密钥可能被窃听使用非对称加密算法 计算复杂 效率太低 影响传输速度解决方案通过非对称加密算法加密对称加密算法的密钥然后再用对称加密算法加密实际要传输的数据 加密算法的应用4 4 HMAC实现数据完整性验证实现身份验证 数据报文验证 数字签名 Internet A B B 数字签名 Hash算法 加密后的数据 数字签名 K1 Hash算法 如果数据被篡改将无法得到相同的

4、数字签名 HMACMD5SHA 请思考 简述VPN的连接模式有哪些 区别是什么 简述VPN的类型有哪些 简述常见的对称加密算法有哪些 哪种更安全 小结 建立IPSecVPN连接需要3个步骤 流量触发IPSec建立管理连接建立数据连接 IPSec连接 Internet B A 阶段1的三个任务协商采用何种方式建立管理连接通过DH算法共享密钥信息对等体彼此进行身份验证 ISAKMP IKE阶段1 Internet 传输集A A B 1 加密算法2 HMAC功能3 设备验证的类型4 DH密钥组5 管理连接的生存周期 预共享密钥 预共享密钥 共享密钥 共享密钥 DH算法 使用密钥加密用户身份信息使用密

5、钥和用户信息通过hash算法计算数字签名对方比对数字签名确认身份 配置安全策略 ISAKMP IKE阶段1的配置2 1 Internet 指定加密算法 用于加密和验证阶段1第5 6个数据包 指定hash算法 采用预共享密钥方式 指定DH算法的密钥长度 配置结果 默认配置 配置预共享密钥 ISAKMP IKE阶段1的配置2 2 Internet Router showcryptoisakmpkeyKeyringHostname AddressPresharedKeydefault1 1 1 1 encrypted 未指定子网掩码时 默认为 32 Router config keyconfig k

6、eypassword encryptNewkey Confirmkey Router config passwordencryptionaes 加密showrun信息的密钥key 设备需支持aes算法 密文 ISAKMP IKE阶段2需要完成的任务定义对等体间需要保护何种流量定义用来保护数据的安全协议定义传输模式定义数据连接的生存周期以及密钥刷新的方式 ISAKMP IKE阶段2 Internet A B vpn隧道2 vpn隧道1 匹配隧道1的ACL 匹配隧道2的ACL 不匹配ACL的流量 ACL 安全关联的定义整合必要的安全组件用于建立与对等体的IPSec连接阶段1的SA是双向连接阶段2的

7、SA是单向连接SA的三个要素安全参数索引 SPI 安全协议类型目的IP地址 ISAKMP IKE阶段2 ISAKMP IKE阶段2的安全协议AH 认证头协议 数据完整服务数据验证防止数据回放攻击ESP 封装安全载荷协议 ESP对用户数据实现加密功能ESP只对IP数据的有效载荷进行验证 不包括外部的IP包头 ISAKMP IKE阶段2 配置cryptoACL配置阶段2传输集配置连接模式 ISAKMP IKE阶段2的配置2 1 Internet 使用ACL定义何种流量被保护 Router config cryptoipsectransform settransform set nametransf

8、orm1 transform2 transform3 Router cfg crypto tran mode tunnel transport 配置阶段2传输集定义安全协议 定义传输模式 默认为隧道模式 配置CryptoMap ISAKMP IKE阶段2的配置2 2 Internet 既是序列号 更是优先级 静态crypto中必须指定的参数 阶段2的SA的生存周期 阶段2的SA的空闲超时时间 查看IKE策略查看管理连接SA的状态查看IPSec传输集查看数据连接SA的状态查看CryptoMap IPSecVPN的验证 R1 showcryptoisakmppolicy R1 showcrypto

9、isakmpsa R1 showcryptoipsectransform set R1 showcryptoipsecsa R1 showcryptomap 某软件公司项目需求开发项目小组可以通过VPN访问总公司开发服务器 但不能访问Internet分公司的其他客户端可以访问Internet IPSecVPN的配置实现 应用案例开发项目小组可以通过VPN访问总公司研发服务器 但不能访问Internet分公司的其他客户端可以访问Internet CiscoASA配置IPSecVPN4 1 R1 R2 其他部门 研发小组 研发服务器 ASA1 ASA2 172 16 10 0 24 100 0 0

10、 1 30 ISP 200 0 0 1 30 10 10 33 0 24 172 16 0 0 16 NAT豁免 CiscoASA配置IPSecVPN4 2 防火墙的基本配置 有何作用 nat的序号为什么是0呢 建立ISAKMP配置管理连接策略配置预共享密钥7 0版本以上的防火墙一般使用隧道组来配置密钥 CiscoASA配置IPSecVPN4 3 ASA1 config cryptoisakmpenableoutside ASA1 config cryptoisakmppolicy1ASA1 config isakmp policy encryptionaesASA1 config isakm

11、p policy hashshaASA1 config isakmp policy authenticationpre shareASA1 config isakmp policy group1 ASA1 config cryptoisakmpkeybenetaddress200 0 0 1 ASA1 config tunnel group200 0 0 1typeipsec l2lASA1 config tunnel group200 0 0 1ipsec attributesASA1 config ipsec pre shared keybenet 防火墙IKE默认关闭 配置cryptoA

12、CL配置传输集配置cryptomap将CryptoMap应用到outside接口上 CiscoASA配置IPSecVPN4 4 ASA1 config access listyfvpnextendedpermitip172 16 10 0255 255 255 010 10 33 0255 255 255 0 ASA1 config cryptoipsectransform setbenet setesp aesesp sha hmac ASA1 config cryptomapbenet map1matchaddressyfvpnASA1 config cryptomapbenet map1

13、setpeer200 0 0 1ASA1 config cryptomapbenet map1settransform setbenet set ASA1 config cryptomapbenet mapinterfaceoutside 正掩码 阶段1的默认配置 防火墙和路由器的区别3 1 ASA1 config showruncryptocryptoisakmppolicy1authenticationpre shareencryption3deshashshagroup2lifetime86400 Router showcryptoisakmppolicy encryptionalgor

14、ithm DES DataEncryptionStandard 56bitkeys hashalgorithm SecureHashStandardauthenticationmethod Rivest Shamir AdlemanSignatureDiffie Hellmangroup 1 768bit lifetime 86400seconds novolumelimit 接口安全级别对于IPSec流量的影响流量无法通过具有相同安全级别的两个不同的接口流量无法从同一接口进入后再流出 防火墙和路由器的区别3 3 ASA config same security trafficpermit intra interface inter interface

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号