《3000 IPsec - IPsec的安全组件和PKI公共密钥基础架构精编版》由会员分享,可在线阅读,更多相关《3000 IPsec - IPsec的安全组件和PKI公共密钥基础架构精编版(32页珍藏版)》请在金锄头文库上搜索。
1、IPsec,IPsec的安全组件和PKI公共密钥基础架构,IPsec 概述,什么是IPsec,IPsec是IETF的标准,其在网络层使用加密机制实现: IP报文的认证 为每一个数据包提供数据完整性的保证 对数据进行机密性的保护 IPsec由一系列的开放标准组成,用于保护秘密的通信 不管是小型的网络还是大型的网络都可以实施IPsec技术,IPsec,Internet,IPsec 协议,IPsec使用三个主要的协议构建了安全框架: Internet Key Exchange (IKE): 为安全框架提供了安全参数协商能力 建立认证密钥 Encapsulating Security Payload
2、(ESP): 为安全框架提供了加密,认证,完整性特性对数据实施保护 Authentication Header (AH): 仅仅提供了身份认证,完整性保护特性,Internet Key Exchange,Internet Key Exchange,IKE能够自动的实现密钥的交换,简化了手工配置的复杂性。同时也解决了IPsec难以扩展的特性。其主要功能: 协商SA的安全特性 密钥的自动生成 易于管理和配置,IKE 阶段,阶段一: 认证对等体 协商安全安联(安全联盟) 两种工作模式: Main mode 和 aggressive mode 阶段二: 协商IPsec SAs/SPIs 单一工作模式:
3、 快速模式 IKE阶段一完成后会产生一个共享密钥,用于阶段二的数据加密使用.,ESP 和 AH 协议,ESP 和 AH 协议,IPsec 协议: ESP和AH ESP的IP 协议号为 50 AH的IP协议号为 51 IPsec 模式: 隧道和传输模式 隧道模式会为原始的IP数据包添加额外的IP报头 消息的加密依赖于对称式加密算法,ESP 和 AH 的报文,ESP能够实现对原始的数据包的认证和加密. AH仅仅提供了数据报头的认证能力,其不能够提供加密特性.,IP HDR,AH,IP HDR,ESP,AH认证和完整性,AH协议对数据与密钥进行散列运算,将产生的值附加在报文中,对等体仅需要采用相同的
4、方式进行运算并比较,即可确认发送方的身份和报文完整性.,ESP协议,使用加密提供数据机密性保证 使用与AH相同的方法提供了认证和完整性的确认,隧道与传输模式,隧道模式提供了站点到站点数据传输保护,其能够为inside网络提供穿越公网的能力. 传输模式通常使用在双方拥有能够直接通讯IP地址的情况下.,认证与完整性,使用HASH算法提供认证和完整性,MAC通常用于消息的认证和完整性检测. 哈希算法被广泛的用于此处,并被称为HMAC机制.,通用的哈希算法,哈希散列算法为单向算法,即不能根据结果值推算原始数据信息. 通常会将产生的结果值称为散列值,指纹或者是“消息摘要”. MD5提供了128-bit输
5、出. SHA-1算法提供了160-bit输出,但在IPsec中仅仅只使用前96位. SHA-1比MD5更具有安全性,但其运算较慢.,对称与不对称算法,对称与不对称算法,对称式算法: 加密和解密使用相同的密钥 通常用于消息的内容加密 例如: DES, 3DES, AES 不对称式算法: 加密和解密使用不同的密钥 通常用于数字证书和密钥管理 例如: RSA,对称与不对称密钥长度,由于对称式加密和不对称式加密一般用于不同的目的,因此其密钥长度也不相同.两者并不具有可比性.,加密算法的安全级别,加密算法: DES,对称式的加密算法 使用56位长度的密钥对64位数据块进行加密 DES加密后数据,意味着其
6、可能会有72,057,594,037,927,936种密钥组合.,加密算法: 3DES,对称式的加密算法 168-bit 密钥长度 加密操作大概是DES的3倍时间 使用三个不同的56-bit密钥对64-bit数据块实施:加密,加密,加密 可能会产生2168 = 3.7 * 1050 种不同的密钥组合,加密算法: AES,对称式的加密算法 DES和3DES替代者 早期被称为“Rijndael”算法 其支持128,192,256-bit长度密钥,加密算法: RSA,基于Diffie-Hellman密钥交换原则 公钥用于加密数据同时用于确认数字签名 私钥用于解密数据同时用于签署数字签名,Diffie
7、-Hellman 密钥交换,PKI 公共密钥基础架构,PKI 架构,Certificate Authority 证书权威中心,PKI系统是以信任为基础 通过发布数字证书,并且将用户身份信息绑定到用户公钥证书中方式,确认用户身份. 撤销证书需要发布使用CRL(证书撤销列表).,X.509 v3 证书结构,PKI 消息交换,PKI 证书存储,如何存储PKI的信任证书: RSA产生的公钥证书 路由器的NVRAM中 eToken方式: 驱动程序内嵌 操作系统 USB 方式,1、有时候读书是一种巧妙地避开思考的方法。20.9.1720.9.17Thursday, September 17, 2020 2
8、、阅读一切好书如同和过去最杰出的人谈话。09:43:3309:43:3309:439/17/2020 9:43:33 AM 3、越是没有本领的就越加自命不凡。20.9.1709:43:3309:43Sep-2017-Sep-20 4、越是无能的人,越喜欢挑剔别人的错儿。09:43:3309:43:3309:43Thursday, September 17, 2020 5、知人者智,自知者明。胜人者有力,自胜者强。20.9.1720.9.1709:43:3309:43:33September 17, 2020 6、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2020年9月17日星期四上午9时
9、43分33秒09:43:3320.9.17 7、最具挑战性的挑战莫过于提升自我。2020年9月上午9时43分20.9.1709:43September 17, 2020 8、业余生活要有意义,不要越轨。2020年9月17日星期四9时43分33秒09:43:3317 September 2020 9、一个人即使已登上顶峰,也仍要自强不息。上午9时43分33秒上午9时43分09:43:3320.9.17 10、你要做多大的事情,就该承受多大的压力。9/17/2020 9:43:33 AM09:43:332020/9/17 11、自己要先看得起自己,别人才会看得起你。9/17/2020 9:43 AM9/17/2020 9:43 AM20.9.1720.9.17 12、这一秒不放弃,下一秒就会有希望。17-Sep-2017 September 202020.9.17 13、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Thursday, September 17, 202017-Sep-2020.9.17 14、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。20.9.1709:43:3317 September 202009:43,谢谢大家,
