第三章 实验2 IPsec协议(课堂讲-全部).pptVIP

为身份验证选择加密算法 在身份验证的时候要传输身份验证密钥，为了保证密钥的安全，可以选用两种加密算法加密传输的密钥，一种是SHA加密算法，采用160个二进制位，另一种是MD5加密算法，采用128个二进制位。 模式选择 如果将IPSEC用在局域网中，则应该选择“传送模式”； 如果将IPSEC用于广域网中，则应该选择“隧道模式”，并且指出对方计算机的IP地址。 模式选择 IPSEC的默认模式是“传送模式”，要改为“隧道模式”，需要用鼠标双击一个选中的IPSEC策略，在“IP安全规则”对话框中，选中“所有IP通信”，用鼠标点击“编辑”，在“编辑规则属性”对话框中，选择“隧道设置”选项栏，选中“隧道终点由此IP地址指定”，在IP地址处输入远端计算机的IP地址 ISAKMP载荷类型 通用载荷 安全关联载荷 建议载荷 变换载荷 密钥交换载荷 标识载荷 证书载荷 证书请求载荷 杂凑载荷 签名载荷 nonce载荷 通知载荷 删除载荷 厂商ID载荷 Internet密钥交换 交换阶段 交换模式 生成密钥信息 Oakley群 模式配置 混合认证 IKE IKE是一个混合协议，使用到三个不同协议的相关部分： －ISAKMP －Oakley密钥确定协议 －SKEME IKE实际定义了一个密钥交换，而ISAKMP仅仅提供了一个可由任意密钥交换协议使用的通用密钥交换框架 Internet 密钥两阶段协商 阶段1协商 ISAKMP通信双方建立一个ISAKMP SA，即用于保护双方后面的协商通信的一个协定 然后用这个ISAKMP SA为保护其它协议(如AH和ESP)建立SA的协商 阶段2协商 用于为其它安全服务，如AH和ESP建立SA 一个阶段1的SA可用于建立多个阶段2的SA Internet 密钥交换模式 主模式 野蛮模式 快速模式 新群模式 主模式 用于协商阶段1的SA 这种交换模式被设计成将密钥交换信息与身份、认证信息相隔离，便于保护什么信息 主模式 1－发起者发送一个封装有建议载荷的SA载荷，而建议载荷重又封装有变换载荷 2－响应者发送一个SA载荷，表明接受协商的SA的建议 3、4－发起者和接受者交换D-H公开值和各种辅助数据，如nonce。Nonce是计算共享密钥（用来生成加密密钥和认证密钥）所必须的 5、6－双方交换标识数据并认证D-H交换。这两个消息中传递的信息是加密的，用于加密的密钥由消息3－4中交换的密钥信息生成，所以身份信息受到保护 野蛮模式 在不需要保护身份信息时，用于协商阶段1的SA 这种交换模式允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数 野蛮模式 1－发起者发送一个封装有单个建议载荷的SA载荷，而建议载荷重又封装有变换载荷。在野蛮模式中，只提供带有一个变换的建议载荷，响应者可以选择接受或拒绝该建议。D-H公开值、需要的随机数和身份信息也在其中发送 2－响应者发送一个SA载荷，其中封装有一个包含发起者的建议和推荐的变换的建议载荷。 D-H公开值、需要的随机数和身份信息也在其中发送 3－发送者发送应用一致同意的认证函数生成的结果 快速模式 用于协商阶段2的SA，协商受到阶段1协商好的ISAKMP SA的保护 这种交换模式下交换的载荷都是加密的 新群(new group)模式 用于为D-H密钥交换协商一个新的群 这种交换模式受到阶段1协商好的ISAKMP SA的保护 IPSec和IKE小结 IPSec在网络层上提供安全服务：定义了两个协议AH和ESP IKE提供了密钥交换功能：利用ISAKMP提供的框架、以及Oakley和SKEME的密钥交换协议的优点 通过SA把两部分连接起来 已经发展成为Internet标准 IPSec和IKE小结 IPSec太复杂 － 协议复杂性，导致很难达到真正的安全性 － 管理和配置复杂，使得安全性下降 实现上的兼容性 攻击：DOS，网络层之下的协议、之上的协议的弱点 还在进一步完善 IPSec 配置和管理 WinXP IPSEC 配置 见《使用IPsec保证网络的安全性》和《在WindowsXP上配置IPsec》 Win2K IPSEC 配置 启用IPSEC策略 在Win 2000的计算机中，点击“开始”→“运行”，输入“MMC”，按确定；出现Windows的管理控制台界面，按“CTRL+M”键，在出现的对话框中点“添加”，在“添加独立的管理单元”对话框中，选中“IP安全策略管理”，点添加(如图)；在“选择计算机”对话框中，选择“本地计算机”，表示管理现在正在使用的计算机，依次用鼠标按“完成”、“关闭”、“确定”按钮。 用鼠标点击“IP安全策略，在本地机器”，在右边的窗口中有三种预定的策略：