ip的安全概述.pptVIP

* * * * 安全关联－SA * * 用于通信对等方之间对某些要素的一种协定，如： IPSec协议 协议的操作模式：传输、隧道 密码算法 密钥 用于保护数据流的密钥的生存期 安全关联－SA * * 通过像IKE这样的密钥管理协议在通信对等方之间协商而生成 当一个SA协商完成后，两个对等方都在其安全关联数据库(SAD)中存储该SA参数 SA具有一定的生存期，当过期时，要么中止该SA，要么用新的SA替换 终止的SA将从SAD中删除 安全关联－SA * * SAn …… SA3 SA2 SA1 安全关联－SA * * 安全参数索引 32位整数，唯一标识SA 1－255被IANA保留将来使用 0被保留用于本地实现 SAn …… SA3 SA2 SA1 安全关联－SA * * 输出处理SA的目的IP地址 输入处理SA的源IP地址 SAn …… SA3 SA2 SA1 安全关联－SA * * AH ESP SAn …… SA3 SA2 SA1 安全关联－SA * * 安全策略－SP * * SP：指定用于到达或源自特定主机/网络的数据流的策略 SPD：包含策略条目的有序列表 通过使用一个或多个选择符来确定每个条目 安全策略－SP * * 32位IPv4或128位IPv6地址 可以是：主机地址、广播地址、 单播地址、任意播地址、多播组 地址地址范围，地址加子网掩码 通配符号等 SRn …… SR3 SR2 SR1 安全策略－SP选择符 课下作业： Windows对IPSec的支持 * * Internet密钥交换 * * IKE IKE是一个混合协议，使用到三个不同协议的相关部分： ISAKMP Oakley密钥确定协议 SKEME IKE实际定义了一个密钥交换，而ISAKMP仅仅提供了一个可由任意密钥交换协议使用的通用密钥交换框架 Internet 密钥两阶段协商 * * ISAKMP通信双方建立一个ISAKMP SA，即用于保护双方后面的协商通信的一个协定 然后用这个ISAKMP SA为保护其它协议(如AH和ESP)建立SA的协商 阶段1协商 * * 用于为其它安全服务，如AH和ESP建立SA 一个阶段1的SA可用于建立多个阶段2的SA 阶段2协商 * * Internet 密钥交换模式 主模式 野蛮模式 快速模式 新组模式 * * 用于协商阶段1的SA 这种交换模式被设计成将密钥交换信息与身份认证信息相隔离，便于保护身份信息 主模式 * * * * 1－发起者发送一个封装有建议载荷的SA载荷，而建议载荷又封装有变换载荷 2－响应者发送一个SA载荷，表明接受协商的SA的建议 3、4－发起者和接受者交换D-H公开值和各种辅助数据，如nonce。Nonce是计算共享密钥（用来生成加密密钥和认证密钥）所必须的 5、6－双方交换标识数据并认证D-H交换。这两个消息中传递的信息是加密的，用于加密的密钥由消息3－4中交换的密钥信息生成，所以身份信息受到保护 主模式交换的步骤 * * 在不需要保护身份信息时，用于协商阶段1的SA 这种交换模式允许同时传送与SA、密钥交换和认证相关的载荷。将这些载荷组合到一条消息中减少了消息的往返次数 野蛮模式 * * * * 1－发起者发送一个封装有单个建议载荷的SA载荷，而建议载荷重又封装有变换载荷。在野蛮模式中，只提供带有一个变换的建议载荷，响应者可以选择接受或拒绝该建议。D-H公开值、需要的随机数和身份信息也在其中发送 2－响应者发送一个SA载荷，其中封装有一个包含发起者的建议和推荐的变换的建议载荷。 D-H公开值、需要的随机数和身份信息也在其中发送 3－发送者发送应用一致同意的认证函数生成的结果 野蛮模式交换步骤 * * 用于协商阶段2的SA，协商受到阶段1协商好的ISAKMP SA的保护 这种交换模式下交换的载荷都是加密的 快速模式 * * * * 用于为D-H密钥交换协商一个新的群 这种交换模式受到阶段1协商好的ISAKMP SA的保护 新组模式交换 * * 课程内容 IP安全概述 IP安全体系结构 Windows 对IPSec的支持 小结 4 1 2 3 * * 完美向前必威体育官网网址 完美向前必威体育官网网址PFS：Perfect Forward Secrecy 即使攻击者破解了一个密钥，也只能还原由这个密钥所加密的数据，而不能还原其他的加密数据 要达到理想的PFS，一个密钥只能用于一种用途 * * 作业 P191 （1） P208 （1） P236 （2） P253 （2） * * The End 问题？ * * 第十讲 IP的安全 王志伟 Email: zhwwang@njupt.edu.cn * * 课程内容 IP安全概述 IP安全体系结构 Windows 对IPSec的支持 小