3000-IPsec---IPsec的安全组件和PKI公共密钥基础架构.pptx

《3000-IPsec---IPsec的安全组件和PKI公共密钥基础架构.pptx》由会员分享，可在线阅读，更多相关《3000-IPsec---IPsec的安全组件和PKI公共密钥基础架构.pptx（32页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、IPsecIPsec的安全组件和的安全组件和PKI公共密钥基础架构公共密钥基础架构 IPsec 概述概述什么是什么是IPsec IPsec是是IETF的标准的标准,其在网络层使用加密机制实现其在网络层使用加密机制实现: IP报文的报文的认证认证 为每一个数据包提供为每一个数据包提供数据完整性数据完整性的保证的保证 对数据进行对数据进行机密性机密性的保护的保护 IPsec由一系列的开放标准组成，用于保护秘密的通信由一系列的开放标准组成，用于保护秘密的通信 不管是小型的网络还是大型的网络都可以实施不管是小型的网络还是大型的网络都可以实施IPsec技术技术IPsecInternetIPsec 协议协

2、议IPsec使用三个主要的协议构建了安全框架使用三个主要的协议构建了安全框架: Internet Key Exchange (IKE): 为安全框架提供了安全参数协商能力为安全框架提供了安全参数协商能力 建立认证密钥建立认证密钥 Encapsulating Security Payload (ESP): 为安全框架提供了加密为安全框架提供了加密,认证认证,完整性特性对数据实施保护完整性特性对数据实施保护 Authentication Header (AH): 仅仅提供了身份认证仅仅提供了身份认证,完整性保护特性完整性保护特性Internet Key ExchangeInternet Key E

3、xchangeIKE能够自动的实现密钥的能够自动的实现密钥的交换，简化了手工配置的交换，简化了手工配置的复杂性。同时也解决了复杂性。同时也解决了IPsec难以扩展的特性。其难以扩展的特性。其主要功能主要功能: 协商协商SA的安全特性的安全特性 密钥的自动生成密钥的自动生成 易于管理和配置易于管理和配置IKE 阶段阶段 阶段一阶段一: 认证对等体认证对等体 协商安全安联协商安全安联(安全联盟安全联盟) 两种工作模式两种工作模式: Main mode 和和 aggressive mode 阶段二阶段二: 协商协商IPsec SAs/SPIs 单一工作模式单一工作模式: 快速模式快速模式IKE阶段一

4、完成后会产生一个共享密钥阶段一完成后会产生一个共享密钥,用于阶段二的数据用于阶段二的数据加密使用加密使用.ESP 和和 AH 协议协议ESP 和和 AH 协议协议 IPsec 协议协议: ESP和和AH ESP的的IP 协议号为协议号为 50 AH的的IP协议号为协议号为 51 IPsec 模式模式: 隧道和传输模式隧道和传输模式 隧道模式会为原始的隧道模式会为原始的IP数据包添加额外的数据包添加额外的IP报头报头 消息的加密依赖于对称式加密算法消息的加密依赖于对称式加密算法ESP 和和 AH 的报文的报文 ESP能够实现对原始的数据包的认证和加密能够实现对原始的数据包的认证和加密. AH仅仅

5、提供了数据报头的认证能力仅仅提供了数据报头的认证能力,其不能够提供加密其不能够提供加密特性特性.IP HDRAHIP HDRESPAH认证和完整性认证和完整性AH协议对数据与密钥进行散列运算协议对数据与密钥进行散列运算,将产生的值附加在报将产生的值附加在报文中文中,对等体仅需要采用相同的方式进行运算并比较对等体仅需要采用相同的方式进行运算并比较,即可即可确认发送方的身份和报文完整性确认发送方的身份和报文完整性.ESP协议协议 使用加密提供数据机密性保证使用加密提供数据机密性保证 使用与使用与AH相同的方法提供了认证和完整性的确认相同的方法提供了认证和完整性的确认隧道与传输模式隧道与传输模式 隧

6、道模式提供了站点到站点数据传输保护隧道模式提供了站点到站点数据传输保护,其能够为其能够为inside网络提网络提供穿越公网的能力供穿越公网的能力. 传输模式通常使用在双方拥有能够直接通讯传输模式通常使用在双方拥有能够直接通讯IP地址的情况下地址的情况下.认证与完整性认证与完整性使用使用HASH算法提供认证和完整性算法提供认证和完整性 MAC通常用于消息的认证和完整性检测通常用于消息的认证和完整性检测. 哈希算法被广泛的用于此处哈希算法被广泛的用于此处,并被称为并被称为HMAC机制机制.通用的哈希算法通用的哈希算法 哈希散列算法为单向算法哈希散列算法为单向算法,即不能根据结果值推算原始数据信息即

7、不能根据结果值推算原始数据信息. 通常会将产生的结果值称为散列值通常会将产生的结果值称为散列值,指纹或者是指纹或者是“消息摘要消息摘要”. MD5提供了提供了128-bit输出输出. SHA-1算法提供了算法提供了160-bit输出输出,但在但在IPsec中仅仅只使用前中仅仅只使用前96位位. SHA-1比比MD5更具有安全性更具有安全性,但其运算较慢但其运算较慢.对称与不对称算法对称与不对称算法对称与不对称算法对称与不对称算法 对称式算法对称式算法: 加密和解密使用相同的密加密和解密使用相同的密钥钥 通常用于消息的内容加密通常用于消息的内容加密 例如例如: DES, 3DES, AES 不对

8、称式算法不对称式算法: 加密和解密使用不同的密加密和解密使用不同的密钥钥 通常用于数字证书和密钥通常用于数字证书和密钥管理管理 例如例如: RSA对称与不对称密钥长度对称与不对称密钥长度Symmetric Key LengthAsymmetric Key Length80102411220481283072192768025615,360由于对称式加密和不对称式加密一般用于不同的目的由于对称式加密和不对称式加密一般用于不同的目的,因因此其密钥长度也不相同此其密钥长度也不相同.两者并不具有可比性两者并不具有可比性.加密算法的安全级别加密算法的安全级别Security LevelWork Fact

9、orAlgorithmsWeakO(240)DES, MD5LegacyO(264)RC4, SHA-1BaselineO(280)3DESStandardO(2128)AES-128, SHA-256HighO(2192)AES-192, SHA-384UltraO(2256)AES-256, SHA-512加密算法加密算法: DES 对称式的加密算法对称式的加密算法 使用使用56位长度的密钥对位长度的密钥对64位数据块进行加密位数据块进行加密 DES加密后数据加密后数据,意味着其可能会有意味着其可能会有72,057,594,037,927,936种密钥组合种密钥组合.加密算法加密算法: 3

10、DES 对称式的加密算法对称式的加密算法 168-bit 密钥长度密钥长度 加密操作大概是加密操作大概是DES的的3倍时间倍时间 使用三个不同的使用三个不同的56-bit密钥对密钥对64-bit数据块实施数据块实施:加密加密,加加密密,加密加密 可能会产生可能会产生2168 = 3.7 * 1050 种不同的密钥组合种不同的密钥组合加密算法加密算法: AES 对称式的加密算法对称式的加密算法 DES和和3DES替代者替代者 早期被称为早期被称为“Rijndael”算法算法 其支持其支持128,192,256-bit长度密钥长度密钥加密算法加密算法: RSA 基于基于Diffie-Hellman

11、密钥交换原则密钥交换原则 公钥用于加密数据同时用于确认数字签名公钥用于加密数据同时用于确认数字签名 私钥用于解密数据同时用于签署数字签名私钥用于解密数据同时用于签署数字签名Diffie-Hellman 密钥交换密钥交换PKI 公共密钥基础架构公共密钥基础架构PKI 架构架构Certificate Authority 证书权威中心证书权威中心 PKI系统是以信任为基础系统是以信任为基础 通过发布数字证书通过发布数字证书,并且将用户身份信息绑定到用户公钥证书中方并且将用户身份信息绑定到用户公钥证书中方式式,确认用户身份确认用户身份. 撤销证书需要发布使用撤销证书需要发布使用CRL(证书撤销列表证书

12、撤销列表).X.509 v3 证书结构证书结构PKI 消息交换消息交换PKI 证书存储证书存储如何存储如何存储PKI的信任证书的信任证书: RSA产生的公钥证书产生的公钥证书 路由器的路由器的NVRAM中中 eToken方式方式: 驱动程序内嵌驱动程序内嵌 操作系统操作系统 USB 方式方式生活中的辛苦阻挠不了我对生活的热爱。生活中的辛苦阻挠不了我对生活的热爱。22.5.2522.5.25Wednesday, May 25, 2022人生得意须尽欢，莫使金樽空对月。人生得意须尽欢，莫使金樽空对月。20:19:4020:19:4020:195/25/2022 8:19:40 PM做一枚螺丝钉，那

13、里需要那里上。做一枚螺丝钉，那里需要那里上。22.5.2520:19:4020:19May-2225-May-22日复一日的努力只为成就美好的明天。日复一日的努力只为成就美好的明天。20:19:4020:19:4020:19Wednesday, May 25, 2022安全放在第一位，防微杜渐。安全放在第一位，防微杜渐。22.5.2522.5.2520:19:4020:19:40May 25, 2022加强自身建设，增强个人的休养。加强自身建设，增强个人的休养。2022年年5月月25日日下午下午8时时19分分22.5.2522.5.25精益求精，追求卓越，因为相信而伟大。精益求精，追求卓越，因

14、为相信而伟大。2022年年5月月25日星期三日星期三下午下午8时时19分分40秒秒20:19:4022.5.25让自己更加强大，更加专业，这才能让自己更好。让自己更加强大，更加专业，这才能让自己更好。2022年年5月月下午下午8时时19分分22.5.2520:19May 25, 2022这些年的努力就为了得到相应的回报。这些年的努力就为了得到相应的回报。2022年年5月月25日星期三日星期三20时时19分分40秒秒20:19:4025 May 2022科学，你是国力的灵魂；同时又是社会发展的标志。科学，你是国力的灵魂；同时又是社会发展的标志。下午下午8时时19分分40秒秒下午下午8时时19分分20:19:4022.5.25每天都是美好的一天，新的一天开启。每天都是美好的一天，新的一天开启。22.5.2522.5.2520:1920:19:4020:19:40May-22相信命运，让自己成长，慢慢的长大。相信命运，让自己成长，慢慢的长大。2022年年5月月25日星期三日星期三20时时19分分40秒秒Wednesday, May 25, 2022爱情，亲情，友情，让人无法割舍。爱情，亲情，友情，让人无法割舍。22.5.252022年年5月月25日星期三日星期三20时时19分分40秒秒22.5.25谢谢大家！谢谢大家！