[精选]3000 IPsec - IPsec的安全组件和PKI公共密钥基础架构jmm.pptx

《[精选]3000 IPsec - IPsec的安全组件和PKI公共密钥基础架构jmm.pptx》由会员分享，可在线阅读，更多相关《[精选]3000 IPsec - IPsec的安全组件和PKI公共密钥基础架构jmm.pptx（33页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、IPsecIPsec的安全组件和的安全组件和PKI公共密钥基础架构公共密钥基础架构 IPsec 概述概述什么是什么是IPsecIPsec是是IETF的标准的标准,其在网络层使用加密机制实现其在网络层使用加密机制实现:IP报文的报文的认证认证为每一个数据包提供为每一个数据包提供数据完整性数据完整性的保证的保证对数据进行对数据进行机密性机密性的保护的保护IPsec由一系列的开放标准组成，用于保护秘密的通信由一系列的开放标准组成，用于保护秘密的通信不管是小型的网络还是大型的网络都可以实施不管是小型的网络还是大型的网络都可以实施IPsec技术技术IPsecInternetIPsec 协议协议IPsec

2、使用三个主要的协议构建了安全框架使用三个主要的协议构建了安全框架:Internet Key Exchange(IKE):为安全框架提供了安全参数协商能力为安全框架提供了安全参数协商能力建立认证密钥建立认证密钥Encapsulating Security Payload(ESP):为安全框架提供了加密为安全框架提供了加密,认证认证,完整性特性对数据实施保护完整性特性对数据实施保护Authentication Header(AH):仅仅提供了身份认证仅仅提供了身份认证,完整性保护特性完整性保护特性Internet Key ExchangeInternet Key ExchangeIKE能够自动的实

3、现密钥的能够自动的实现密钥的交换，简化了手工配置的交换，简化了手工配置的复杂性。同时也解决了复杂性。同时也解决了IPsec难以扩展的特性。其难以扩展的特性。其主要功能主要功能:协商协商SA的安全特性的安全特性密钥的自动生成密钥的自动生成易于管理和配置易于管理和配置IKE 阶段阶段阶段一阶段一:认证对等体认证对等体协商安全安联协商安全安联(安全联盟安全联盟)两种工作模式两种工作模式:Main mode 和和 aggressive mode阶段二阶段二:协商协商IPsec SAs/SPIs单一工作模式单一工作模式:快速模式快速模式IKE阶段一完成后会产生一个共享密钥阶段一完成后会产生一个共享密钥,

4、用于阶段二的数据用于阶段二的数据加密使用加密使用.ESP 和和 AH 协议协议ESP 和和 AH 协议协议IPsec 协议协议:ESP和和AHESP的的IP 协议号为协议号为 50AH的的IP协议号为协议号为 51IPsec 模式模式:隧道和传输模式隧道和传输模式隧道模式会为原始的隧道模式会为原始的IP数据包添加额外的数据包添加额外的IP报头报头消息的加密依赖于对称式加密算法消息的加密依赖于对称式加密算法ESP 和和 AH 的报文的报文ESP能够实现对原始的数据包的认证和加密能够实现对原始的数据包的认证和加密.AH仅仅提供了数据报头的认证能力仅仅提供了数据报头的认证能力,其不能够提供加密其不能

5、够提供加密特性特性.IP HDRAHIP HDRESPAH认证和完整性认证和完整性AH协议对数据与密钥进行散列运算协议对数据与密钥进行散列运算,将产生的值附加在报将产生的值附加在报文中文中,对等体仅需要采用相同的方式进行运算并比较对等体仅需要采用相同的方式进行运算并比较,即可即可确认发送方的身份和报文完整性确认发送方的身份和报文完整性.ESP协议协议使用加密提供数据机密性保证使用加密提供数据机密性保证使用与使用与AH相同的方法提供了认证和完整性的确认相同的方法提供了认证和完整性的确认隧道与传输模式隧道与传输模式隧道模式提供了站点到站点数据传输保护隧道模式提供了站点到站点数据传输保护,其能够为其

6、能够为inside网络提供网络提供穿越公网的能力穿越公网的能力.传输模式通常使用在双方拥有能够直接通讯传输模式通常使用在双方拥有能够直接通讯IP地址的情况下地址的情况下.认证与完整性认证与完整性使用使用HASH算法提供认证和完整性算法提供认证和完整性MAC通常用于消息的认证和完整性检测通常用于消息的认证和完整性检测.哈希算法被广泛的用于此处哈希算法被广泛的用于此处,并被称为并被称为HMAC机制机制.通用的哈希算法通用的哈希算法哈希散列算法为单向算法哈希散列算法为单向算法,即不能根据结果值推算原始数据信息即不能根据结果值推算原始数据信息.通常会将产生的结果值称为散列值通常会将产生的结果值称为散列

7、值,指纹或者是指纹或者是“消息摘要消息摘要”.MD5提供了提供了128-bit输出输出.SHA-1算法提供了算法提供了160-bit输出输出,但在但在IPsec中仅仅只使用前中仅仅只使用前96位位.SHA-1比比MD5更具有安全性更具有安全性,但其运算较慢但其运算较慢.对称与不对称算法对称与不对称算法对称与不对称算法对称与不对称算法对称式算法对称式算法:加密和解密使用相同的密加密和解密使用相同的密钥钥通常用于消息的内容加密通常用于消息的内容加密例如例如:DES,3DES,AES不对称式算法不对称式算法:加密和解密使用不同的密加密和解密使用不同的密钥钥通常用于数字证书和密钥通常用于数字证书和密钥

8、管理管理例如例如:RSA对称与不对称密钥长度对称与不对称密钥长度Symmetric Key LengthAsymmetric Key Length80102411220481283072192768025615,360由于对称式加密和不对称式加密一般用于不同的目的由于对称式加密和不对称式加密一般用于不同的目的,因因此其密钥长度也不相同此其密钥长度也不相同.两者并不具有可比性两者并不具有可比性.加密算法的安全级别加密算法的安全级别Security LevelWork FactorAlgorithmsWeakO(240)DES,MD5LegacyO(264)RC4,SHA-1BaselineO(2

9、80)3DESStandardO(2128)AES-128,SHA-256HighO(2192)AES-192,SHA-384UltraO(2256)AES-256,SHA-512加密算法加密算法:DES对称式的加密算法对称式的加密算法使用使用56位长度的密钥对位长度的密钥对64位数据块进行加密位数据块进行加密DES加密后数据加密后数据,意味着其可能会有意味着其可能会有72,057,594,037,927,936种密钥组合种密钥组合.加密算法加密算法:3DES对称式的加密算法对称式的加密算法168-bit 密钥长度密钥长度加密操作大概是加密操作大概是DES的的3倍时间倍时间使用三个不同的使用三

10、个不同的56-bit密钥对密钥对64-bit数据块实施数据块实施:加密加密,加加密密,加密加密可能会产生可能会产生2168=3.7*1050 种不同的密钥组合种不同的密钥组合加密算法加密算法:AES对称式的加密算法对称式的加密算法DES和和3DES替代者替代者早期被称为早期被称为“Rijndael”算法算法其支持其支持128,192,256-bit长度密钥长度密钥加密算法加密算法:RSA基于基于Diffie-Hellman密钥交换原则密钥交换原则公钥用于加密数据同时用于确认数字签名公钥用于加密数据同时用于确认数字签名私钥用于解密数据同时用于签署数字签名私钥用于解密数据同时用于签署数字签名Dif

11、fie-Hellman 密钥交换密钥交换PKI 公共密钥基础架构公共密钥基础架构PKI 架构架构Certificate Authority 证书权威中心证书权威中心PKI系统是以信任为基础系统是以信任为基础通过发布数字证书通过发布数字证书,并且将用户身份信息绑定到用户公钥证书中方并且将用户身份信息绑定到用户公钥证书中方式式,确认用户身份确认用户身份.撤销证书需要发布使用撤销证书需要发布使用CRL(证书撤销列表证书撤销列表).X.509 v3 证书结构证书结构PKI 消息交换消息交换PKI 证书存储证书存储如何存储如何存储PKI的信任证书的信任证书:RSA产生的公钥证书产生的公钥证书路由器的路由

12、器的NVRAM中中eToken方式方式:驱动程序内嵌驱动程序内嵌操作系统操作系统 USB 方式方式9、静夜四无邻，荒居旧业贫。、静夜四无邻，荒居旧业贫。5月月-235月月-23Monday,May 15,202310、雨中黄叶树，灯下白头人。、雨中黄叶树，灯下白头人。11:11:1011:11:1011:115/15/2023 11:11:10 AM11、以我独沈久，愧君相见频。、以我独沈久，愧君相见频。5月月-2311:11:1011:11May-2315-May-2312、故人江海别，几度隔山川。、故人江海别，几度隔山川。11:11:1011:11:1011:11Monday,May 15

13、,202313、乍见翻疑梦，相悲各问年。、乍见翻疑梦，相悲各问年。5月月-235月月-2311:11:1011:11:10May 15,202314、他乡生白发，旧国见青山。、他乡生白发，旧国见青山。15 五月五月 202311:11:10 上午上午11:11:105月月-2315、比不了得就不比，得不到的就不要。、比不了得就不比，得不到的就不要。五月五月 2311:11 上午上午5月月-2311:11May 15,202316、行动出成果，工作出财富。、行动出成果，工作出财富。2023/5/15 11:11:1011:11:1015 May 202317、做前，能够环视四周；做时，你只能或者

14、最好沿着以脚为起点的射线向前。、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。11:11:10 上午上午11:11 上午上午11:11:105月月-239、没有失败，只有暂时停止成功！。、没有失败，只有暂时停止成功！。5月月-235月月-23Monday,May 15,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。、很多事情努力了未必有结果，但是不努力却什么改变也没有。11:11:1011:11:1011:115/15/2023 11:11:10 AM11、成功就是日复一日那一点点小小努力的积累。、成功就是日复一日那一点点小小努力的积累。5月月-231

15、1:11:1011:11May-2315-May-2312、世间成事，不求其绝对圆满，留一份不足，可得无限完美。、世间成事，不求其绝对圆满，留一份不足，可得无限完美。11:11:1011:11:1011:11Monday,May 15,202313、不知香积寺，数里入云峰。、不知香积寺，数里入云峰。5月月-235月月-2311:11:1011:11:10May 15,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中像泥块一样任意揉捏。15 五月五月 202311:11:10 上午上午11:11:105月月-2315、楚塞三湘接，荆门九派通。、楚塞三湘

16、接，荆门九派通。五月五月 2311:11 上午上午5月月-2311:11May 15,202316、少年十五二十时，步行夺得胡马骑。、少年十五二十时，步行夺得胡马骑。2023/5/15 11:11:1011:11:1015 May 202317、空山新雨后，天气晚来秋。、空山新雨后，天气晚来秋。11:11:10 上午上午11:11 上午上午11:11:105月月-239、杨柳散和风，青山澹吾虑。、杨柳散和风，青山澹吾虑。5月月-235月月-23Monday,May 15,202310、阅读一切好书如同和过去最杰出的人谈话。、阅读一切好书如同和过去最杰出的人谈话。11:11:1011:11:10

17、11:115/15/2023 11:11:10 AM11、越是没有本领的就越加自命不凡。、越是没有本领的就越加自命不凡。5月月-2311:11:1011:11May-2315-May-2312、越是无能的人，越喜欢挑剔别人的错儿。、越是无能的人，越喜欢挑剔别人的错儿。11:11:1011:11:1011:11Monday,May 15,202313、知人者智，自知者明。胜人者有力，自胜者强。、知人者智，自知者明。胜人者有力，自胜者强。5月月-235月月-2311:11:1011:11:10May 15,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。、意志坚强的人能把世界放在手中

18、像泥块一样任意揉捏。15 五月五月 202311:11:11 上午上午11:11:115月月-2315、最具挑战性的挑战莫过于提升自我。、最具挑战性的挑战莫过于提升自我。五月五月 2311:11 上午上午5月月-2311:11May 15,202316、业余生活要有意义，不要越轨。、业余生活要有意义，不要越轨。2023/5/15 11:11:1111:11:1115 May 202317、一个人即使已登上顶峰，也仍要自强不息。、一个人即使已登上顶峰，也仍要自强不息。11:11:11 上午上午11:11 上午上午11:11:115月月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉演讲完毕，谢谢观看！