3000 IPsec - IPsec的安全组件和PKI公共密钥基础架构ppt课件

1、IPsecIPsec的平安组件和PKI公共密钥根底架构 IPsec 概述什么是IPsecIPsec是IETF的规范,其在网络层运用加密机制实现:IP报文的认证为每一个数据包提供数据完好性的保证对数据进展性的维护IPsec由一系列的开放规范组成，用于维护的通讯不论是小型的网络还是大型的网络都可以实施IPsec技术IPsecInternetIPsec 协议IPsec运用三个主要的协议构建了平安框架:Internet Key Exchange (IKE):为平安框架提供了平安参数协商才干建立认证密钥Encapsulating Security Payload (ESP):为平安框架提供了加密,认证,

2、完好性特性对数据实施维护Authentication Header (AH):仅仅提供了身份认证,完好性维护特性Internet Key ExchangeInternet Key ExchangeIKE可以自动的实现密钥的交换，简化了手工配置的复杂性。同时也处理了IPsec难以扩展的特性。其主要功能:协商SA的平安特性密钥的自动生成易于管理和配置IKE 阶段阶段一:认证对等体协商平安安联(平安联盟)两种任务方式: Main mode 和 aggressive mode阶段二:协商IPsec SAs/SPIs单一任务方式: 快速方式IKE阶段一完成后会产生一个共享密钥,用于阶段二的数据加密运用.

3、ESP 和 AH 协议ESP 和 AH 协议IPsec 协议:ESP和AHESP的IP 协议号为 50AH的IP协议号为 51IPsec 方式:隧道和传输方式隧道方式会为原始的IP数据包添加额外的IP报头音讯的加密依赖于对称式加密算法ESP 和 AH 的报文ESP可以实现对原始的数据包的认证和加密.AH仅仅提供了数据报头的认证才干,其不可以提供加密特性.IP HDRAHIP HDRESPAH认证和完好性AH协议对数据与密钥进展散列运算,将产生的值附加在报文中,对等体仅需求采用一样的方式进展运算并比较,即可确认发送方的身份和报文完好性.ESP协议运用加密提供数据性保证运用与AH一样的方法提供了认

4、证和完好性确实认隧道与传输方式隧道方式提供了站点到站点数据传输维护,其可以为inside网络提供穿越公网的才干.传输方式通常运用在双方拥有可以直接通讯IP地址的情况下.认证与完好性运用HASH算法提招认证和完好性MAC通常用于音讯的认证和完好性检测.哈希算法被广泛的用于此处,并被称为HMAC机制.通用的哈希算法哈希散列算法为单向算法,即不能根据结果值推算原始数据信息.通常会将产生的结果值称为散列值,指纹或者是“音讯摘要.MD5提供了128-bit输出.SHA-1算法提供了160-bit输出,但在IPsec中仅仅只运用前96位.SHA-1比MD5更具有平安性,但其运算较慢.对称与不对称算法对称与

5、不对称算法对称式算法:加密和解密运用一样的密钥通常用于音讯的内容加密例如: DES, 3DES, AES不对称式算法:加密和解密运用不同的密钥通常用于数字证书和密钥管理例如: RSA对称与不对称密钥长度Symmetric Key LengthAsymmetric Key Length80102411220481283072192768025615,360由于对称式加密和不对称式加密普通用于不同的目的,因此其密钥长度也不一样.两者并不具有可比性.加密算法的平安级别Security LevelWork FactorAlgorithmsWeakO(240)DES, MD5LegacyO(264)RC

6、4, SHA-1BaselineO(280)3DESStandardO(2128)AES-128, SHA-256HighO(2192)AES-192, SHA-384UltraO(2256)AES-256, SHA-512加密算法: DES对称式的加密算法运用56位长度的密钥对64位数据块进展加密DES加密后数据,意味着其能够会有72,057,594,037,927,936种密钥组合.加密算法: 3DES对称式的加密算法168-bit 密钥长度加密操作大约是DES的3倍时间运用三个不同的56-bit密钥对64-bit数据块实施:加密,加密,加密能够会产生2168 = 3.7 * 1050 种不同的密钥组合加密算法: AES对称式的加密算法DES和3DES替代者早期被称为“Rijndael算法其支持128,192,256-bit长度密钥加密算法: RSA基于Diffie-Hellman密钥交换原那么公钥用于加密数据同时用于确认数字签名私钥用于解密数据同时用于签署数字签名Diffie-Hellman 密钥交换PKI 公共密钥根底架构PKI 架构Certificate Authority 证书权威中心PKI系统是以信任为根底经过发布数字证书,并且将用户身份信息绑定到用户公钥证书中方式,确认用户身份.撤销