資源描述:
《IP協(xié)議安全體系結(jié)構(gòu)(IPSec).doc》由會員上傳分享,免費在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1�、IP協(xié)議安全體系結(jié)構(gòu)(IPSec)IP協(xié)議安全體系結(jié)構(gòu)(IPSec)第一節(jié)加密技術(shù)概述2一����、加密和解密21.加密和解密的基本過程22.加密和解密算法:23.密鑰24?對稱加密算法:25.公開密鑰算法(非對稱算法):3二、身份驗證和數(shù)據(jù)完整性41.身份驗證:42.數(shù)據(jù)完整性:4三�、密鑰交換(密鑰管理)41.密鑰交換算法:42.Diffie-Hellman密鑰交換:43.RSA密鑰交換:5第二節(jié)IP安全體系結(jié)構(gòu)6一、IPSec概述61.IPSec的日標:62.IPSec提供的安全服務(wù):63.IPSec在TCP/I
2、P協(xié)議族中的位置:64.IPSec的作用方式:65.IPSec的組成71.IPSec的實施二���、驗證頭部(AuthenticationHeader)?AH頭部格8?All的使丿U模8.AH的處理過程-以傳輸模式為894例3式1.All的功能:2式:三����、封裝安全載荷(EncapsulatingSecurityPayload)91.ESP的功能:92?ESP格式:93.ESP的使用模式104.ESP的處理:“先驗證后解密”原則四��、AH和ESP的組合使用101?端到端安全:102.簡單虛擬網(wǎng)絡(luò)VPN支持:113.VP
3�����、7支持的端到端安全:II4.遠程訪問12五�、Internet密鑰交換協(xié)議(IKE)121.IKE簡介122.ISAKMP簡介123.IPSec安全聯(lián)盟的建立過程121第一節(jié)加密技術(shù)概述一、加密和解密加密和解密1.加密和解密的基木過程明文M(P):各種二進制數(shù)據(jù)密文C:二進制數(shù)據(jù)2.加密和解密算法:加密函數(shù)E:E(M)=C解密函數(shù)D:D(M)=E加密函數(shù)與解密函數(shù)的關(guān)系:D(E(M))=M1.密鑰(1)受限制的算法:如果加密算法的保密性是基于保持算法木身的秘密性�����,則這種算法稱為受限制的算法����。其缺點在于算法一旦暴
4、露就再無秘密可言��,而且不可能對其進行質(zhì)景控制和標準化����,不易發(fā)現(xiàn)其缺陷�����。(2)公開的算法:如果加密算法本身公開���,具保密性依賴于所使用的密鑰(Key)使用密鑰的加密和解密EEK(M)=C,DDK(0=M,DDK(EEK(M))=M;對稱算法:加密和解密使用相同的密鑰;公開密鑰算法(非對稱算法):加密和解密使川不同的密鑰���;(3)密鑰空間:密鑰可能的取值范圍�����,與具體的加密算法有關(guān)4?對稱加密算法:EK=DK=K,EK(M)=C,DK(0=M,DK(EK(M))=M;(1)組加密算法:將明文分為若干等長的塊并根據(jù)需要加
5����、入填從字節(jié)����,然后依次對各塊加密����,將所得結(jié)果塊連接起來即得密文����。其屮所得各結(jié)果塊等長����,各結(jié)果塊與相應(yīng)明文塊的長度也相等。解密過程類似�����。2(2)加密塊鏈接模式(CBC):(3)流算加密法:每次處理明文的一位(或一個字節(jié))進行運算明文初始化向量IV加密密文CBC加密密文解密初始化向量IV明文CBC解密(1)常用算法:DESIDEA2.公開密鑰算法(非對稱算法):EKDKEEK(M)二C,DDK(C)二M,DDK(EEK(M))二M;EDK(M)=C,DEK(C)=M,DEK(EDK(M))=M;(1)公開密鑰(pu
6����、blickey):(2)私有密鑰(privatekey:(3)常用算法:RSA:建立在”兩個人索數(shù)的乘積很難分解”這一基礎(chǔ)上;一個密鑰(公鑰或私鑰)可用于加密��,另一個密鑰(私鑰或公鑰)可用于解密��;速度較慢�,通常用于加密少量的數(shù)據(jù),如密鑰�����;El-Garnal:建立在”離散對數(shù)問題”這一基礎(chǔ)上�;主要缺點是密文長度為明文的兩二���、身份驗證和數(shù)據(jù)完整性1.身份驗證:(1)使消息難以偽造,無法抵賴�����,不可史改��;(2)單向散列函數(shù)H:對任意長度的消息M,均返冋一固定長度的函數(shù)值h=II(M)��;給定M,很容易計算h���;給定h,很
7���、難計算M,使H(M)=h;給定M,很難找到消息M',使H(M,)=H(M)(3)數(shù)字簽名:(以使用RSA為例):1)使川單向散列函數(shù)生成消息的摘要�����;2)使用發(fā)送者的RSA私鑰對摘要簽名(加密)�����,并將結(jié)果附在消息后一起發(fā)送;3)接收考收到消息后,使用發(fā)送者的RSA公鑰對其小的簽名解密�;4)接收者生成消息的摘要�;5)比較3)和4)的結(jié)果是否相同(4)實際的數(shù)字簽名一般還包括淇他信息(如簽名時間、有效期等)2.數(shù)據(jù)完整性:(1)(2)消息驗證碼(MessageAuthenticationCode)密鑰散列算法:生成
8�����、的散列結(jié)果不僅與消息本身有關(guān)�,還與一再指定的密鑰有關(guān)MD5SHAHMAC算法:設(shè)K為密鑰,H為某一單向散列函數(shù),ipad為值為0x36的64個字節(jié),opad為值為0x5c的64個字節(jié),則HMAC定義如下:HMAC(K,M)=H(KXORopad,H(KXORipad,M)HMAC-MD5表示很H為MD5,HMAC-SHA表示很H為SHA三����、密鑰交換(密鑰管理)1.密鑰交換算法:通常川于建立一次會話(
