IPSec 协议

1. IPSec协议 申国伟 shenguowei@hrbeu.edu.cn

2. 主要内容 IPSec概述及体系结构 IPSec的AH协议 IPSec的ESP协议 IPSec的IKE协议 基于IPSec的VPN应用

3. IPSec概述 目标： 主要协议集： 实现比较全面的网络层安全，包括网络之间的相互认证、加密链路的建立和保密通信。 1 认证报文头（Authentication Header, AH） 封装安全载荷（Encapsulating Security Payload, ESP） 2 3 Internet密钥交换（Internet Key Exchange, IKE）

4. IPSec的安全体系结构

5. IPSec的通信流程

6. IPSec封装模式 IPSec支持两种封装模式：传输模式和隧道模式 传输模式 隧道模式

7. AH协议 AH功能： 为IP包提供数据完整性校验和身份认证 具备可选择的重放攻击保护 保护上层协议（传输模式）或完整的IP数据包（隧道模式） AH的结构：

8. AH协议续 AH的两种传输模式： 传输模式和隧道模式 传输模式 隧道模式

9. ESP协议 ESP协议功能： 为IP报文提供数据完整性校验、身份认证、数据加密以及重放攻击保护等。 ESP头格式：

10. IKE协议 IKE协议：基于ISAKMP、Oakley和SKEME,是一种混合型协议，它建立在由ISAKMP定义的一个框架上，同时实现了Oakley和SKEME协议的一部分。 IKE协议 理论模型：

11. IKE的安全基础 • 1.Diffie-Hellman密钥交换 • 2.安全散列 • 3.对称密钥加密 • 4.公开密钥加密 • 5.数字签名

12. IKE的安全性分析 • 中间人攻击： IKEv2的推出： IPSec工作组于2005年12月推出了IKE2。 IKE：RFC2409 IKEv2：RFC4306

13. 基于IPSec的VPN应用 • VPN的定义： RFC2746对IPVPN的概念阐述：IP VPN是一种使用IP网络设施对专用广域网进行仿真，依靠ISP和其他的NSP在公共网络上模拟专用网，建立专用数据通信网络的技术。 • VPN的主要技术： 1.IPSec技术 2.MPLS技术 3.SSL技术

14. 端到端IPSec VPN的工作原理

15. IKE阶段1

16. IKE阶段2

17. IPSec SA (Security Association) ◆SPI (Security Parameter Index)，由IKE自动分配◆发送数据包时，会把SPI插入到IPSec头中◆接收到数据包后，根据SPI值查找SAD和SPD，从而获知解密数据包所需的加解密算法、hash算法等。◆一个SA只记录单向的参数，所以一个IPSec连接会有两个IPSec SA。

18. 谢 谢！