- 1、本文档共73页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
8、安全联盟数据库(SADB)(1) SA(Security Association)是两个IPSec通信实体之间经协商建立起来的一种共同协定,它规定了通信双方使用哪种IPSec协议保护数据安全、应用的算法标识、加密和验证的密钥取值以及密钥的生存周期等等安全属性值。 8、安全联盟数据库(SADB)(2) 安全联盟常用参数 ?加密及验证密钥。 密码算法在系统中的标识。 序列号,32位的字段,在处理外出的数据包时,一个SA被应用一次,它的序列号号字段就递增一,并被填充到数据包的IPSec头中,接收方可以利用此字段进行抗重播攻击。 抗重播窗口。接收方使用滑动窗口算法来进行对恶意主机重复发出的数据包进行检测。 生存周期。规定了该SA的有效使用周期,可以按照建立至今的时间或者处理的流量来计算。 实施模式。即通道模式还是传输模式。 IPSec隧道目的地址。 安全参数索引(SPI)。参与唯一标识某SA。 9、数据包输出处理 数据包被从网络设备发送出去之前,截取到 IP包,然后从中提取选择符信息,依据之搜索 SPD,产生如下可能结果: SP决定丢弃此包,于是直接丢弃,或者还可 以向源主机发送ICMP信息; SP决定通过此包,直接将数据包投放到网络设备的发送队列; SP决定应用IPSec,此时SP指向一个SA,可以根据它进行安全处理(需要的SA不存在,则触发IKE模块协商建立SA,协商周期内数据包进入等待队列等待协商完成,若协商超时,也会丢弃该包。) 10、数据包输入处理 系统收到IP包后,判断如果是IPSec包,则从头部取到SPI,搜索SADB。 若找不到SA,触发IKE或丢弃包; 若找到,根据其进行解封装,得到去通道 化后的原始IP包,再从原始IP包中提取选择符, 搜索到SPD中某一条目,检查收到包的安全处理 是否符合描述规则,不符合则丢弃包,符合则转 入系统IP协议栈进行后继处理。 11、包处理组件实现模型 四、互联网密钥交换(Internet Key Exchange) 1、IKE功能 2、密钥交换包格式(ISAKMP)- 3、安全联盟的协商 4、密钥交换的两个阶段 5、Diffie-Hellman密钥交换 6、交换流程 1、IKE功能 用IPSec保护数据包,必须首先建立一个IPSec的安全联盟,这个安全联盟可以手工建立,也可以动态由特定进程来创建。这个特定的进程就是Internet Key Exchange,即IKE。IKE的用途就是在IPSec通信双方之间通过协商建立起共享安全参数及验证过的密钥,也就是建立安全联盟。 IKE协议是Oakley和SKEME协议的混合,在由ISAKMP规定的一个框架内运作,可以为多种需要安全服务的协议进行策略磋商和密钥建立,比如SNMPv3,OSPFv2,IPSec等。 2、密钥交换包格式(ISAKMP)—1因特网安全关联和密钥管理协议(ISAKMP,Internet Security Association and Key Management Protocol) 2、密钥交换包格式(ISAKMP)--2 安全联盟载荷, 转码载荷表示协商时供对方选择的一组安全属性字段的取值,比如算法,安全联盟的存活期,密钥长度等等。 密钥交换载荷,表示了实施密钥交换必需的信息。?散列载荷,是一个散列函数的运算结果值。 nonce载荷,是一串伪随机值,用以衍生加密材料。 证书载荷,在身份验证时向对方提供证书。 证书请求载荷。 3、安全联盟的协商 通信双方要建立共享的安全联盟,必须进行协商。 双方根据本方的实际安全需求,制定采用的算法,密钥刷新频率,密钥的长度等等策略。发起方在发送的安全联盟载荷中,根据策略的优先级顺序,将计划采用的安全参数的组合以提案载荷和转码载荷的形式级联表示出来,响应方收到后,依据策略选择最合适的一种,再构建应答的安全联盟,此时应答方只包含了选中的一种安全参数组合。这样,一个共享的安全联盟就可以获得了。 在协商的进程中,双方也通过计算得到共享的密钥。 4、密钥交换的两个阶段 1.阶段一交换(phase1 exchange):在“阶段一”周期里,两个IKE实体建立一个安全的,经验证的信道进行后续通信,要建立这样的安全信道,双方会建立一对ISAKMP安全联盟。阶段一交换可以用身份保护模式(也叫主模式)或野蛮模式来实现,而这两种模式也仅用于阶段一中。 2.阶段二交换(phase2 exchange): “阶段二”周期里,IKE实体会在阶段一建立起来的安全信道中,为某种进程协商和产生需要的密钥材料和安全参数,在VPN实现中,就是建立IPSec安全联盟。快速模式交换可用来实现
您可能关注的文档
- 【绩优专属会】保险理念版块:人生必须拥有的六张保单.ppt
- 【网络工程】计算机网络的通信子网.ppt
- 【网络通信】GPRS基本原理.ppt
- 【网络通信】华为da030002RIP协议原理issue1.ppt
- 【网络通信】华为da030001路由协议基础issue1.ppt
- 【网络通信】华为da0300ospf协议原理issue1.ppt
- 【网络通信安全管理员认证-中级】VPN.ppt
- 【网络通信安全管理员认证-中级】复习要点.ppt
- 【网络通信安全管理员认证-中级】常用的网络命令.ppt
- 【网络通信安全管理员认证-中级】引言.ppt
- 2024年赣南师范大学003马克思主义学院045102学科教学(思政)考研报录数据分析报告(初试+复.pdf
- 2024年05月浙江省应急管理宣传教育中心招考聘用笔试上岸历年高频考点(难、易错点)附带答案详解.docx
- 2024年长江大学104教育与体育学院045115小学教育考研报录数据分析报告(初试+复试+调剂).pdf
- 2024年辽宁工业大学006电气工程学院081100控制科学与工程考研报录数据分析报告(初试+复试+.pdf
- 商场保洁年度工作总结计划5篇.docx
- 英菲尼迪infiniry g35维修手册.pdf
- hi3559ac v100 ddr dq window check method and result窗口检查方法及结果分析.pdf
- 八下道法知识点.docx
- 分析广财会讲座.pptx
- 2024版新教材高中地理第三章区域合作单元检测湘教版选择性必修2.doc
文档评论(0)