IPSec 的组成
IPSec 提供两个安全协议


AH (Authentication Header)报文认证头协议
MD5(Message Digest 5) SHA1(Secure Hash Algorithm)

ESP (Encapsulation Security Payload)封装安全载荷协议
数据
ESP尾部 ESP验证
ESP头部
加密后的数据
加密部分
原IP 包头 8
数据 16 安全参数索引(SPI) 序列号
ESP尾部 24
ESP验证
有效载荷数据（可变） 填充字段(0-255字节）
填充字段长度
下一个头
验证数据
课程内容
第一章 IPSec 第二章 IKE
IKE

IKE（Internet Key Exchange，因特网密钥交换协议） 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥
降低手工配置的复杂度 安全联盟定时更新 密钥定时更新 允许IPSec提供反重放服务 允许在端与端之间动态认证

IPSec 与IKE的关系
IKE的SA协商
IKE
IKE
SA
TCP UDP
IPSec
SA
TCP UDP
IPSec
IP
加密的IP报文
IPSec及IKE原理
课程内容
第一章 IPSec 第二章 IKE
IPSec

IPSec（IP Security）是IETF制定的为保证在Internet上传送数 据的安全保密性能的框架协议

IPSec包括报文验证头协议AH（协议号51） 和报文安全封装协 议ESP（协议号50）两个协议

IPSec有隧道（tunnel）和传送（transport）两种工作方式
IKE的安全机制
完善的前向安全性 数据验证


身份验证 身份保护

DH交换和密钥分发
IKE的交换过程Βιβλιοθήκη Peer1发送本地 IKE策略
发起方策略
Peer2
确认对方使 用的算法 查找匹配 的策略
接收方确认的策略
SA交换
接受对端 确认的策略
发起方的密钥生成信息
产生密钥
密钥生成
接收方的密钥生成信息
DES (Data Encryption Standard) 3DES 其他的加密算法：Blowfish ，blowfish、cast …
IPSec 的安全特点
数据机密性（Confidentiality） 数据完整性（Data Integrity） 数据来源认证 （Data Authentication） 反重放（Anti-Replay）
密钥交换
密钥生成
发起方身份和验证数据
验证对方 身份
身份验证和 交换过程验证
ID交换及验证
身份验证和 交换过程验证
接收方的身份和验证数据
DH交换及密钥产生
(g ,p)
peer1
peer2
a
c=gamodp damodp
b
d=gbmodp cbmodp
damodp= cbmodp=gabmodp
IKE在IPSec中的作用

AH协议
IP 包头
传输模式
数据 数据
IP 包头
隧道模式
AH
新IP 包头
0
AH
原IP 包头
8 16
数据
31
AH头结构
下一个头
负载长度 安全参数索引(SPI) 序列号 验证数据
保留域
ESP 协议
IP 包头
传输模式 IP 包头 隧道模式 新IP 包头 ESP头 0
ESP协议包结构

IPSec 基本概念
数据流 (Data Flow) 安全联盟 (Security Association) 安全参数索引 (Security Parameter Index) 安全联盟生存时间 (Life Time) 安全策略 (Crypto Map) 转换方式(Transform Mode)