重庆工业职业技术学院毕业论文
2.1.3 源认证数据来源认证 1) 带外域共享密钥:
最常用的设备验证方法就是带外域共享对称密钥加密认证。
自己的身份信息加上KEY,运行HMAC算法发给对端(签名发给对端)对端把收到的信息用自己的KEY和HMAC算法也算出一个签名,这2个签名如果一样就说明设备验证通过。一般设备验证的KEY不用做加密,因为加密都是可逆的(对称加密)而HMAC不可逆。 2) 域共享非对称加密(加密随机值) 对等体A pubA privA Pub 产生随机数QQ QQ+pubB发给B 解密后得到WW HMAC产生一个签名发给B A用自己的QQ和信息和 HMAC也产生一个签名后 和刚才接收的签名对比 如果一样则完成
交互说明 各自生成公钥 各自生成私钥 公钥交换 随机生成 MD5哈希并互传 MD5解密 对等体B pubB privB pubA 产生随机数WW WW+pubA 发给A 解密后得到QQ B自己的身份信息加QQ加HMAC产生一个签名发给A B用自己的WW和信息和HMAC也产生一个签名后 和刚才接收的签名对比如果一样则完成 A自己的身份信息加WW加 3) 数字证书(CA) A A公钥 A私钥 CA服务器 CA公钥 CA私钥 B B公钥 B私钥 首先CA把自己的公钥分别给A和B A和B都有了CA的公钥后,把自己的信息(比如名字和自己的公钥)交给CA CA把A和B的信息HASH HASH的结果加自己的私钥加密 加密后的结果加A的信息得到A的证书,加B的信息得到B的证书 A获得B的证书
9
B获得A的证书
重庆工业职业技术学院毕业论文
A有CA的公钥所以能解出 CA里面的东西,这样就说明验证成功。
B有CA的公钥所以能解出CA里面的东西,这样就说明验证成功。 A和B如何确认这个公钥就是CA给的,A和B会把这个CA的公钥HASH了得到一个HASH结果,之后给网管打电话去问看这个结果和CA服务器上的结果是不是一样如果一样则OK,这个叫离线确认。 2.1.4 防重放
1) AH
IPsec认证头协议(IPsec AH)是IPsec体系结构中的一种主要协议,它为IP数据报提供无连接完整性与数据源认证,并提供保护以避免重播情况。一旦建立安全连接,接收方就可能会选择后一种服务。AH尽可能为IP头和上层协议数据提供足够多的认证。但是,在传输过程中某些IP头字段会发生变化,且发送方无法预测当数据包到达接受端时此字段的值。AH并不能保护这种字段值。因此,AH提供给IP头的保护有些是零碎的。
AH可被独立使用,或与IP封装安全负载(ESP)相结合使用,或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。ESP提供了相同的安全服务并提供了一种保密性(加密)服务,而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地,不是由ESP封装的IP头字段则不受ESP保护。 2) ESP
IPsec封装安全负载(IPsec ESP)是IPsec体系结构中的一种主要协议,其主要设计来在IPv4和IPv6中提供安全服务的混合应用。IPsec ESP通过加密需要保护的数据以及在IPsec ESP的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求,这个机制既可以用于加密一个传输层的段(如:TCP、UDP、ICMP、IGMP),也可以用于加密一整个的IP数据报。封装受保护数据是非常必要的,这样就可以为整个原始数据报提供机密性。 2.1.5 Diffie-Hellman算法 对等体1 生成随机数P和Q 对等体2 生成随机数M和N 用MN生成公钥B和私玥b 10
用PQ生成公钥A和私玥a
重庆工业职业技术学院毕业论文
对等体1和2互相交换各自公钥 对方的公玥和自己的私玥加起来运行DH算法各得到同一个数ZZ 由ZZ产生对称加密密钥用于DES或md5,而ZZ便是域共享的共享密钥
2.2 IPsecVPN配置与高级原理
建立一个IPsecvpn需要分八步:
1) 处理设计和策略问题——这里需要布置哪个路由器用于终结IPsec连接,使
用哪种IPsec连接,及如何保护IPsec连接。
2) 允许IPsec流量——如果在边界设有边界路由器或防火墙需要其执行过滤,
则要允许放过IPsec相关流量。
3) 配置IKE阶段一,管理连接策略——必须定义IKE阶段一的策略,用于保护
两个IPsec设备之间的管理连接通道。在IKE阶段二管理连接用于建立IPsec数据的链接。这些策略包括认证类型,它将用于认证对端身份;使用的加密算法;管理连接的生存周期。
4) 定义IPsec连接保护何种流量——在Cisco路由器上,一个加密的acl用于定
义两个对等体之间的哪些流量被加密。
5) 建立转换集——转换集定义了用于IKE阶段二中保护数据流量的协议和算
法。包括认证头协议AH、安全有效负载协议ESP;加密算法包括DES、3DES、AES;散列函数算法包括SHA或md5。转换集也定义了终结IPsec的方法,是隧道模式或传输模式。
6) 建立加密映射——加密映射绑定所有的IPsec组件来建立安全连接,称为安
全关联。包括远程对等体信息,要使用的转换集信息,加密的ACL等 7) 激活加密映射——将加密映射在端口上生效。
8) 测试并排错IPsec安全连接,产生流量触发IPsec安全连接,来测试连接是否
生效。
2.2.1 IKE阶段一管理连接
定义IKE阶段一策略:
建立策略crypto isakmp policy policy号,policy号将策略语句绑定到一起,数字越低优先级越高。该数值在决定两个对等体之间该使用哪种策略起重要作用。确定要使用哪种策略时,IPsec对等体互相共享它们在IKE阶段一的列表。然后这些策略按从高到低优先级进行比较。对等体接受的第一个策略将用于当前
11
重庆工业职业技术学院毕业论文
的管理连接。若两个对等体之间没找到匹配策略,则管理连接无法建立,因此数
据连接也无法建立。
绑定策略参数:
Router(config)#crypto isakmp policy 10
Router(config-isakmp)#authentication{pre-share|rsa-sig|rsa-encr} Router(config-isakmp)#encryption{des|3des|aes} Router(config-isakmp)#hash{sha|md5} Router(config-isakmp)#group{1|2|5} Router(config-isakmp)#lifetime时间
当验证远程IPsec对等体身份时,authentication命令指定了所使用的认证类型。分别是pre-share域共享密钥;rsa-sig证书和证书权威;rsa-encr加密随即值。Encryption命令配置了用于管理连接加密信息的加密算法。默认使用较弱的des加密方式。Hash散列函数用于验证数据包是否被对等体之间的设备改变过。Sha更安全,但MD5计算更快捷。默认使用sha。Group命令用来定义蒂夫赫尔曼组密钥长度,1为768bit,2为1024bit,5为1536bit。默认为组1。默认的管理连接生命周期是86400秒(一天),使用lifetime可以改变这个值。以上策略对等体两端配置必须一样,否则无法建立管理连接通道。 2.2.2 I KE阶段二数据连接
Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
定义一个感性趣流,决定从哪里到哪里触发IPsecvpn,permit为触发,deny为不触发。对等体两边的地址信息时反过来的,若不建立感性趣流,IPsec建立无效。此acl不应用于任何接口,只为激活vpn。当路由器同时处理NAT和IPsec时,因为对于输出的流量路由器首先执行NAT再进行加密传输。所以加密acl条目应该写已转换的全局地址。
应用于加密acl的输入流量的规则为:
如果流量应该被保护,也就是被感兴趣流定义,而没有被保护,则路由器丢弃该流量。
如果流量没有设定需要被保护,而且确实没有被保护,则路由器正常转发该流量。
如果流量没有设定要被保护,但它是IPsec流量,则路由器正常转发该流量。 应用于加密acl的输出方向:
如果流量与加密acl条目相匹配,则路由器应用相应的加密映射条目中的信息来保护它。
12
相关推荐:
loading