天融信加密机详解

合集下载

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

VPN概述
VPN功能
该方案能解决的问题： 1. 数据源身份认证：证实数据报文是所声称的发送者发出的。数据完整性：证实数据报文的内容在传输过程中没被修改过，无论是被故意改动或是由于发生了随机的传输错误。数据保密：隐藏明文的消息，通常靠加密来实现。重放攻击保护：保证攻击者不能截获数据报文，且稍后某个时间再发放数据报文，而不会被检测到。自动的密钥管理和安全关联管理：保证只需少量或根本不需要手工配置，就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针
VPN概述
基于 IPSec 的VPN解决方案
VPN功能
基于第二层的VPN解决方案非 IPSec 的网络层VPN解决方案非 IPSec 的应用层解决方案结论
VPN工作原理
VPN具体应用
14
天融信
Talent-IT
§1.3.1 基于IPSec 的VPN 解决方案
在通信协议分层中，网络层是可能实现端到端安全通信的最低层，它为所有应用层数据提供透明的安全保护，用户无需修改应用层协议。
SOCKS
VPN概述
位于OSI模型的会话层，在SOCKS协议中，客户程序通常先连接到防火墙1080端口，然后由Firewall建立到目的主机的单独会话，效率低，但会话控制灵活性大
VPN功能
SSL
属于高层安全机制，广泛用于Web Browse and Web Server，提供对等的身份认证和应用数据的加密。在SSL中，身份认证是基于证书的，属于端到端协议，不需要中间设备如：路由器、防火墙的支持
VPN工作原理
S-HTTP
VPN具体应用提供身份认证、数据加密，比SSL灵活，但应用很少，因SSL易于管理
S-MIME
一个特殊的类似于SSL的协议，属于应用层安全体系，但应用仅限于保护电子邮件系统，通过加密和数字签名来保障邮件的安全，这些安全都是基于公钥技术的，双方身份靠 X.509证书来标识，不需要Firewall and Router 的支持
19
天融信
Talent-IT
TCP/IP 协议栈与对应的VPN协议
S—MIME Kerberos Proxies
VPN概述
Application
TCP/UDP
(Transport)
SET
IPSec (ISAKMP)
VPN功能
VPN工作原理
SOCKS SSL,TLS IPSec (AH,ESP) Packet Filtering Tunneling Protocols CHAP,PAP,MS-CHAP
天融信
Talent-IT
•防火墙 •安全电子邮件
•加密卡 •数据审计系统
•网页保护系统 •加密机
•CA认证 •身份识别系统
北京天融信网络安全技术有限公司网址：http://www.talentit.com.cn E-mail：tit@public.bta.net.cn 电话：(010)62304680 传真：(010)86211070
9
天融信
Talent-IT
§1.2.3 因特网上数据泄漏的风险
ISP ISP窃听搭线监听
内部网
攻击者
ISP接入设备
Internet
正确通道原始终点为：安全网关
远程访问
外部段（公共因特网）
恶意修改通道终点到：假冒网关
1. 2. 3.
数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改监听者可以在其中任一段链路上监听数据逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送
一般子网原始数据包
加密后的数据包管理子网
摘要
重点子网加密后的数据包摘要内部工作子网
解密
原始数据包
Hash
摘要
与原摘要进行比较，验证数据的完整性
原始数据包
DDN/FR X.25专线
加密后的数据包
摘要
下属机构
24
天融信
Talent-IT
§2.3 数据源身份认证
DSS 得到数字签名
Fra Baidu bibliotek
内部WWW
对原始数据包进行Hash
VPN具体应用
IP
(Internetwork)
Network Interface
(Data Link)
20
天融信
Talent-IT
§1.3.5 结论
VPN概述
1.
2. 3.
网络层对所有的上层数据提供透明方式的保护，但无法为应用提供足够细的控制粒度
数据到了目的主机，基于网络层的安全技术就无法继续提供保护，因此在目的主机的高层协议栈中很容易受到攻击应用层的安全技术可以保护堆栈高层的数据，但在传递过程中，无法抵抗常用的网络层攻击手段，如源地址、目的地址欺骗应用层安全几乎更加智能，但更复杂且效率低因此可以在具体应用中采用多种安全技术，取长补短
26
天融信
Talent-IT
第三章 VPN的工作原理
VPN概述
密码学简介 IPSec
VPN功能
VPN工作原理
因特网密钥交换协议
建立VPN通道的四种方式
VPN具体应用
一个完整的VPN工作原理图
27
天融信
Talent-IT
§3.1.1 密码学术语
1.
VPN概述
密码学：一门以保障数据和通信安全为目的的科学，它使用加密、解密、身份认证来实现目的。加密：将明文信息变换成不可读的密文形式以隐藏其中的含义解密：将密文信息还原成明文的过程。用来加密和解密的函数叫做密码算法。
Internet
一般子网拨号服务器
Internet 区域
明文传输
管理子网
PSTN
重点子网明文传输密文传输内部工作子网下属机构
DDN/FR X.25专线
23
天融信
Talent-IT
§2.2 数据完整性保护
内部WWW
对原始数据包进行Hash 对原始数据包进行加密
Hash 加密
摘要加密后的数据包
VPN功能
VPN工作原理
VPN具体应用
4. 5.
21
天融信
Talent-IT
第二章 VPN功能
VPN概述
VPN功能
数据机密性保护数据完整性保护
VPN工作原理
数据源身份认证
VPN具体应用
重放攻击保护
22
天融信
Talent-IT
§2.1 数据机密性保护
内部WWW
WWW
Mail DNS SSN区域边界路由器
VPN工作原理
2. 3. 4. 5.
VPN具体应用
15
天融信
Talent-IT
IPSec 框架的构成基于 IPSec 的VPN解决方案需要用到如下的协议：
VPN概述
VPN功能
AH协议 ESP协议 ISAKMP/Oakley协议
VPN工作原理
VPN具体应用
详细情况将在IPSec 协议体系中讲解
4.
恶意的ISP可以修改通道的终点到一台假冒的网关
10
天融信
Talent-IT
§1.2.4 安全网关中数据泄漏的风险
内部网
ISP接入设备
Internet
安全网关
远程访问
1. 2.
数据在安全网关中是明文的，因而网关管理员可以直接查看机密数据网关本身可能会受到攻击，一旦被攻破，流经安全网关的数据将面临风险
1
天融信
Talent-IT
VPN专题
Beginning
VPN技术专题讲座
2
天融信
Talent-IT
VPN专题
VPN 概述
——VPN是什么？
VPN 的功能
——VPN能做什么？
VPN 的工作原理
——VPN是如何工作的？
VPN 的具体应用
——在什么场合又怎样来使用VPN？
3
天融信
Talent-IT
11
天融信
Talent-IT
§1.2.5 内部网中数据泄漏的风险
内部网
ISP接入设备
远程访问
Internet
安全网关
内部段公司的内部网络
1. 2. 3.
内部网中可能存在不信任的主机、路由器等内部员工可以监听、篡改、重定向企业内部网的数据报文来自企业网内部员工的其他攻击方式
12
天融信
Talent-IT
Talent-IT
AH协议头下一头部负载长度
§2.4 重放攻击保护
保留
安全参数索引（SPI）序列号认证数据（完整性校验值ICV）变长 ESP协议头
安全参数索引（SPI）序列号负载数据（变长的）填充（0~255字节）
填充长度
认证数据（变长的）
下一头部
SA建立之初，序列号初始化为0，使用该SA传递的第一个数据包序列号为1，序列号不允许重复，因此每个SA所能传递的最大IP报文数为 232—1，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。
16
天融信
Talent-IT
§1.3.2 基于第二层的VPN解决方案
L2 T P 通道 L2 T P 通道
拨号连接
因特网
公司内部网
用于该层的协议主要有： L2TP：Lay 2 Tunneling Protocol PPTP：Point-to-Point Tunneling Protocol L2F：Lay 2 Forwarding L2TP的缺陷： 1. 2. 仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址欺骗攻击。没有针对每个数据报文的完整性校验，就有可能进行拒绝服务攻击：发送假冒的控制信息，导致L2TP通道或者底层PPP连接的关闭。
§1.2.6 结论
在端到端的数据通路上随处都有可能发生数据的泄漏，包括： 1. 2. 3. 拨入段链路上 ISP接入设备上在因特网上
4.
5.
在安全网关上
在企业内部网上。
能否提供一个综合一致的解决方案，它不仅能提供端到端的数据保护，同时也能提供逐段的数据保护呢？
13
天融信
Talent-IT
§1.3 现有的VPN 解决方案
外部段（公共因特网）
内部段公司的内部网络
端到端数据通路的典型构成
7
天融信
Talent-IT
§1.2.1 端到端数据通路中存在的安全风险
VPN概述
拨入段数据泄漏风险因特网上数据泄漏的风险安全网关中数据泄漏的风险内部网中数据泄漏的风险
VPN功能
VPN工作原理
VPN具体应用
8
天融信
第一章 VPN概述
VPN概述
•
VPN简介及其优点
VPN功能
VPN工作原理
• VPN的安全性 • 市场上已有的VPN解决方案
VPN具体应用
4
天融信
Talent-IT
§1.1 VPN简介及其优点
VPN概述
VPN是企业网在因特网等公共网络上的延伸
VPN功能
VPN工作原理

VPN具体应用
VPN通过一个私有的通道来创建一个安全的私有连接，将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来，形成一个扩展的公司企业网
Talent-IT
§1.2.2 拨入段数据泄漏风险
拨入段用户数据以明文方式直接传递到ISP：
搭线监听
PSTN
明文传输
攻击者远程访问
ISP接入设备
Internet
拨入段
ISP窃听 ISP
到了ISP处已解密成明文
1. 2. 3.
攻击者可以很容易的在拨入链路上实施监听 ISP很容易检查用户的数据可以通过链路加密来防止被动的监听，但无法防范恶意窃取数据的ISP。

提供高性能、低价位的因特网接入
5
天融信
Talent-IT
VPN的典型应用
合作伙伴
内部网虚拟私有网
远程访问
Internet
分支机构
VPN是企业网在因特网上的延伸
6
天融信
Talent-IT
§1.2 VPN的安全性
Clue
分支机构
安全网关
内部网
ISP接入设备
远程访问
Internet
安全网关
拨入段
2.
VPN功能
3.
VPN工作原理
4.
VPN具体应用
身份认证：一种用来验证通信参与者是否真的是他所声称的身份的手段，通过身份认证可以发现那些假冒的顶替的入侵者
Hash
摘要
一般子网原始数据包原始数据包管理子网
私钥
加密
DSS
将数字签名附在原始包后面供对方验证签名
重点子网
原始数据包
取出DSS DSS DSS 解密
原始数据包摘要
Hash
摘要
两摘要相比较相等吗？
验证通过内部工作子网
原始数据包
DDN/FR X.25专线
原始数据包
DSS
下属机构
25
天融信
3.
虽然PPP报文的数据可以加密，但PPP协议不支持密钥的自动产生和自动刷新，因而监听的攻击者就可能最终破解密钥，从而得到所传输的数据。
17
天融信
Talent-IT
§1.3.3 非IPSec 的网络层VPN 解决方案
VPN概述
网络地址转换由于AH协议需要对整个数据包做认证，因此使用AH协议后不能使用NAT 包过滤
VPN功能
VPN工作原理
VPN具体应用
由于使用ESP协议将对数据包的全部或部分信息加密，因此基于报头或者数据区内容进行控制过滤的设备将不能使用
服务质量
由于AH协议将IP协议中的TOS位当作可变字段来处理，因此，可以使用TOS位来控制服务质量
18
天融信
Talent-IT
§1.3.4 非IPSec 的应用层VPN 解决方案