虚拟专用网络技术王红娟
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第十章 虚拟私用网络技术
24
2014-6-27
10.2 Internet的安全协议IPSec
10.2.3 数据安全封装协议
2.传输与隧道模式
ESP 可以用于两种模式:传输模式和隧道模式。这 些模式的工作方式与它们在 AH 中的工作方式类似,但 是有一例外:对ESP,在每一个数据之后将附加一个尾 部(trailer)的数据。
1.加密算法
IPSec ESP 使用密码分组链接 ( CBC- cipher block chaining)模式DES算法;对于要求认证的兼容系统则 必须含有个NULL算法。 同时也定义了 ESP 服务使用的其他加密算法:三重 DES 、RC5、IDEA、CAST、BLOWFISH、3IDEA
初始的IP头
TCP
数据
IPV4 数据包
初始的IP头
扩展项头
TCP
数据
IPV6数据包
第十章 虚拟私用网络技术
20
2014-6-27
10.2 Internet的安全协议IPSec
10.2.3认证头协议
2. 传输与隧道模式
初始的IP头
AH 头 AH
TCP
数据
IPV4 数据包
初始的IP头
跃点数、路由分段
AH头
为0。
除认证数据域之外头的全部内容。为计算需要,将认 证数据域置为0。
第十章 虚拟私用网络技术
19 2014-6-27
10.2 Internet的安全协议IPSec
10.2.3认证头协议
2. 传输与隧道模式
AH 服务可以使用两种模式:传输( transport ) 模式和隧道( tunnel )模式。 AH 在 IPv4 和 IPv6 数据包 的实际位置决定于使用何种模式。
第十章 虚拟私用网络技术
12
2014-6-27
10.2 Internet的安全协议IPSec
10.2.1 IPSec的体系结构
IETF设立的IP 安全协议工作组
体系结构(Architecture)
封装安全有效载荷( ESP -Encapsulating Security Payload) 认证头( AH -Authentication Header )
SOCKs V5-应用于会话层 IPsec-应用于网络层 PPTP/L2TP-用于链路层
IP级安全问题涉及三个功能领域:认证、保密和密钥 管理。
第十章 虚拟私用网络技术
7
2014-6-27
10.2虚拟专用网络概述
10.1.3实现VPN通常用到的安全协议
IP安全性概要
1994年IAB(Internet Architecture Board)发表一份报告 “Internet体系结构中的安全性”(RFC1636)
保护网络基础设施,防止非授权用户监控网络流量
需要认证和加密机制增强用户-用户通信流量。
1997年CERT(Computer Emergency Response Team) 年报表明2500安全事故影响了150000站点。
IAB决定把认证和加密作为下一代IP(IPv6)的必备安全 特性,而IPv4也可以实现这些安全特性。
10.1 虚拟专用网络概述
IPSec的好处 在防火墙或路由器中实现时,可以对所有跨越周界的流 量实施强安全性。而公司内部或工作组不必招致与安全 相关处理的负担。 在防火墙中实现IPSec可以防止IP旁路。
IPSec是在传输层(TCP,UDP)之下,因此对应用透明。不 必改变用户或服务器系统上的软件。
1. IPSec协议 IPSec是Internet的安全协议,是IP与Security 的简写。 IPSec联合使用多种安全技术来为IP数据包提供保密性、 完整性和真实性。IPSec实际上指的是多个相关的协议,它 们在RFC2401-2411和RFC2451中定义。规约已经变得相当复 杂。 IPSec的主要设计目标是良好和互操作性。如果得到正确 的实现,IPSec对那些不支持它的主机和网络不会产生任何 负面的影响,IPSec的体系结构独立于当前的密码算法, IPSec对于IPv6 是必需的,而对IPv4是可选的。 IPSec使用当前流行的密码学算法。
体系结构
ESP协议
AH协议
加密算法
加密算法
DOI 密钥管理 图 10.2 IPSec文档 第十章 虚拟私用网络技术
14 2014-6-27
10.2 Internet的安全协议IPSec
10.2.1IPSec的体系结构
IPSec的主要目标 期望安全的用户能够使用基于密码学的安全机制
应能同时适用与IPv4和IPv6 算法独立 有利于实现不同安全策略 对没有采用该机制的的用户不会有副面影响
目的选项
TCP
数据
IPV6数据包
图 10-5 AH传输模式在IPv4和IPv6数据包中的位置
第十章 虚拟私用网络技术
21
2014-6-27
10.2 Internet的安全协议IPSec
10.2.3认证头协议
2. 传输与隧道模式
新的IP头
AH 头 AH
初始的IP头
TCP
数据
IPV4 数据包
新的IP头
IPSec可以对最终用户透明。无须训练用户。
需要时IPSec可以提供个人安全性。这对非现场工作人 员以及在一个组织内为一个敏感应用建立一个安全的虚 拟子网是有用的。
第十章 虚拟私用网络技术
11 2014-6-27
10.2 Internet的安全协议IPSec
10.2.1IPSec的体系结构
第十章 虚拟私用网络技术
5 2014-6-27
10.1 虚拟专用网络概述
VPN与逻辑等同网络
穿越
VPN虚拟私用网络
逻辑等同网络
第十章 虚拟私用网络技术
6
2014-6-27
10.1 虚拟专用网络概述
10.1.3实现VPN通常用到的安全协议
为了解决Internet所面临的不安全因素的威胁,实 现在不信任通道上的数据安全传输,使安全功能模块能 兼容Ipv4和下一代网络协议Ipv6,IPSec协议将会是主 要实现VPN的协议。
VPN是企业网在Internet等公共网络上的延伸,通过一 个专用的通道来创建一个安全的连接。 VPN通过安全的数据通道将远程用户、公司分支机构、 公司的业务合作伙伴等与公司的企业网连接起来,构成一 个扩展的公司企业网。Internet服务提供商(ISP)提供高 性能、低价位的Internet接人(直接通过线路或本地电话 号码),这样公司就可以摆脱以前使用的昂贵的租用线路。
与合作伙伴建立extranet与intranet的互连。
增强电子商务安全性。
IPSec的主要特征是可以支持IP级所有流量的加密和/或 认证。因此可以增强所有分布式应用的安全性。
第十章 虚拟私用网络技术
9
2014-6-27
10.1 虚拟专用网络概述
第十章 虚拟私用网络技术
10
2014-6-27
第十章 虚拟私用网络技术
25
2014-6-27
10.2 Internet的安全协议IPSec
10.2.3 数据安全封装协议
2.传输与隧道模式
初始的IP头
ESP 头 ESP 头
TCP
数据
ESP尾
ESP认证
IPV4 数据包
初始的IP头
跃点数、路由分段 ESP头
目的选项 TCP
数据 ESP尾
ESP认证
IPV6 数据包
第十章 虚拟私用网络技术
17
2014-6-27
10.2 Internet的安全协议IPSec
10.2.2 认证头协议
AH协议为IP数据包提供了数据完整性和认证服务。
下一个首部 (8比特) 载荷长度 (8比特)
保留 (16比特)
安全参数索引(SPI) (16比特)
序列号 (16wenku.baidu.com特) 认证数据(长度可变)
拒绝重放数据包
保密性(加密) 有限信息流保密性
第十章 虚拟私用网络技术
16 2014-6-27
10.2 Internet的安全协议IPSec
10.2.1IPSec的体系结构
2. IPSec提供的服务
访问控制 连接完整性 数据源认证 拒绝重放包 保密性 有限保密性
AH
ESP(仅加密) ESP(加密+认证)
信息安全
第10章 虚拟专用 网络技术
第十章 虚拟私用网络技术
1
2014-6-27
本章主要内容
10.1 虚拟专用网络概述
10.2 Internet的安全协议IPSec
10.3 VPN应用
第十章 虚拟私用网络技术
2
2014-6-27
本章学习目标
通过本章的学习,学生应该掌握以下内容:
(1)了解虚拟私用网络的概念和作用; (2)理解IPSec工作原理;
图 10-8 ESP传输模式在典型IPv4和IPv6数据包中的位置
第十章 虚拟私用网络技术
26
2014-6-27
10.2 Internet的安全协议IPSec
10.2.3 数据安全封装协议
2.传输与隧道模式
新的IP头
ESP头 初始的IP头
TCP
数据据
ESP尾
ESP认证
IPV4 数据包
AH头 扩展项头 AH
扩展项头 TCP
数据
IPV6数据包
图 10-6 AH隧道模式在IPv4和IPv6数据包中的位置
第十章 虚拟私用网络技术
22
2014-6-27
10.2 Internet的安全协议IPSec
10.2.3 数据安全封装协议
ESP协议为IP数据提供保密性、提供认证服务。根据 使用的加密类型和方式,ESP的格式也会有所不同。加密 关联的密钥都是使用SPI来选择的。
第十章 虚拟私用网络技术
15
2014-6-27
10.2 Internet的安全协议IPSec
10.2.1IPSec的体系结构
2. IPSec提供的服务
IPSec在IP层提供安全服务,使得系统可以选择所需要 的安全协议,确定该服务所用的算法,并提供安全服 务所需任何加密密钥。 访问控制
连接完整性 数据源认证
(3)理解虚拟私用网络的解决方案;
(4)掌握在windows2000中配置VPN连接。
第十章 虚拟私用网络技术
3
2014-6-27
10.1 虚拟专用网络概述
问题提出: 随着Internet的增长,许多公司都开始考虑:“如何 充分利用Internet为公司的业务服务?” 最初,只是通过WWW方式向用户提供公司的图片、产 品及服务。 现在的焦点已转移到电子商务,对于那些基于传统信 息系统的关键性商务应用及数据,希望能通过无处不及的 Internet来实现方便快捷的访问。但对于信息又安全的属 于企业。 通过安全的虚拟专用网络的实现,可以把公司的业务 安全地、有效地拓展到世界各地。
图 10-3认证协议首部
第十章 虚拟私用网络技术
2014-6-27
18
10.2 Internet的安全协议IPSec
10.2.2 认证头协议
1.完整性校验值计算
ICV是消息认证码的一种截断版本, 仅用HMAC—MD5
和HMAC- SHAl的96位。 ICV使用下列的域来计算: 在传输中不变化的IP头域或者其值在到达使用该AH关 联的端点时可以预测的IP头域。为计算需要,将其他置
加密算法(Encryption Algorithm)
认证算法(Authentication Algorithm) 密钥管理(Key Management)
解释域( DOI -Domain of Interpretation)
第十章 虚拟私用网络技术
13
2014-6-27
10.2 Internet的安全协议IPSec
第十章 虚拟私用网络技术
4
2014-6-27
10.1 虚拟专用网络概述
10.1.1 VPN的概念
虚拟专用网络(VPN-Virtual Private Network)能够利用 Internet或其它公共互联网络的基础设施为用户创建隧道, 并提供与专用网络一样的安全和功能保障。实现不同网络 的组件和资源之间的相互连接。
第十章 虚拟私用网络技术
8
2014-6-27
10.1 虚拟专用网络概述
10.1.3实现VPN通常用到的安全协议
IPSec的应用 IPSec提供对跨越LAN/WAN,Internet的通讯提供安全性
分支办公机构通过Internet互连。(Secure VPN) 通过Internet的远程访问。
安全参数索引(SPI)(32比特)
序列号 (32比特)
载荷数据(变长)
填充(0-255字节)
填充长度(8比特) 下一个头(8比特)
认证数据(变长)
图 10-7 ESP 格式 第十章 虚拟私用网络技术
23 2014-6-27
10.2 Internet的安全协议IPSec
10.2.3 数据安全封装协议