IPSec_VPN要点解析.ppt

第三章 IPSec VPN（一） —— 理论部分 主讲人：晓晓 技能展示 理解VPN实现的各种安全特性 理解ISAKMP/IKE两个阶段的协商建立过程 会在Cisco路由器上配置IPSec VPN * 本章结构 VPN概述 VPN技术 VPN的模式与类型 加密算法 IPSec VPN的配置 数据报文验证 ISAKMP/IKE阶段1 IPSec连接 VPN的定义 IPSec VPN IPSec VPN（一） ISAKMP/IKE阶段2 * 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 VPN的定义 * Internet I love you …… …… VPN的定义 * Internet I you …… …… love hate 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险 VPN的定义 * Internet 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险 通信双方有被冒充的风险 A B I love you …… …… 我是路由器B VPN的定义 * Internet VPN建立“保护”网络实体之间的通信 使用加密技术防止数据被窃听 数据完整性验证防止数据被破坏、篡改 通过认证机制确认身份，防止数据被截获、回放 A B vpn隧道 VPN的类型 站点到站点VPN Internet * Internet VPN的类型 远程访问VPN Internet * Internet VPN的模式 * Internet A B 传输模式 封装模式相对简单，传输效率较高 IP包头未被保护 IP包头 有效载荷 IP包头 VPN头 有效载荷 VPN尾 IP包头 VPN头 有效载荷 VPN尾 IP包头 VPN头 IP包头 有效载荷 VPN尾 新IP头 VPN头 IP包头 有效载荷 VPN尾 新IP头 VPN头 VPN的模式 * Internet A B 隧道模式 IP包头被保护 IP包头 有效载荷 被保护的 新IP头 VPN头 IP包头 有效载荷 VPN尾 VPN尾 VPN技术 加密算法 对称加密算法 非对称加密算法 密钥交换 数据报文验证 HMAC MD5和SHA * 对称加密算法 对称加密算法的原理 DES 3DES AES Internet 明文数据“m” ②加密函数 E (k，m) = c ③解密函数 D (k，c) = m 明文数据“m” ①共享密钥k * 密文数据“c” 非对称加密算法 非对称加密算法的原理 DH算法（Diffie-Hellman，迪菲-赫尔曼） Internet ②公钥加密 E (p，m) = c ③私钥解密 D (q，c) = m ① 将公钥给对方 * 明文数据“m” 密文数据“c” 明文数据“m” 私钥始终未在网上传输 加密算法的应用 问题 使用对称加密算法，密钥可能被窃听 使用非对称加密算法，计算复杂，效率太低，影响传输速度 解决方案 通过非对称加密算法加密对称加密算法的密钥 然后再用对称加密算法加密实际要传输的数据 * 数字签名 数据报文验证 HMAC 实现数据完整性验证 实现身份验证 Internet A B B * +K1 加密后的数据“d” 数字签名 Hash算法 加密后的数据 数字签名 +K1 加密后的数据 +K1 Hash算法 是否 相同 如果数据被篡改将无法得到相同的数字签名 加密后的用户信息 身份验证使用用户信息经历相同的过程 通信双方的身份是靠判断用户信息的真假而被验证的吗？ MD5 SHA 小结 请思考： VPN的连接模式有哪两种？哪种模式会添加新的IP包头？ 常见的对称加密算法有哪三种？其中哪种最安全？ 非对称加密算法有什么优缺点？ * IPSec连接 建立IPSec VPN连接需要3个步骤： 流量触发IPSec 建立管理连接 建立数据连接 * ISAKMP/IKE阶段1 阶段1的三个任务 协商采用何种方式建立管理连接 通过DH算法共享密钥信息 对等体彼此进行身份验证 * Internet 传输集A …… …… A B 传输集B …… …… 比对 1.加密算法 2.HMAC功能 3.设备验证的类型 4.DH密钥组 5.管理连接的生存周期 预共享密钥 预共享密钥 共享密钥 共享密钥 DH算法 使用密钥加密用户身份信息 使用密钥和用户信息通过hash算法计算数字签名 对方比对数字签名确认身份 ISAKMP/IKE阶段1的配置命令 * Internet Router(config)#crypto isakmp policy priority Router(config-isakmp)