VPN基础(二)幻灯片.pptVIP

第三节：深入IP Sec--操作概述 IKE阶段1 Host A Host B Router A Router B 10.0.1.3 10.0.2.3 IKE 阶段 1 协商建立IKE安全 通道所使用的参数 协商建立IKE安全 通道所使用的参数 再回到第一阶段：到底IKE在做些什么？ Host A Host B Router A Router B 10.0.1.3 10.0.2.3 IKE 阶段 1 协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道 协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道 第三节：深入IP Sec--操作概述 第三节：IKE的交换过程（主模式） SA交换 密钥交换 ID交换及验证 发送本地 IKE策略 身份验证和 交换过程验证 密钥生成 密钥生成 接受对端 确认的策略 查找匹配 的策略 身份验证和 交换过程验证 确认对方使用的算法 产生密钥 验证对方身份 发起方策略 接收方确认的策略 发起方的密钥生成信息 接收方的密钥生成信息 发起方身份和验证数据 接收方的身份和验证数据 Peer1 Peer2 第三节：IKE的交换过程（野蛮模式） SA交换， 密钥生成 ID交换及验证 发送本地 IKE策略， 密钥生成信息 身份验证和 交换过程验证 接受对端 确认的策略， 密钥生成 查找匹配 的策略，密钥生成 确认对方使用的算法，产生密钥 验证对方身份 发起方策略，密钥生成信息 接收方的密钥生成信息，身份和验证数据 发起方身份和验证数据 Peer1 Peer2 网络基础知识培训教程 VPN基础知识（三） IP Sec隧道 目录 IPSec VPN概念 1 深入IP Sec--操作概述 3 IPSec VPN应用范围 2 第一节：IPSec VPN概念 概念：在第三层的一个协议集而不是一个单个的协议。在 IP 数据包层检验、验证身份和加密数据。IPSec 提供数据在网络传输时的安全性提供的安全服务： 数据机密性：在发送数据包前将其进行加密。 数据完整性：对数据包进行检测，以确保数据包在传输过程中没有被篡改。 数据来源鉴别：鉴别数据包的来源。 反重播：检测并退回“重播”的数据包 第一节：IPSec VPN功能简述－－数据机密性 1100111001 0100010100 1010100100 0100100100 0001000000 1100111001 0100010100 1010100100 0100100100 0001000000 明文 加密 解密 明文 保证数据在传输途中不被窃取 发起方 接受方 密文 ·#￥^(%# %$%^*(! #$%*((_%$ @#$%%^* **)%$#@ 长江长江， 我是黄河！ 长江长江， 我是黄河！ 第一节：IPSec VPN功能简述－－数据的完整性 完整性：数据没有被非法篡改 通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性。 第一节：IPSec VPN功能简述－－数据的完整性 发起方 接受方0101001000001101100010100101001000001101Hash Hash100100011000010010001010 是否一样？ 防止数据被篡改100100011000010010001010 长江长江， 我是黄河！ 倒 长江长江， 我是黄河！ 第一节：IPSec VPN功能简述－－数据源身份认证 超男 超女 假冒的“超女” 假冒VPN Internet11101001验证签名，证实数据来源 私钥签名 私钥签名11101001第一节：IPSec VPN功能简述－－反重播 超男 超女 假冒的“超女” 假冒VPN Internet11101001序列号没有重复，正常接收 1 4 3 2 第二节：IPSec VPN应用范围 由于是在网络层的，不需要配置个人工作站，PC机或者应用，只需要通过简单地更改网络基础结构就可以使用。并可以在不同的设备间加密： 从路由到路由； 防火墙到路由； 防火墙到防火墙； 用户到防火墙； 用户到路由； 用户到VPN; 用户到服务器； 第三节：深入IP Sec--操作概述 1000年前的VPN:飞鸽传书 第三节：深入IP Sec--操作概述