DCN-ROUTE-013-VPN技术(IPSec).pptxVIP

VPN技术(IPSec)客服中心技术团队2012-11-10目录IPSec产生背景IPSec协议基本原理IPSec功能和配置实验和练习小结IPSec背景介绍IP包本身并不继承任何安全特性 我们不能担保收到的IP数据包： 来自原先要求的发送方（IP头内的源地址）； 包含的是发送方当初放在其中的原始数据； 原始数据在传输中途未被其他人看过。IPSec的产生IPSec是由Internet工程任务组（IETF）开发的开放标准框架IPSec 是网络层中安全通讯的第三层协议IPSec提供数据的认证、完整性、机密性、抗重播等安全服务IPSec为无保护网络（如Internet）上传输敏感数据提供了安全性IPSec应用的基本目的：确保数据通过公共网络时的安全性 IPSec的保护形式 数据源地址验证；无连接数据的完整性验证；数据内容的机密性（是否被别人看过）；抗重播保护；有限的数据流机密性保证。 具体分析：无IPSec的环境主机A主机BIP网络主机B收到一个源地址为主机A的IP数据包后：1、主机B并不能肯定是主机A发送的，可能是攻击者伪造的2、主机B并不能保证这个IP数据包内容没有被第三方改动过 3、主机B并不知道这个IP数据包的内容是否被第三方窥探过4、主机B连续收到同一个IP数据包若干次，遭受重播攻击 具体分析：有IPSec的环境主机A主机BIP网络IPSec主机B收到一个源地址为主机A的IP数据包后：1、B对IP数据包的源地址进行验证，判断该IP包是否由A发出2、B可以通过对IP数据包进行完整性验证3、如不希望数据包被第三方知道，可以对数据包进行加密4、通过IPSec协议机制来废弃重复的IP数据包目录IPSec产生背景IPSec协议基本原理IPSec功能和配置实验和练习小结IPSec保护模式介绍原始IP包IP头数据传输模式受传输模式保护的IP包IP头IPSec头数据隧道模式原始IP包IP头数据受隧道模式保护的IP包新IP头IPSec头IP头数据IPSec提供的服务数据完整性：接收方对包认证，确保数据在传输中没有被篡改 数据来源认证：接收方对IPSec包的源地址进行认证反重播：接收方可拒绝接受过时包或包拷贝，保护自己不被攻击数据机密性：发送方传输IP包前对包进行加密 IPSec提供服务的实现数据完整性：由ESP、AH协议调用MD5或SHA散列算法实现 数据来源认证：由ESP、AH协议实现反重播 ：由ESP、AH协议实现数据机密性：由ESP结合DES、3DES加/解密算法实现 AH协议介绍AH（Authentication Header）—-验证头为IP数据包提供数据完整性为IP数据包提供源地址验证为IP数据包提供抗重播服务不提供对通信数据的加密服务 AH协议使用IP的50、51协议交互ESP协议介绍ESP（Encapsulating Security Payload）—封装安全性有效负载。为IP数据包提供数据完整性为IP数据包提供源地址验证为IP数据包提供抗重播服务提供对数据的加密服务 ESP协议使用IP的50、51协议交互 AH、ESP差异分析AH不提供加密服务；ESP提供加密服务（结合DES、3DES）AH提供的验证保护可以保护整个IP数据包ESP的验证保护无法保护IP头，但可以为数据提供加密服务 DES、3DES算法介绍DES（Data Encryption Standard）—数据加密标准。3DES（Triple Data Encryption Standard）—3倍数据加密标准。相同：DES、3DES都是对数据包提供加/解密的算法差异：DES的密钥长度为8字节（56个有效位）3DES的密钥长度为24字节（168个有效位）3DES加密强度比DES高若干倍 MD5、SHA散列算法介绍MD5 （Message Digest-5）—消息摘要-5算法 。SHA（Security Hash Algorithm） —安全散列算法 。相同：MD5 、SHA都是散列算法，可对任意长度报文进行HASH计算 差异：MD5运算后得到128位的HASH（摘要）值SHA运算后得到160位的HASH（摘要）值SHA可以提供比MD5强度更高的验证网关A网关BTELNETSMTPIP网络其他通信IPSec保护强度分析网关A到B的Telnet数据采用：ESP协议、3DES加密、SHA验证网关A到B的SMTP数据采用：ESP协议、DES加密、MD5验证网关A到B的其他通信数据采用：AH协议、MD5验证形成了3个保护强度的IPSec通信通道：TELNET保护强度最高、SMTP强度次之、其他通信的强度最弱SA（Security Association）-安全联盟 SA是封装形式、加/解密算法、密钥、验证算法、密钥周期等信息的集合SA是IPSec的一套专用方案，将安