IPSecVPN技术分析.ppt

Page * Page * 目标 学完本课程后，您将能够: 理解IPSec技术的基本原理 理解AH和ESP技术 了解IKE协议的业务流程 掌握IPSec VPN的应用场景及配置 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 IPSec简介 总部 分支机构 IPSec VPN 防重放 Confidentiality Anti-replay Data authentication Data integrity 完整性 机密性 真实性 IPSec 安全隧道 IPSec安全防护特点 总部 分支机构 IPSec VPN TCP/ UDP IP APP Data TCP/ UDP IP APP Data 安全保护区域 安全保护区域 Internet业务 访问总部流量 访问Internet部流量 IPSec安全防护场景 总部 分支机构 IPSec VPN IPSec端到端应用场景 安全网关（如防火墙）之间； 主机与安全网关之间； 主机与主机之间； 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 IPSec VPN体系结构描述 策略 AH：验证头 IPSec VPN体系结构 ESP：封装安全载荷 加密算法 验证算法 密钥管理 IPSec安全协议 IPSec通过AH（Authentication Header）和ESP（Encapsulating Security Payload）这两个安全协议来实现数据报在网络上传输时的私有性、完整性、真实性和防重放。 AH AH（Authentication Header）报文头验证协议，主要提供的功能有数据源验证、数据完整性校验和防报文重放功能；然而，AH并不加密所保护的数据报文. ESP ESP（Encapsulating Security Payload）ESP是封装安全载荷协议。它除提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能. IPSec协议封装模式 传输模式 在传输模式下，IPSec头被插入到IP头之后但在所有传输层协议之前，或所有其他IPSec协议之前。 隧道模式 在隧道模式下， IPSec头插在原始IP头之前，另外生成一个新的报文头放到AH或ESP之前。 New IPH IPSec Data Org IPH 隧道模式 Data IPH Data IPH IPSec 传输模式 IPSec协议封装模式对比 封装模式对比： 1. 安全性 隧道模式隐藏原IP头信息，安全性更好 2. 性能 隧道模式有一个额外的IP头，隧道模式比传输模式占用更多带宽具体选择那封装模式，需要在性能和安全之间做权衡 ！ IP数据 原IP头 IPSec头 原IP数据 原IP头 新IP头 IPSec头 传输模式： 隧道模式： 加密和验证算法 加密算法 DES ( 56bit?64bit ) 3DES( 3个 56bit ?64bit ) AES (128、192、256) 国密(256) 验证算法 MD5( 128bit ) SHA-1( 160bit ) 计算复杂度与加密强度没必然联系 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 IPSec安全协议-AH 提供数据源验证（真实性）、完整性校验和抗重放 不支持加密算法 认证数据 序列号 安全参数索引（SPI） 下一个报文头 载荷长度 保留字段 载荷数据 AH报文封装模式 AH在IP报文头中的协议号为51 传输模式: 验证整个IP报文 隧道模式: 验证新IP头及整个IP报文 New IPH AH Data Org IPH 隧道模式 Data IPH Data IPH AH 传输模式 验证所有不变部分 验证除新IP头可变字段之外的所有不变部分 目录 IPSec VPN概述 IPSec VPN体系结构 验证头（AH）技术 封装安全载荷（ESP）技术 Internet密钥交换（IKE）技术 IPSec VPN应用场景分析 IPSec安全协议-ESP 提供数据真实性、数据完整性、抗重放、数据机密性 支持加密算法 载荷数据 序列号 安全参数索引（SPI） 填充长度 认证数据 下一个报头 填充字段 初始化向量 ESP报文封装模式 ESP在IP报头中的协议号为50 传输模式: