.VPN概述.ppt

VPN概述 1. 什么是VPN VPN，英文全称是virtual Private Network，中文名称一般称为虚拟专用网或虚拟私有网。它指的是以公用开放的网络(如Internet)作为基本传输媒体，通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改，从而向最终用户提供类似于私有网络(Private Network)性能的网络服务技术。 VPN概述 2. VPN功能 数据机密性 数据完整性 身份认证 抗抵赖 VPN概述 3. VPN的示意图 SJW11系统简介 软件环境 SJW11密码机采用源于Linux的专用网络安全操作系统，具有安全，可靠，灵活的特点。 SJW11的控制终端可以是任何一台运行中文Windows的计算机，浏览器建议为IE4.0及以上版本。 整机工作环境 温度：0－40摄氏度 湿度：小于95％ SJW11系统简介 SJW11工作原理 IPSec协议简介 IPSec结构 IPSec解决方案的组成 IPSec工作原理 Internet密钥交换(IKE) SJW11工作原理 IPSec结构 SJW11工作原理 IPSec解决方案的组成 认证头协议（Authentication Header ，AH） 封装安全协议（Encapsulating Security Protocol ，ESP） IP隧道协议（IPinIP） 密钥管理 安全政策 SJW11工作原理 IPSec工作原理 IPSec认证 IPSec加密 IPinIP隧道 SJW11工作原理 SJW11工作原理 IPSec加密 封包安全协议（ESP）包头提供IP数据报的机密性服其使用的包头号放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP、UDP、ICMP等）之间。国际IANA机构分配给ESP的协议号为50。 SJW11工作原理 IPinIP隧道 IPinIP协议是对一个IP报文进行封装,在原有的IP头前,又添加一个新的IP报头的协议.就象隧道一样保护原来的IP报文.从而隐藏了网络的相关信息.国际IANA机构分配给AH的协议号为4. SJW11工作原理 Internet密钥交换IKE IKE提供了身份认证，协商信息的保护，并为IPSec等安全协议进行安全联盟的协商。 IKE采用的密钥协商机制分两个阶段。第一阶段进行身份认证和ISAKMP的安全联盟的协商。第二阶段则利用第一阶段协商的安全联盟来保护信息，并为IPSEC等安全协议进行安全联盟的协商。 SJW-11网络密码机系统功能 支持透明连接 隧道管理 对不同需求的兼顾 支持安全子网的网段分割 支持用户定制 支持多种安全算法的协商 一次性口令认证 提取公钥证书 安全审计 支持隧道建立自动化 支持集中管理 隧道客户端和服务器端 SJW11关键技术 操作系统的安全 高效可靠的网络技术 密钥抗攻击措施 密钥管理 SJW11关键技术 操作系统的安全 将核心无关代码删除，保持核心最小。 修改TCP/IP协议栈，增加安全补丁。 修改文件系统，提高文件系统的可靠性。 关闭所有无关的网络服务。 取消r命令。 删除无用的账号，包括root。 SJW11关键技术 高效可靠的网络技术 基于Linux的网络操作系统，其TCP/IP具有良好的可扩展性。因此，我们向系统注册了自定义的虚拟网络适配器，通过该虚拟网卡，所有流经的IP包都会根据要求进行处理。 向系统注册了新的传输层协议，从而保证了接收端对 IP包的正确处理。 SJW11关键技术 密钥抗攻击措施 私钥保存在IC卡中,受PIN号保护 公钥的分发通过手工进行, 证书无法篡改 证书都有使用期限，防止了过期密钥 根据需要规定会话密钥的生存周期,期限一到,VPN设备会自动交换密钥, 减少了会话密钥被破译的可能性 所有工作密钥都保存在内存中，并口令保护,防止密钥的泄漏 SJW11关键技术 密钥管理 密钥管理是密码设备中最关键和复杂的关键技术，也是密码设备管理和应用最复杂的难题。为保证VPN设备的安全性和方便性，以及产品的可用性，我们采取了对称密码算法和非对称密码算法相结合的技术路线，顺应了密码应用技术的发展趋势，提高了密钥管理的安全性和方便性，使本产品具有了一定的技术先进性。 SJW11的技术特点 加密安全措施符合国家有关规定, 采用国家认可的硬件加密卡 采用IPSec协议,实现了对上层应用的透明性 采用对称和非对称加密算法相结合的技术 密钥的协商产生遵循IKE协议，没有根密钥，无须在网上直接