第十五章虚拟私有网路- IPSec.ppt

第十五章 虛擬私有網路 - IPSec 15-1 虛擬私有網路簡介 15-2 VPN 網路型態 15-3 IPSec 安全協定 15-4 IPSec AH 協定 15-5 IPSec ESP 協定 15-6 安全關聯 15-1 虛擬私有網路簡介 Virtual Private Network (VPN) 何謂『私有網路』? 何謂『虛擬』? 安全協定： IP Security Protocol (IPSec) (本章介紹) ISAKMP (第十六章介紹) IKE (第十七章介紹) 15-2 VPN 網路型態 15-2-1 WAN-VPN 架構 專屬鏈路連結 15-2-2 Internet-VPN 架構 (1) Internet-VPN 架構 虛擬鏈路連結 15-2-2 Internet-VPN 架構 (2) 防火牆 - VPN 架構 VPN 與防火牆設備整合 15-3 IP 安全協定 『IP 安全協定』（IP Security Protocol, IPSec） IPv4 版本 IPv6 版本 IPSec 與 SSL/TLS 差異 15-3-1 IPSec 相關技術 IPSec 裝置 安全關聯 (Security Association, SA) 網際網路安全關聯鑰匙管理協定 (Internet Security Association Key Management Protocol, ISAKMP) 網際網路鑰匙交換 (Internet Key Exchange, IKE) 公鑰基礎架構 (Public Key Infrastructure, PKI) 認證標頭 (Authentication Header, AH) 封裝安全承载 (Encapsulation Security Payload, ESP) 操作模式 (Operating Mode) 傳輸模式 (Transport Mode) 通道模式 (Tunnel Mode) 演算法 (Algorithm) 認證演算法 加密演算法 15-3-2 IPSec 運作概念 IPSec 運作概念 IPSec 協定包含IPSec AH 與 IPsec ESP 兩種安全協定，這兩種安全協定都有傳輸模式和通道模式等兩種封包格式； 至於通訊雙方是要採用哪種安全協定及封包格式？視安全關聯（SA）的規範而定； 如何制定 SA 的安全規範？係由通訊雙方利用 ISAKMP 協定所協議完成的；　 在 ISAKMP 協議當中若需交換鑰匙來確定身份或制定會議鑰匙，可利用 IKE 協定來完成； 在雙方認證身分或交換鑰匙時，必須有表示身份的公開鑰匙，然而此公開鑰匙可由 PKI 系統中的憑證授權（CA）中心發給。 15-4 IPSec AH 協定 IPSec AH 協定 (Authentication Header, AH) 訊息確認碼 (Message Authentication Code, MAC) 偵測訊息傳遞當中，是否被竄改或偽造 訊息摘要 (Message Digest, MD) HMAC (Hash message Authentication Code) 15-4-1 AH 標頭格式 AH 標頭格式 下一個標頭 (Next Header, NH) 承載長度 (Payload Length) 安全參數索引 (Security Parameter Index, SPI) 序號 (Sequence Number) 認證資料 (Authentication Data) 15-4-2 AH 操作模式 (1) (A) AH 傳輸模式 IPv4 傳輸模式 IPv6 傳輸模式 15-4-2 AH 操作模式 (2) (B) AH 通道模式 15-4-2 AH 操作模式 (3) (C) AH 通道模式範例 不適合 NAT 運作 15-4-3 AH 認證欄位 (1) 認證欄位考慮因素 計算 MAC 值： 產生『完整性檢查值』(Integrity Check Value, ICV) 利用鑰匙加密 雙方必須協調： ICV 加密的秘密鑰匙 採用何種 MAC 演算法? (如 HMAC-SHA-1) 選擇哪些欄位來計算 ICV 值 15-4-3 AH 認證欄位 (2) (A) IPv4 標頭可能參予計算 ICV 的欄位 15-4-3 AH 認證欄位 (3) (B) IPv6 標頭可能參予計算 ICV 的欄位 15-4-4 AH 運作程序 (1) 安全閘門 (Security Gateway, SG) SA 相關參數 安全政策資料庫 (Security Policy Database, SPD) 目的位址、通訊協定、傳