[物理]CISP0202密码学应用.ppt

密码学应用 讲师：蒲雄 课程内容 2 知识子域：VPN技术 理解VPN以及隧道技术、加解密技术、密钥管理技术及身份鉴别技术的作用 掌握IPSec 的组成和工作原理 掌握SSL的组成和工作原理 3 为什么使用VPN 1、没使用VPN时，分布在各地的组织机构需要用专用网络来保证数据传输安全。其特点 1）安全性好 2）价格昂贵 3）难扩展、不灵活 2、TCP/IP采用分组交换方式传递数据，其特点 1）安全性差 2）价格便宜 3）易扩展，普遍使用 4 图1 非VPN远程访问设置 为什么使用VPN 5 为什么使用VPN 1、将专用网的安全特性和分组交换网的廉价和易于扩展的特性结合在一起，这就是VPN的动机。2、其本质是利用共享的互联网设施，模拟“专用”广域网，最终以极低的费用为远程用户提供能和专用网络相媲美的保密通信服务。 6 与传统专用网相比，VPN给企业带来很多的好处，同时也给服务供应商特别是ISP带来很多机会。 如:VPN给企业带来的好处主要有以下四点： （1）降低成本 （2）易于扩展 （3）可随意与合作伙伴联网 （4）完全控制主动权 为什么使用VPN 7 加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。 VNP基本功能 8 VPN的类型 按协议层次 可以分为二层VPN，三层VPN、四层VPN和应用层VPN。 按应用范围 远程访问VPN、内联网VPN和外联网VPN 按体系结构 网关到网关VPN、主机到网关VPN和主机到主机VPN 9 按协议层次分类的VPN 数据链路层VPN 可以用于各种网络协议，比如IP、IPX、AppleTalk等。 网络层VPN 可以适用于所有应用（即不是应用特定的）。 传输层VPN 常用于保护单独的HTTP应用通信的安全，并且也可以保护其它应用的通信。 每个应用服务器必须支持该协议。 目前主要的web浏览器默认支持该协议。 应用层VPN 保护单个应用的部分或全部通信。 10 按体系结构分类的VPN 网关到网关体系结构示例 主机到主机体系结构示例 主机到网关体系结构示例 11 VPN的使用方式 自构VPN：也称为基于用户设备的VPN。 用户自己添置设备，利用互联网连接远程网络。此时互联网仅用作IP分组的传送平台，VPN的安全功能由用户网络设备实现。 适合于那些有远程安全通信需求、却又不信任VPN服务供应商提供的安全服务的用户。 外购VPN：也称为基于网络的VPN。 将自有远程网络按VPN服务供应商的要求连接到服务商提供的VPN边缘路由器。 VPN的安全功能由VPN服务供应商提供。 可以省去大量VPN网络设备和维护的费用。 12 VPN的工作原理及关键技术 隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术 访问控制技术 13 本质区别在于用户在隧道中传输的数据包是被封装在哪种数据包中。 隧道技术按其拓扑结构分为点对点隧道和点对多隧道，而VPN主要采用点对点隧道。 目前存在多种VPN 隧道，包括L2TP、PPTP、IPSec、MPLS、SSL 隧道技术 14 VPN网关B 5 双方使用ISAKMP/Oakley密钥交换协议建立安全关联，产生或者刷新密钥 4 VPN网关A 查找SPD数据库决定为流入的IP数据提供那些安全服务 查找对应SA的参数 要求建立安全相应的关联 对原有数据包进行相应的安全处理 建立SAD 建立相应的SA 完整的VPN工作原理图 保证VPN安全性通过以下手段： 隧道和加密：在安全性较高的场合使用加密隧道保护私有数据不被非法窥视和篡改。 数据验证：数据验证使接收方识别被篡改的数据，保证数据完整性。 身份验证：通过AAA，路由器提供用户验证、访问级别和访问记录，禁止非法访问。 抗重放：防止数据包被扑捉并重新投放到网上。 VPN设计原则 16 内部工作子网 密文传输 明文传输 明文传输 数据机密性保护 17 内部工作子网 原始数据包 对原始数据包进行Hash Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 数据完整性保护 18 内部工作子网 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 DSS 解密 相等吗？ 验证通过 数据源身份认证 构建VPN的另一重要需求是有效的利用有限的广域网资源，为重要数据提供可靠的带宽。QoS（服务质量）通过流量预测与流量控制策略，可按照优先级分配带宽管理