IP与VPN网络知识介绍.pptVIP

IPSec 与VPN 提纲 IPSec 概述 IPSec 体系结构 认证头（Authentication Header） 封装安全载荷（ESP） 安全关联（SA） 密钥管理 Internet 在网络层没有提供任何安全保护 窃听、伪造IP地址、篡改、重发 1994年， IAB 发布了Internet 体系结构的安全性（RFC1636），在网络层实现端到端的安全性 数据源发认证机制 数据加密机制 密钥管理 IPSec 应用 对所有的IP流量都认证和加密 应用环境 Internet上的安全分支办公室 远程访问 企业与合作伙伴之间的外联网（Extranet） 增强的电子商务安全性 虚拟专用网（VPN） IPSec的实施 在主机上实现（与操作系统集成） 保障端到端的安全 能够实现所有模式 能够针对用户的每个会话提供安全保障 IPSec的实施 在防火墙上实施 无须改变操作系统 为内部所有的应用提供安全服务 功能重复 IPSec的实施 在路由器上实施 虚拟专用网（VPN）: 可以对通过公用网络在两个子网之间流动的数据提供安全保护 虚拟专用拨号网（VPDN），安全的远程访问 IPSec的好处 在防火墙或路由器中实现时，可以对所有跨越周界的流量实施强安全性，而公司内部或工作组不必招致与安全相关处理的负担 IPSec在传输层以下，因此对应用透明，不必修改用户或服务器系统的软件 IPSec可以对最终用户透明 IPSec 可以为单个用户提供安全性 提纲 IPSec 概述 IPSec 体系结构 认证头（Authentication Header） 封装安全载荷（ESP） 安全关联（SA） 密钥管理 IPSec 体系结构 IPSec 体系结构 IPSec对IPv6是必需的，对IPv4是可选的 IPSec 文档： RFC 1825~1829，分成七组： 体系结构： 定义IPSec技术的一般性概念、需求和机制 认证头（AH）： IP 数据包中的一个扩展域，用于提供数据源发认证、和完整性保护 封装载荷头（ESP）: IP 数据包中的一个扩展域，用于提供数据保密、源发认证、和完整性保护 解释域（DOI）：其他文档需要的为了彼此间互相联系的一些值，包括经过检验的加密和认证算法的标识以及操作参数，比如密钥的生存期。 密钥管理：ISAKMP 加密算法 认证算法 IPSec提供的服务 IPSec在IP层提供安全服务，系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需加密密钥。 访问控制 无连接完整性 数据源认证 拒绝重放数据包 保密性（加密） 有限的信息流保密性 IPSec提供的服务 提纲 IPSec 概述 IPSec 体系结构 认证头（Authentication Header） 封装安全载荷（ESP） 安全关联（SA） 密钥管理 认证头（Authentication Header） 保护数据完整性（不被非法篡改） 源发认证，防止源地址假冒 抗重放（Replay）攻击 AH 的模式 传输模式（Transit ） 通常以端到端的方式实现（在主机上实现） 不修改IP头，只添加ESP/AH AH的模式 隧道模式（Tunnel Mode） 通常在防火墙或路由器上实现 把整个IP包作为数据，增加一个新的IP头、ESP/AH头 认证头（Authentication Header） Next header（下一个报头）：8 bit，标识数据载荷中的封装方式或协议 Payload length（有效载荷长度）：8 位宽，以 32 位字为单位的认证数据字段的长度。最小值是 0，仅仅用于“null”认证算法的情况。这不应该在 IPSec 中发生，IPSec 中必须指定一位。 Reserved（保留字）：16 位宽，保留以供将来使用。发送时必需设置为全零。这个值包含在认证数据计算中，否则被接收方忽略。 Security parameters index （SPI）（安全参数索引）： 为数据报识别安全联合的 32 位伪随机值。SPI 值 0 被 保留来表明“没有安全联合存在”。 认证头（Authentication Header） 序列号（32bit），单调递增的计数器，用于防范重放类型的攻击 Authentication Data （AD）（认证数据）： 支持算法： HMAC-MD5-96 HMAC-SHA-1-96 在一下字段上计算MAC的值： IP头中的不变部分，可变部分被设置成0。比如ttl 上层协议数据，如TCP/UDP数据 提纲 IPSec 概述 IPSec 体系结构 认证头（Authentication Header） 封装安全载荷（ESP） 安全关联（SA） 密钥管理 封装安全载荷（ESP） 提供保密性服