第五章网络安全VPN技术.ppt

Internet VPN网关B 公司A AH 4 258 ESP 4 259 ESP 5 257 AH 5 256 Security Protocol Destination Address SPI 5 公司B SPD中的数据项类似于防火墙的配置规则 4 5 Source Address …… …… Others 绕过、丢弃 安全 Secure Service 5 4 Destination Address 双方使用ISAKMP/Oakley密钥交换协议建立安全关联，产生或者刷新密钥 内IP头 ESP尾 负 载 ESP头 AH头 外IP头 负 载 IP 头 4 SAD中包含每一个SA的参数信息，如算法、密钥等 ESP AH ESP AH Security Protocol …… …… …… …… Others 110 001 101 010 Key 加密SHA-1 258 3DES CBC 259 DES CBC 4 257 加密MD5 256 Algorithm SPI 负 载 IP 头 VPN网关A 查找SPD数据库决定为流入的IP数据提供那些安全服务 查找对应SA的参数 要求建立安全相应的关联 对原有数据包进行相应的安全处理 建立SAD 建立相应的SA §3.5 一个完整的VPN工作原理图 第四章 VPN的具体应用 用VPN连接分支机构 用VPN连接业务伙伴 用VPN连接远程用户 VPN概述 VPN功能 VPN工作原理 VPN具体应用 §4.1 用VPN连接分支机构 Internet 分支机构 VPN网关A VPN网关B 总部 通道只需定义在两边的网关上 Gateway 必须支持IPSec Gateway 必须支持IPSec 数据在这一段是认证的 数据在这一段是加密的 ISP ISP §4.2 用VPN连接合作伙伴 Internet 业务伙伴 VPN网关A VPN网关B 公司A 主机必须支持IPSec 主机必须支持IPSec 通道建立在两边的主机之间，因为业务伙伴内的主机不是都可以信任的 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是认证的 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是加密的 ISP ISP §4.3 用VPN连接远程用户 Internet 公司B ISP接入服务器 VPN网关B 主机必须支持IPSec Gateway 必须支持IPSec PSTN 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是加密的 数据在这一段是认证的 通道建立在移动用户与公司内部网的网关处 §2.1 数据机密性保护 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 SSN区域 WWW Mail DNS 密文传输 明文传输 明文传输 §2.2 数据完整性保护 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash 加密后的数据包 摘要 Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 §2.3 数据源身份认证 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 原始数据包 DSS DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 原始数据包 DSS 原始数据包 DSS DSS 解密 相等吗？ 验证通过 §2.4 重放攻击保护 保留 负载长度 认证数据 （完整性校验值ICV）变长 序列号 安全参数索引（SPI） 下一头部 填充（0~255字节） 下一头部 填充长度 认证数据 （变长的） 负载数据 （变长的） 序列号 安全参数索引（SPI） AH协议头 ESP协议头 SA建立之初，序列号初始化为0，使用该SA传递的第一个数据包序列号为1，序列号不允许重复，因此每个SA所能传递的最大IP报文数为232—1，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。 第三章 VPN的工作原理 密码学简介 IPSec 因特网密钥交换协议 建立VPN通道的四种方式 一个完整的VPN