VPN技术原理与应用.ppt

VPN的定义 VPN（Virtual Private Network：虚拟专用网） 是一种以公用网络，尤其是Internet为基础通道，综合运用隧道封装、认证、加密、访问控制等多种网络和安全技术，实现企业总部、分支机构、合作伙伴及远程和移动办公人员之间互连互通和资源共享的方法。 VPN技术解决了什么问题 利用VPN技术可以建立一种灵活的、低成本的、易于扩展的网络互连手段，从而替代传统的长途租用专线连接和远程拨号连接；同时由于VPN需要借道公用网络，就必须解决因此而带来的网络安全问题。因此，概括地说VPN技术能够为企业解决的问题就是： 实现低成本的安全互连！ VPN采用的关键技术 隧道技术 认证技术 加解密技术 密钥管理技术 谢谢各位!!! IPSec安全特性 数据真实性 通过使用公私钥技术，可以证实消息发送方是唯一可能的发送者，发送者也不能否认发送过消息。 发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，就可以确定是真实发送者，发送者也不能抵赖曾发送过该消息。 反重播性 确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输到目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权。　　　　　　 IPSec安全协议 IPSec三个主要安全协议： 认证协议头（AH）：认证、校验 封装安全载荷（ESP）：认证、校验、加密，常用 互联网密钥交换协议（IKE）：密钥交换管理 AH和ESP可以通过单独或组合使用来达到所希望的保护等级 IPSec中算法的应用 在IPSec协议中各种算法的应用： IKE: 非对称密钥算法 D-H： 密钥协商 ESP: 对称密钥算法DES/3DES: 数据私密性 AH: 摘要算法MD5/SHA1: 数据完整性 IPSec工作模式 IPSec提供两种工作模式： 传输模式 将原数据包的载荷部分封装起来，IP报头不变。 隧道模式 整个原数据包被当作有效载荷封装起来，外面附上新的IP报头。可以将私有 IP地址封装为公网IP地址，同时原数据包中源地址、目的地址受到加密隐藏，更有助于保护隧道通信中数据的安全性。因此隧道模式更为常用。 IPSec ESP传输模式封装 ESP报头字段包括： ·Security Parameters Index (SPI，安全参数索引)：为数据包识别安全关联。 ·Sequence Number（序列号）：从1开始的32位单增序列号，不允许重复，唯一地标识了每一个发送数据包，为安全关联提供反重播保护。接收端校验序列号为该字段值的数据包是否已经被接收过，若是，则拒收该数据包。 IPSec ESP传输模式封装 ESP报尾字段包括： ·Padding（扩展位）：0-255个字节。DH算法要求数据长度（以位为单位）模512为448，若应用数据长度不足，则用扩展位填充。 ·Padding Length（扩展位长度）：接收端根据该字段长度去除数据中扩展位。 ·Next Header（下一个报头）：识别下一个使用IP协议号的报头，如TCP或UDP。 IPSec ESP传输模式封装 ESP认证报尾字段 ： ·Authentication Data（AD，认证数据）： 包含完整性检查和。完整性检查部分包括ESP报头、有效载荷（应用程序数据）和ESP报尾。 IPSec ESP隧道模式封装 整个原数据包被当作有效载荷封装起来，外面附上新的IP报头。其中内部IP报头（原IP报头）指定最终的信源和信宿地址，而外部IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。原IP地址被当作有效载荷的一部分受到IPSec的安全保护，通过对数据加密，可以将数据包源地址、目的地址隐藏起来，更有助于保护隧道通信中数据的安全性。 Internet 内IP头 TCP头 数据 新IP头 IPsec头 加 密 数 据 新IP头 IPsec头 加 密 数 据 内IP头 TCP头 数据 IPSec VPN加密封装过程演示 A B IKE协议 两台IPSec计算机在交换数据之前，必须首先建立某种约定，这种约定，称为安全关联（SA），指双方需要就如何保护信息、交换信息等公用的安全设置达成一致，更重要的是，必须有一种方法，使那两台计算机安全地交换一套密钥，以便在它们的连接中使用。IKE负责这些任务。 IKE（Internet密钥交换） Internet 工程任