虚拟专用网络.ppt

§5.2 安全VPN的关键技术 第三层隧道协议：IPSec体系结构模型图 VPN安全技术 第六十二页，共七十七页。 §5.2 安全VPN的关键技术 第四层隧道协议：IPSec工作模式 隧道模式 对整个IP数据包进行加密或认证。隧道模式首先为原始IP包增加AH或ESP字段，然后再在外部增加一个新的IP头。所有原始的或内部包通过这个隧道从IP网的一端传递到另一端，沿途的路由器只检查最外面的IP报头，不检查内部原来的IP报头。 隧道模式通常用在有至少一端是安全网关的时候，如防火墙和路由器。使用隧道模式后，防火墙后面的主机可以使用内部地址进行通信，而且不需要实现IPSec。 VPN安全技术 第六十三页，共七十七页。 §5.2 安全VPN的关键技术 第四层隧道协议：IPSec工作模式 隧道模式 对整个IP数据包进行加密或认证。隧道模式首先为原始IP包增加AH或ESP字段，然后再在外部增加一个新的IP头。所有原始的或内部包通过这个隧道从IP网的一端传递到另一端，沿途的路由器只检查最外面的IP报头，不检查内部原来的IP报头。 隧道模式通常用在有至少一端是安全网关的时候，如防火墙和路由器。使用隧道模式后，防火墙后面的主机可以使用内部地址进行通信，而且不需要实现IPSec。 VPN安全技术 第六十四页，共七十七页。 IPSEC VPN功能1- 数据机密性保护 拨号服务器 PSTN Internet 区域 Internet 边界路由器 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 DDN/FR X.25专线 SSN区域 WWW Mail DNS 密文传输 明文传输 明文传输 第六十五页，共七十七页。 IPSEC VPN功能2- 数据完整性保护 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 Internet 原始数据包 对原始数据包进行Hash 加密后的数据包 摘要 Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较，验证数据的完整性 第六十六页，共七十七页。 IPSEC VPN功能3- 数据源身份认证 内部工作子网 管理子网 一般子网 内部WWW 重点子网 下属机构 Internet 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 原始数据包 DSS DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 原始数据包 DSS 原始数据包 DSS DSS 解密 相等吗？ 验证通过 第六十七页，共七十七页。 IPSEC VPN功能4- 重放攻击保护 保留 负载长度 认证数据 （完整性校验值ICV）变长 序列号 安全参数索引（SPI） 下一头部 填充（0~255字节） 下一头部 填充长度 认证数据 （变长的） 负载数据 （变长的） 序列号 安全参数索引（SPI） AH协议头 ESP协议头 SA建立之初，序列号初始化为0，使用该SA传递的第一个数据包序列号为1，序列号不允许重复，因此每个SA所能传递的最大IP报文数为232—1，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。 第六十八页，共七十七页。 IPSEC VPN建立方式1-Host-Host模式 Internet 业务伙伴 VPN网关A VPN网关B 公司A 主机必须支持IPSec 主机必须支持IPSec 通道建立在两边的主机之间，因为业务伙伴内的主机不是都可以信任的 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是认证的 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是加密的 ISP ISP 连接合作伙伴 第六十九页，共七十七页。 IPSEC VPN建立方式2-VPN to VPN模式 Internet 分支机构 VPN网关A VPN网关B 总部 通道只需定义在两边的网关上 Gateway 必须支持IPSec Gateway 必须支持IPSec 数据在这一段是认证的 数据在这一段是加密的 ISP ISP 连接分支机构 第七十页，共七十七页。 IPSEC VPN建立方式3-Remote User to VPN模式 连接远程用户 Internet 公司B ISP接入服务器 VPN网关B 主机必须支持IPSec Gateway 必须支持IPSec 数据在这一段是加密的 数据在这一段是认证的 数据在这一段是加密的 数据在这一段是认证的 通道建立在移动