收藏
下载资源

IPsec_VPN的详细介绍-

上传人:左****笑 文档编号:145618796 上传时间:2020-09-22 格式:PPT 页数:91 大小:2.36MB
返回 下载 相关 举报
IPsec_VPN的详细介绍-_第1页
第1页 / 共91页
IPsec_VPN的详细介绍-_第2页
第2页 / 共91页
IPsec_VPN的详细介绍-_第3页
第3页 / 共91页
IPsec_VPN的详细介绍-_第4页
第4页 / 共91页
IPsec_VPN的详细介绍-_第5页
第5页 / 共91页
点击查看更多>>
资源描述

《IPsec_VPN的详细介绍-》由会员分享,可在线阅读,更多相关《IPsec_VPN的详细介绍-(91页珍藏版)》请在金锄头文库上搜索。

1、介绍IPSec VPN,VPN背景,总公司,租用专线,我们有很多分公司,如果用租用专线的方式把他们和总公司连起来,需要花很多钱,想节约成本的话,可以用VPN来连接,分公司,分公司,分公司,VPN简介,IP VPN (Virtual Private Network,虚拟专用网)就是利用开放的公众IP/MPLS网络建立专用数据传输通道,将远程的分支机构、移动办公人员等连接起来。,IP/MPLS网,中心站点,分支机构,移动办公人员,隧道机制,IP VPN可以理解为:通过隧道技术在公众IP/MPLS网络上仿真一条点到点的专线 。 隧道是利用一种协议来传输另外一种协议的技术,共涉及三种协议, 包括:乘客

2、协议、隧道协议和承载协议。,被封装的原始IP包,新增加的IP头,IPSec头,乘客协议,隧道协议,承载协议,原始IP包,经过IPSec封装后,隧道带来的好处,隧道保证了VPN中分组的封装方式及使用的地址与承载网络的封装方 式及使用地址无关。,Internet,被封装的原始IP包,新增加的IP头,IPSec头,私网地址,公网地址,中心站点,分支机构,Internet根据这个地址路由,可以使用私网地址,感觉双方是用专用通道连接起来的,而不是Internet,隧道,IPSec概述,IPSec是一种开放标准的框架结构,特定的通信方之间在IP层通过加密和数据摘要(hash)等手段,来保证数据包在Inte

3、rnet 网上传输时的私密性(confidentiality) 、完整性(data integrity)和真实性(origin authentication)。,IPSec只能工作在IP层,要求乘客协议和承载协议都是IP协议,被封装的原始IP包,新增加的IP头,IPSec头,必须是IP协议,必须是IP协议,通过加密保证数据的私密性,私密性:防止信息泄漏给未经授权的个人。 通过加密把数据从明文变成无法读懂的密文,从而确保数据的私密性。,对称加密,如果加密密钥与解密密钥相同,就称为对称加密 由于对称加密的运算速度快,所以IPSec使用对称加密算法来加密数据,对数据进行hash运算来保证完整性,完整

4、性:数据没有被非法篡改。 通过对数据进行hash运算,产生类似于指纹的数据摘要,以保证数据的完整 性。,对数据和密钥一起进行hash运算,攻击者篡改数据后,可以根据修改后的数据生成新的摘要,以此掩盖自己的 攻击行为。 通过把数据和密钥一起进行hash运算,可以有效抵御上述攻击。,对称密钥交换,对称加密和hash都要求通信双方具有相同的密钥。,问题:怎样在双方之间安全地传递密钥?,密钥,哈哈,要是敢直接传递密钥,我就只好偷看了,密钥,DH算法的基本原理,Router A,Router B,生成一个整数 p,生成一个整数 q,把 p发送到对端,p,把 q发送到对端,q,根据p、q生成g,根据p、q

5、生成g,Key=(YbXa) mode p,Key=(YaXb) mode p,通过身份认证保证数据的真实性,真实性:数据确实是由特定的对端发出。 通过身份认证可以保证数据的真实性。常用的身份认证方式包括: Pre-shared key,预共享密钥 RSA Signature,数字签名,预共享密钥,预共享密钥,是指通信双方在配置时手工输入相同的密钥。,Hash_L,+ 路由器名等,本地,Hash,共享 密钥,远端,生成的Hash_L,Hash,=,+ 对端路由器名,共享 密钥,接收到的Hash_L,数字证书,RSA密钥对,一个是可以向大家公开的公钥,另一个是只有自己知道的私钥。 用公钥加密过的

6、数据只有对应的私钥才能解开,反之亦然。 数字证书中存储了公钥,以及用户名等身份信息。,数字 证书,我是Router A,我 的公钥是.,数字签名认证,+ ID Information,加密,Hash_I,解密,Hash_I,私钥,公钥,本地,远端,Hash,=,+ 身份信息,Hash,对称 密钥,数字签名,+ 身份信息,Hash,1,2,数字 证书,+,Internet,对称 密钥,数字签名,数字 证书,&公钥为信息发送者的公钥&,IPSec框架结构,ESP,AH,DES,3DES,AES,MD5,SHA,DH1,DH2,IPSec框架,可选择的算法,IPSec安全协议,加密,数据摘要,对称密

7、钥交换,IPSec安全协议,AH (Authentication Header) 只能进行数据摘要(hash) ,不能实现数据加密 ah-md5-hmac、ah-sha-hmac ESP (Encapsulating Security Payload) 能够进行数据加密和数据摘要(hash) esp-des、esp-3des、esp-md5-hmac、esp-sha-hmac、,IPSec安全协议描述了如何利用加密和hash来保护数据安全,IPSec封装模式,IPSec支持两种封装模式:传输模式和隧道模式 传输模式:不改变原有的IP包头,通常用于主机与主机之间。,IP头,数据,原始IP包,IP

8、头,数据,AH头,AH,hash,AH对除了TTL等变化值以外的整个IP包进行hash运算,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,IPSec封装模式,IPSec支持两种封装模式:传输模式和隧道模式 隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。,IP头,数据,原始IP包,IP头,数据,新IP头,AH,hash,IP头,数据,ESP头,hash,ESP trailer,ESP auth,ESP,加密,hash,AH头,新IP头,IPSec与NAT,AH模式无法与NAT一起运行: AH对包括IP地址在内的整个IP包进

9、行hash运算,而NAT会改变IP地址,从而破坏AH的hash值。,IP头,数据,AH头,hash,hash,NAT:我要修改源/目的IP地址,AH:不行!我对IP地址也进行了hash,IPSec与NAT,ESP模式下: 只进行地址映射时,ESP可与它一起工作。 进行端口映射时,需要修改端口,而ESP已经对端口号进行了加密或hash,所以将无法进行。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT:端口号被加密了,没法改,真郁闷,IPSec与NAT,ESP模式下: 启用IPSec NAT穿越后,会在ESP头前增加一个UDP头,就可以进行端口映

10、射。,IP头,数据,ESP头,ESP trailer,ESP auth,加密,TCP/UDP端口,NAT:可以改端口号了,太棒了,新UDP头,对上一节的回顾,IPSec协议框架包括加密、hash、对称密钥交换、安全协议等四个部分,这些部分都可以采用多种算法来实现。,问题1:要成功建立IPSec VPN,两端路由器必须采用相同 的加密算法、hash算法和安全协议等,但IPSec协 议中并没有描述双方应如何协商这些参数。,问题2: IPSec协议中没有定义通信双方如何进行身份认证 路由器有可能会和一个假冒的对端建立IPSec VPN。,端到端IPSec VPN的工作原理,需要保护的流量流经路由器,

11、触发路由器启动相关的协商过程。 启动IKE (Internet key exchange)阶段1,对通信双方进行身份认证,并在两端之间建立一条安全的通道。 启动IKE阶段2,在上述安全通道上协商IPSec参数。 按协商好的IPSec参数对数据流进行加密、hash等保护。,Host A,Host B,Router A,Router B,什么是端到端的VPN?,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数,协商建立IKE安全 通道所使用的参数,IKE阶段1,协商建立IKE安全

12、通道所使用的参数,包括: 加密算法 Hash算法 DH算法 身份认证方法 存活时间,IKE阶段1,Policy 10 DES MD5 DH1 Pre-share lifetime,Policy 15 DES MD5 DH1 Pre-share lifetime,Router A,Router B,host A,host B,Policy 20 3DES SHA DH1 Pre-share lifetime,Policy 25 3DES SHA DH2 Pre-share lifetime,双方找到相同的策略集,上述IKE参数组合成集合,称为IKE policy。IKE协商就是要在通信双方之间找

13、到相同的policy。,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道,协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道,协商IPSec安全参数,协商IPSec安全参数,IKE阶段2,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,IKE阶段2,双方协商IPSec安全参数,称为变换集transform set,包括: 加密算

14、法 Hash算法 安全协议 封装模式 存活时间,Transform 10 DES MD5 ESP Tunnel lifetime,Transform 20 3DES SHA ESP Tunnel lifetime,IKE与IPSec安全参数的比较,加密算法,Hash算法,存活时间,DH算法,身份认证,安全协议,封装模式,IKE,IPSec,IKE阶段2,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数 建立IPSec SA,协商IPSec安全参数 建立IPSec SA,IPSec SA,IPSec SA

15、(安全关联,Security Association): SA由SPD (Security Policy Database)和SAD(SA Database)组成。,两端成功协商IPSec参数,加密算法,hash算法,封装模式,lifetime,安全协议,SPD,加密,SPI,Hash,封装模式,lifetime,SAD,目的IP地址,SPI,安全协议,IPSec SA,IPSec SA (安全关联,Security Association): SPI (Security Parameter Index),由IKE自动分配。 发送数据包时,会把SPI插入到IPSec头中。 接收到数据包后,根据SPI值查找SAD和SPD,从而获知解密数据包所需的加解密算法、hash算法等。 一个SA只记录单向的参数,所以一个IPSec连接会有两个IPSec SA。,IPSec SA,IPSec SA (安全关联,Security Association): 使用SPI可以标识路由器与不同对象之间的连接。,192.168.2.1 SPI12 ESP/3DES/SHA tunnel 28800,192.168.12.1 SPI39

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 总结/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号