收藏
下载资源

天融信加密机详解

上传人:小** 文档编号:89520037 上传时间:2019-05-26 格式:PPT 页数:60 大小:1.38MB
返回 下载 相关 举报
天融信加密机详解_第1页
第1页 / 共60页
天融信加密机详解_第2页
第2页 / 共60页
天融信加密机详解_第3页
第3页 / 共60页
天融信加密机详解_第4页
第4页 / 共60页
天融信加密机详解_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《天融信加密机详解》由会员分享,可在线阅读,更多相关《天融信加密机详解(60页珍藏版)》请在金锄头文库上搜索。

1、北京天融信网络安全技术有限公司 网址:http:/ E-mail: 电话:(010)62304680 传真:(010)86211070,VPN技术专题讲座,VPN专题,Beginning,VPN专题,VPN 概 述,VPN是什么?,VPN 的 功 能,VPN 的 工 作 原 理,VPN是如何工作的?,VPN能做什么?,VPN 的 具体应 用,在什么场合又怎样来使用VPN?,第一章 VPN概述,VPN简介及其优点 VPN的安全性 市场上已有的VPN解决方案,VPN概述 VPN功能 VPN工作原理 VPN具体应用,1.1 VPN简介及其优点,VPN是企业网在因特网等公共网络上的延伸 VPN通过一个

2、私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网 提供高性能、低价位的因特网接入,VPN概述 VPN功能 VPN工作原理 VPN具体应用,远程访问,Internet,VPN是企业网在因特网上的延伸,VPN的典型应用,Clue,远程访问,安全网关,安全网关,ISP接入设备,端到端数据通路的典型构成,拨入段,外部段 (公共因特网),内部段 公司的内部网络,1.2 VPN的安全性,1.2.1 端到端数据通路中存在的安全风险,拨入段数据泄漏风险 因特网上数据泄漏的风险 安全网关中数据泄漏的风险 内部网中数据泄漏的风险,VPN概述

3、VPN功能 VPN工作原理 VPN具体应用,1.2.2 拨入段数据泄漏风险,远程访问,ISP接入设备,拨入段,拨入段用户数据以明文方式直接传递到ISP:,攻击者可以很容易的在拨入链路上实施监听 ISP很容易检查用户的数据 可以通过链路加密来防止被动的监听,但无法防范恶意窃取数据的ISP。,PSTN,搭线监听,攻击者,ISP,ISP窃听,到了ISP处已解密成明文,明文传输,1.2.3 因特网上数据泄漏的风险,恶意修改通道终点到:假冒网关,外部段 (公共因特网),ISP接入设备,原始终点为:安全网关,数据在到达终点之前要经过许多路由器,明文传输的报文很容易在路由器上被查看和修改 监听者可以在其中任

4、一段链路上监听数据 逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文选择路由信息,然后再重新加密发送 恶意的ISP可以修改通道的终点到一台假冒的网关,远程访问,搭线监听,攻击者,ISP,ISP窃听,正确通道,1.2.4 安全网关中数据泄漏的风险,ISP接入设备,远程访问,安全网关,数据在安全网关中是明文的,因而网关管理员可以直接查看机密数据 网关本身可能会受到攻击,一旦被攻破,流经安全网关的数据将面临风险,1.2.5 内部网中数据泄漏的风险,远程访问,安全网关,ISP接入设备,内部段 公司的内部网络,内部网中可能存在不信任的主机、路由器等 内部员工可以监听、篡改、重定向企业内部网的数

5、据报文 来自企业网内部员工的其他攻击方式,在端到端的数据通路上随处都有可能发生数据的泄漏,包括: 拨入段链路上 ISP接入设备上 在因特网上 在安全网关上 在企业内部网上。,能否提供一个综合一致的解决方案,它不仅能提供端到端的数据保护,同时也能提供逐段的数据保护呢?,1.2.6 结论,1.3 现有的VPN 解决方案,基于 IPSec 的VPN解决方案 基于第二层的VPN解决方案 非 IPSec 的网络层VPN解决方案 非 IPSec 的应用层解决方案 结论,VPN概述 VPN功能 VPN工作原理 VPN具体应用,1.3.1 基于IPSec 的VPN 解决方案,在通信协议分层中,网络层是可能实现

6、端到端安全通信的最低层,它为所有应用层数据提供透明的安全保护,用户无需修改应用层协议。,该方案能解决的问题: 数据源身份认证:证实数据报文是所声称的发送者发出的。 数据完整性:证实数据报文的内容在传输过程中没被修改过,无论是被故意改动或是由于发生了随机的传输错误。 数据保密:隐藏明文的消息,通常靠加密来实现。 重放攻击保护:保证攻击者不能截获数据报文,且稍后某个时间再发放数据报文,而不会被检测到。 自动的密钥管理和安全关联管理:保证只需少量或根本不需要手工配置,就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针,VPN概述 VPN功能 VPN工作原理 VPN具体应用,AH协议 ESP协议

7、 ISAKMP/Oakley协议,基于 IPSec 的VPN解决方案需要用到如下的协议:,详细情况将在IPSec 协议体系中讲解,IPSec 框架的构成,VPN概述 VPN功能 VPN工作原理 VPN具体应用,1.3.2 基于第二层的VPN解决方案,公司内部网,拨号连接,因特网,用于该层的协议主要有: L2TP:Lay 2 Tunneling Protocol PPTP:Point-to-Point Tunneling Protocol L2F:Lay 2 Forwarding,L2TP的缺陷: 仅对通道的终端实体进行身份认证,而不认证通道中流过的每一个数据报文,无法抵抗插入攻击、地址欺骗攻击

8、。 没有针对每个数据报文的完整性校验,就有可能进行拒绝服务攻击:发送假冒的控制信息,导致L2TP通道或者底层PPP连接的关闭。 虽然PPP报文的数据可以加密,但PPP协议不支持密钥的自动产生和自动刷新,因而监听的攻击者就可能最终破解密钥,从而得到所传输的数据。,1.3.3 非IPSec 的网络层VPN 解决方案,网络地址转换 由于AH协议需要对整个数据包做认证,因此使用AH协议后不能使用NAT 包过滤 由于使用ESP协议将对数据包的全部或部分信息加密,因此基于报头或者数据区内容进行控制过滤的设备将不能使用 服务质量 由于AH协议将IP协议中的TOS位当作可变字段来处理,因此,可以使用TOS位来

9、控制服务质量,VPN概述 VPN功能 VPN工作原理 VPN具体应用,1.3.4 非IPSec 的应用层VPN 解决方案,SOCKS 位于OSI模型的会话层,在SOCKS协议中,客户程序通常先连接到防火墙1080端口,然后由Firewall建立到目的主机的单独会话,效率低,但会话控制灵活性大 SSL 属于高层安全机制,广泛用于Web Browse and Web Server,提供对等的身份认证和应用数据的加密。在SSL中,身份认证是基于证书的,属于端到端协议,不需要中间设备如:路由器、防火墙的支持 S-HTTP 提供身份认证、数据加密,比SSL灵活,但应用很少,因SSL易于管理 S-MIME

10、 一个特殊的类似于SSL的协议,属于应用层安全体系,但应用仅限于保护电子邮件系统,通过加密和数字签名来保障邮件的安全,这些安全都是基于公钥技术的,双方身份靠X.509证书来标识,不需要Firewall and Router 的支持,VPN概述 VPN功能 VPN工作原理 VPN具体应用,SMIME Kerberos Proxies SET IPSec (ISAKMP),SOCKS SSL,TLS,IPSec (AH,ESP) Packet Filtering Tunneling Protocols,CHAP,PAP,MS-CHAP,TCP/IP 协议栈与对应的VPN协议,Application

11、,VPN概述 VPN功能 VPN工作原理 VPN具体应用,1.3.5 结论,网络层对所有的上层数据提供透明方式的保护,但无法为应用提供足够细的控制粒度 数据到了目的主机,基于网络层的安全技术就无法继续提供保护,因此在目的主机的高层协议栈中很容易受到攻击 应用层的安全技术可以保护堆栈高层的数据,但在传递过程中,无法抵抗常用的网络层攻击手段,如源地址、目的地址欺骗 应用层安全几乎更加智能,但更复杂且效率低 因此可以在具体应用中采用多种安全技术,取长补短,VPN概述 VPN功能 VPN工作原理 VPN具体应用,第二章 VPN功能,数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护,VPN概

12、述 VPN功能 VPN工作原理 VPN具体应用,2.1 数据机密性保护,内部工作子网,下属机构,DDN/FR X.25专线,密文传输,明文传输,明文传输,2.2 数据完整性保护,内部工作子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较,验证数据的完整性,2.3 数据源身份认证,内部工作子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据

13、包,Hash,原始数据包,两摘要相比较,私钥,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,DSS,解密,相等吗?,验证通过,2.4 重放攻击保护,AH协议头,ESP协议头,SA建立之初,序列号初始化为0,使用该SA传递的第一个数据包序列号为1,序列号不允许重复,因此每个SA所能传递的最大IP报文数为2321,当序列号达到最大时,就需要建立一个新的SA,使用新的密钥。,第三章 VPN的工作原理,密码学简介 IPSec 因特网密钥交换协议 建立VPN通道的四种方式 一个完整的VPN工作原理图,VPN概述 VPN功能 VPN工作原理 VPN具体应用,3.1.1 密码学术语,密码学:

14、一门以保障数据和通信安全为目的的科学,它使用加密、解密、身份认证来实现目的。 加密:将明文信息变换成不可读的密文形式以隐藏其中的含义 解密:将密文信息还原成明文的过程。用来加密和解密的函数叫做密码算法。 身份认证:一种用来验证通信参与者是否真的是他所声称的身份的手段,通过身份认证可以发现那些假冒的顶替的入侵者 数据完整性:一种用来检查数据再通信过程中是否被修改过的手段,通过它可以检查被篡改过或者通信错误的消息 不可否认性:证明发送者的确发送过某个消息,如果使用了“不可否认性”算法,一旦因消息发生纠纷,发送者就无法否认他曾经发送过该消息,VPN概述 VPN功能 VPN工作原理 VPN具体应用,3

15、.1.2 对称密钥算法,加密密钥,解密密钥,加密密钥,解密密钥,两者相等,可相互推导,分组密码算法:操作单位是固定长度的明文比特串 DES算法:Data Encryption Standard (老算法) ,密钥=56位 CDMA算法:Commercial Data Masking Facility,密钥=40位 3DES算法:Triple Data Encryption Standard IDEA算法:International Data Encryption Algorithm(新算法) ,密钥=128位 流密码算法:每次只操作一个比特,VPN概述 VPN功能 VPN工作原理 VPN具体应用,3.1.3 非对称密钥算法,公钥,私钥,公钥,私钥,不可相互推导,常用的公钥算法: RSA公钥算法:用于加密、签名、身份认证等 Diffie Hellman 算法:用于在非安全通道上安全的建立共享秘密,但无法实现身份认证,公钥算法的缺点: 速度慢 难于用硬件实现 因此它很少用于大量数据的加密,主要用于密钥交换和身份认证,VPN概述 VPN功能 VPN工作原理 VPN具体应用,不相等,DiffieHellman 密钥交换算法,在一个非安全的通道上安全地建立一个共享密钥,事先双方协商两个公共数值,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 管理学资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号