搜索
密码技术应用(VPN/SSL)中国信息安全测评中心目录一.虚拟专用网(VPN)概述二.VPN工作原理三.VPN设计原则四.VPN有关协议的基本原理五.VPN的解决方案课程目标了解VPN基本概念了解VPN的类型掌握VPN有关协议的基本工作原理一、虚拟专用网(VPN)概述目录一.虚拟专用网(VPN)概述二.VPN工作原理三.VPN设计原则四.VPN有关协议的基本原理五.VPN的解决方案1虚拟专用网概述1.1为什么使用VPN1.2VPN的基本功能1.3VPN的类型1.4VPN的使用方式1.5VPN的发展1.1为什么使用VPN1、没使用VPN时,分布在各地的组织机构需要用专用网络来保证数据传输安全。其特点1)安全性好2)价格昂贵3)难扩展、不灵活2、TCP/IP采用分组交换方式传递数据,其特点1)安全性差2)价格便宜3)易扩展,普遍使用图1非VPN远程访问设置1.1为什么使用VPN(cont.)1.1为什么使用VPN(cont.)1、将专用网的安全特性和分组交换网的廉价和易于扩展的特性结合在一起,这就是VPN的动机。2、其本质是利用共享的互联网设施,模拟“专用”广域网,最终以极低的费用为远程用户提供能和专用网络相媲美的保密通信服务。与传统专用网相比,VPN给企业带来很多的好处,同时也给服务供应商特别是ISP带来很多机会。如:VPN给企业带来的好处主要有以下四点:•(1)降低成本•(2)易于扩展•(3)可随意与合作伙伴联网•(4)完全控制主动权1.1为什么使用VPN(cont.)•加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。•信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。•提供访问控制,不同的用户有不同的访问权限。1.2VPN的基本功能1.3VPN的类型按协议层次•可以分为二层VPN,三层VPN、四层VPN和应用层VPN。按应用范围•远程访问VPN、内联网VPN和外联网VPN按体系结构•网关到网关VPN、主机到网关VPN和主机到主机VPN按协议层次分类的VPN数据链路层VPN•可以用于各种网络协议,比如IP、IPX、AppleTalk等。网络层VPN•可以适用于所有应用(即不是应用特定的)。传输层VPN•常用于保护单独的HTTP应用通信的安全,并且也可以保护其它应用的通信。•每个应用服务器必须支持该协议。•目前主要的web浏览器默认支持该协议。应用层VPN•保护单个应用的部分或全部通信。按体系结构分类的VPN网关到网关体系结构示例主机到主机体系结构示例主机到网关体系结构示例1.4VPN的使用方式自构VPN:也称为基于用户设备的VPN。•用户自己添置设备,利用互联网连接远程网络。此时互联网仅用作IP分组的传送平台,VPN的安全功能由用户网络设备实现。•适合于那些有远程安全通信需求、却又不信任VPN服务供应商提供的安全服务的用户。外购VPN:也称为基于网络的VPN。•将自有远程网络按VPN服务供应商的要求连接到服务商提供的VPN边缘路由器。•VPN的安全功能由VPN服务供应商提供。•可以省去大量VPN网络设备和维护的费用。二、VPN工作原理目录一.虚拟专用网(VPN)概述二.VPN工作原理三.VPN设计原则四.VPN有关协议的基本原理五.VPN的解决方案2.1VPN关键技术隧道技术加解密技术密钥管理技术使用者与设备身份认证技术访问控制技术隧道技术本质区别在于用户在隧道中传输的数据包是被封装在哪种数据包中。隧道技术按其拓扑结构分为点对点隧道和点对多隧道,而VPN主要采用点对点隧道。目前存在多种VPN隧道,包括L2TP、PPTP、IPSec、MPLS、SSLInternetVPN网关B公司AAH192.168.2.34258ESP192.168.2.34259ESP192.168.1.25257AH192.168.1.25256SecurityProtocolDestinationAddressSPI192.168.1.25公司BSPD中的数据项类似于防火墙的配置规则192.158.1.34192.168.1.25SourceAddress…………Others绕过、丢弃安全SecureService192.168.1.25192.158.1.34DestinationAddress双方使用ISAKMP/Oakley密钥交换协议建立安全关联,产生或者刷新密钥内IP头ESP尾负载ESP头AH头外IP头负载IP头192.168.2.34SAD中包含每一个SA的参数信息,如算法、密钥等ESPAHESPAHSecurityProtocol……………………Others110001101010Key加密SHA-12583DESCBC259DESCBC4257加密MD5256AlgorithmSPI负载IP头VPN网关A查找SPD数据库决定为流入的IP数据提供那些安全服务查找对应SA的参数对原有数据包进行相应的安全处理要求建立安全相应的关联建立SAD建立相应的SA2.2完整的VPN工作原理图三、VPN设计原则目录一.虚拟专用网(VPN)概述二.VPN工作原理三.VPN设计原则四.VPN有关协议的基本原理五.VPN的解决方案3.1安全性保证VPN安全性通过以下手段:•隧道和加密:在安全性较高的场合使用加密隧道保护私有数据不被非法窥视和篡改。•数据验证:数据验证使接收方识别被篡改的数据,保证数据完整性。•身份验证:通过AAA,路由器提供用户验证、访问级别和访问记录,禁止非法访问。•抗重放:防止数据包被扑捉并重新投放到网上。拨号服务器PSTNInternet区域Internet边界路由器内部工作子网管理子网一般子网内部专线SSN区域专线专线原始数据包对原始数据包进行Hash加密后的数据包摘要Hash摘要对原始数据包进行加密加密后的数据包加密加密后的数据包摘要加密后的数据包摘要摘要解密原始数据包Hash原始数据包与原摘要进行比较,验证数据的完整性3.1数据完整性保护内部工作子网内部工作子网管理子网一般子网内部专线专线原始数据包对原始数据包进行HashHash摘要加密摘要摘要取出DSS原始数据包Hash原始数据包两摘要相比较私钥原始数据包DSSDSS将数字签名附在原始包后面供对方验证签名得到数字签名原始数据包DSS原始数据包DSSDSS解密相等吗?验证通过3.1数据源身份认证保留负载长度认证数据(完整性校验值ICV)变长序列号安全参数索引(SPI)下一头部填充(0~255字节)下一头部填充长度认证数据(变长的)负载数据(变长的)序列号安全参数索引(SPI)AH协议头ESP协议头SA建立之初,序列号初始化为0,使用该SA传递的第一个数据包序列号为1,序列号不允许重复,因此每个SA所能传递的最大IP报文数为232—1,当序列号达到最大时,就需要建立一个新的SA,使用新的密钥。3.1重放攻击保护3.2网络优化构建VPN的另一重要需求是有效的利用有限的广域网资源,为重要数据提供可靠的带宽。QoS(服务质量)通过流量预测与流量控制策略,可按照优先级分配带宽管理,使各类数据合理的先后发送,并预防阻塞的发生,因此,在设计VPN时需考虑采用多种QoS策略以优化网络资源.3.3VPN的管理VPN要求企业将其网络管理功能无缝延伸到公用网,甚至是客户和合作伙伴。虽然可将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。四、VPN有关协议的原理目录一.虚拟专用网(VPN)概述二.VPN工作原理三.VPN设计原则四.VPN有关协议的基本原理五.VPN的解决方案4VPN有关协议的基本原理二层隧道协议IPSec协议SSL协议4.1二层隧道协议二层隧道协议主要有三种:•PPTP:微软、Ascend、3COM等公司支持。•L2F:Cisco、北方电信等公司支持,在Cisco路由器中有支持。•L2TP:由IETF起草,微软、Ascend、Cisco、3COM等公司参与,结合了上面两个协议的优点,成为有关二层隧道协议的的工业标准。4.1二层隧道协议(cont.)L2TP协议4.2IPSec协议简介IPSec协议实际上是一个协议包而不是一个单个的协议。自从1995年IPSec的研究究工作开始以来,现在已经积累了大量的标准文件集。IPSec的安全协议由三个主要的协议组成,它由下图的第二层以及加密和认证算法组成。Internet安全协商和密钥管理协议(ISAKMP)是IPSec的另一个主要组件。ISAKMP提供了用于应用层服务的通用格式,它支持IPSec协商方的密钥管理需求。IPSec协议体系IP安全结构ESP协议AH协议密钥管理协议加密算法解释域(DOI)认证算法认证头部(AH)AH主要提供数据来源认证、数据完整性验证和防报文回放攻击功能。包含两种模式:传输模式和隧道模式。隧道模式需要为每个包创建一个新的IP包头。传输模式不需要创建新的IP包头。AH隧道模式包AH传输模式包认证头部(续)负载安全封装(ESP)除了AH协议的功能外,ESP还提供对IP报文的加密功能。包括两种模式:隧道模式和传输模式。SSL(SecuresocketLayer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。包括:服务器认证、客户认证(可选)、SSL链路上的数据完整性和SSL链路上的数据保密性。SSL通过在浏览器软件和web服务器之间建立一条安全通道,实现信息在Internet中传送的保密性。4.3SSL协议SSL协议(续)在TCP/IP协议族中,SSL位于TCP层之上、应用层之下。可以独立于应用层,从而使应用层协议可以直接建立在SSL之上。包含:SSL记录协议、SSL握手协议、SSL更改密码说明协议和SSL警告协议。SSL协议安全连接的特点连接是保密的:对于每个连接都有一个唯一的会话密钥,采用对称密码体制(如DES等)加密数据。连接是可靠的:消息的传输采用MAC算法进行完整性检验。对端实体的鉴别采用非对称密码体制进行认证。4.4IPSecVPN和SSLVPN的比较项目IPSecVPNSSLVPN身份验证双向/数字证书单/双向/数字证书加密依靠执行加密基于web浏览器加密全程安全性端到边缘端到端/用户到资源可访问性已经定义好受控用户任何时间/地点费用高低安装需要长时间的配置即插即用易用性需要培训简单友好应用支持所有基于IP协议的服务HTTP/TELNET/NMTP/FTP用户适合于企业内部使用客户/合作伙伴/供应商可伸缩性比较困难容易配置和扩展五、VPN的解决方案目录一.虚拟专用网(VPN)概述二.VPN工作原理三.VPN设计原则四.VPN有关协议的基本原理五.VPN的解决方案5VPN的解决方案连接分支机构(IntranetVPN)连接合作伙伴(ExtranetVPN)连接远程用户(AccessVPN)5.1内联网VPN(连接分支机构)一个组织结构的总部或者中心网络与跨地域的分支机构网络在公共通信基础设施上采用隧道技术和密码技术等VPN技术构成组织机构“内部”的虚拟专用网络。还具有管理上的自主可控、策略集中配置和分布式安全控制等安全特性。内联网VPN是解决内联网的结构安全、连接安全和传输安全的主要方法。Internet分支机构VPN网关AVPN网关B总部通道只需定义在两边的网关上Gateway必须支持IPSecGateway必须支持IPSec数据在这一段是认证的数据在这一段是加密的I