天融信加密机详解
VPN具体应用
IP
(Internetwork)
Network Interface
(Data Link)
20
天融信
Talent-IT
§1.3.5 结论
VPN概述
1.
2. 3.
网络层对所有的上层数据提供透明方式的保护,但无法为应 用提供足够细的控制粒度
数据到了目的主机,基于网络层的安全技术就无法继续提供 保护,因此在目的主机的高层协议栈中很容易受到攻击 应用层的安全技术可以保护堆栈高层的数据,但在传递过程 中,无法抵抗常用的网络层攻击手段,如源地址、目的地址 欺骗 应用层安全几乎更加智能,但更复杂且效率低 因此可以在具体应用中采用多种安全技术,取长补短
VPN概述
基于 IPSec 的VPN解决方案
VPN功能
基于第二层的VPN解决方案 非 IPSec 的网络层VPN解决方案 非 IPSec 的应用层解决方案 结论
VPN工作原理
VPN具体应用
14
天融信
Talent-IT
§1.3.1 基于IPSec 的VPN 解决方案
在通信协议分层中,网络层是可能实现端到端安全通信的最低层,它 为所有应用层数据提供透明的安全保护,用户无需修改应用层协议。
Hash
摘要
一般子网 原始数据包 原始数据包 管理子网
私钥
加密
DSS
将数字签名附在原始包 后面供对方验证签名
重点子网
原始数据包
取出DSS DSS DSS 解密
原始数据包 摘要
Hash
摘要
两摘要相比较 相等吗?
验证通过 内部工作子网
原始数据包
DDN/FR X.25专线
原始数据包
DSS
下属机构
25
天融信
26
天融信
Talent-IT
第三章 VPN的工作原理
VPN概述
密码学简介 IPSec
VPN功能
VPN工作原理
因特网密钥交换协议
建立VPN通道的四种方式
VPN具体应用
一个完整的VPN工作原理图
27
天融信
Talent-IT
§3.1.1 密码学术语
1.
VPN概述
密码学:一门以保障数据和通信安全为目的的科学,它使用加 密、解密、身份认证来实现目的。 加密:将明文信息变换成不可读的密文形式以隐藏其中的含义 解密:将密文信息还原成明文的过程。用来加密和解密的函数 叫做密码算法。
第一章 VPN概述
VPN概述
•
VPN简介及其优点
VPN功能
VPN工作原理
• VPN的安全性 • 市场上已有的VPN解决方案
VPN具体应用
4
天融信
Talent-IT
§1.1 VPN简介及其优点
VPN概述
VPN是企业网在因特网等公共网络上的延伸
VPN功能
VPN工作原理
VPN具体应用
VPN通过一个私有的通道来创建一个安全的私有连接,将远 程用户、公司分支机构、公司的业务伙伴等跟企业网连接起 来,形成一个扩展的公司企业网
Internet
一般子网 拨号服务器
Internet 区域
明文传输
管理子网
PSTN
重点子网 明文传输 密文传输 内部工作子网 下属机构
DDN/FR X.25专线
23
天融信
Talent-IT
§2.2 数据完整性保护
内部WWW
对原始数据包进行Hash 对原始数据包进行加密
Hash 加密
摘要 加密后的数据包
Talent-IT
AH协议头 下一头部 负载长度
§2.4 重放攻击保护
保留
安全参数索引(SPI) 序列号 认证数据 (完整性校验值ICV)变长 ESP协议头
安全参数索引(SPI) 序列号 负载数据 (变长的) 填充(0~255字节)
填充长度
认证数据 (变长的)
下一头部
SA建立之初,序列号初始化为0,使用该SA传 递的第一个数据包序列号为1,序列号不允许 重复,因此每个SA所能传递的最大IP报文数为 232—1,当序列号达到最大时,就需要建立一 个新的SA,使用新的密钥。
16
天融信
Talent-IT
§1.3.2 基于第二层的VPN解决方案
L2 T P 通道 L2 T P 通道
拨号连接
因特网
公司内部网
用于该层的协议主要有: L2TP:Lay 2 Tunneling Protocol PPTP:Point-to-Point Tunneling Protocol L2F:Lay 2 Forwarding L2TP的缺陷: 1. 2. 仅对通道的终端实体进行身份认证,而不认证通道中流过的每一个数据报文,无法抵抗插 入攻击、地址欺骗攻击。 没有针对每个数据报文的完整性校验,就有可能进行拒绝服务攻击:发送假冒的控制信息 ,导致L2TP通道或者底层PPP连接的关闭。
VPN工作原理
S-HTTP
VPN具体应用 提供身份认证、数据加密,比SSL灵活,但应用很少,因SSL易于管理
S-MIME
一个特殊的类似于SSL的协议,属于应用层安全体系,但应用仅限于保护电子邮件系统 ,通过加密和数字签名来保障邮件的安全,这些安全都是基于公钥技术的,双方身份靠 X.509证书来标识,不需要Firewall and Router 的支持
天融信
Talent-IT
•防火墙 •安全电子邮件
•加密卡 •数据审计系统
•网页保护系统 •加密机
•CA认证 •身份识别系统
北京天融信网络安全技术有限公司 网址: E-mail:tit@ 电话:(010)62304680 传真:(010)86211070
3.
虽然PPP报文的数据可以加密,但PPP协议不支持密钥的自动产生和自动刷新,因而监听的 攻击者就可能最终破解密钥,从而得到所传输的数据。
17
天融信
Talent-IT
§1.3.3 非IPSec 的网络层VPN 解决方案
VPN概述
网络地址转换 由于AH协议需要对整个数据包做认证,因此使用AH协议后不 能使用NAT 包过滤
VPN功能
VPN工作原理
VPN具体应用
4. 5.
21
天融信
Talent-IT
第二章 VPN功能
VPN概述
VPN功能
数据机密性保护 数据完整性保护
VPN工作原理
数据源身份认证
VPN具体应用
重放攻击保护
22天Leabharlann 信Talent-IT§2.1 数据机密性保护
内部WWW
WWW
Mail DNS SSN区域 边界路由器
1
天融信
Talent-IT
VPN专题
Beginning
VPN技术专题讲座
2
天融信
Talent-IT
VPN专题
VPN 概 述
——VPN是什么?
VPN 的 功 能
——VPN能做什么?
VPN 的 工 作 原 理
——VPN是如何工作的?
VPN 的 具体应 用
——在什么场合又怎样来使用VPN?
3
天融信
Talent-IT
VPN功能
VPN工作原理
VPN具体应用
由于使用ESP协议将对数据包的全部或部分信息加密,因此基 于报头或者数据区内容进行控制过滤的设备将不能使用
服务质量
由于AH协议将IP协议中的TOS位当作可变字段来处理,因此 ,可以使用TOS位来控制服务质量
18
天融信
Talent-IT
§1.3.4 非IPSec 的应用层VPN 解决方案
VPN工作原理
2. 3. 4. 5.
VPN具体应用
15
天融信
Talent-IT
IPSec 框架的构成 基于 IPSec 的VPN解决方案需要用到如下的协议:
VPN概述
VPN功能
AH协议 ESP协议 ISAKMP/Oakley协议
VPN工作原理
VPN具体应用
详细情况将在IPSec 协议体系中讲解
19
天融信
Talent-IT
TCP/IP 协议栈与对应的VPN协议
S—MIME Kerberos Proxies
VPN概述
Application
TCP/UDP
(Transport)
SET
IPSec (ISAKMP)
VPN功能
VPN工作原理
SOCKS SSL,TLS IPSec (AH,ESP) Packet Filtering Tunneling Protocols CHAP,PAP,MS-CHAP
SOCKS
VPN概述
位于OSI模型的会话层,在SOCKS协议中,客户程序通常先连接到防火墙1080端口,然 后由Firewall建立到目的主机的单独会话,效率低,但会话控制灵活性大
VPN功能
SSL
属于高层安全机制,广泛用于Web Browse and Web Server,提供对等的身份认证和应用 数据的加密。在SSL中,身份认证是基于证书的,属于端到端协议,不需要中间设备如 :路由器、防火墙的支持
§1.2.6 结论
在端到端的数据通路上随处都有可能发生数据的泄漏,包括: 1. 2. 3. 拨入段链路上 ISP接入设备上 在因特网上
4.
5.
在安全网关上
在企业内部网上。
能否提供一个综合一致的解决方案,它不仅能提供端到 端的数据保护,同时也能提供逐段的数据保护呢?
13
天融信
Talent-IT
§1.3 现有的VPN 解决方案
9