基础（二）ppt课件

网络基础知识培训教程,VPN基础知识（三） IP Sec隧道,目录,第一节：IPSec VPN概念,概念：在第三层的一个协议集而不是一个单个的协议。在 IP 数据包层检验、验证身份和加密数据。IPSec 提供数据在网络传输时的安全性提供的安全服务： 数据机密性：在发送数据包前将其进行加密。 数据完整性：对数据包进行检测，以确保数据包在传输过程中没有被篡改。 数据来源鉴别：鉴别数据包的来源。 反重播：检测并退回“重播”的数据包,第一节：IPSec VPN功能简述数据机密性,1100111001 0100010100 1010100100 0100100100 0001000000,1100111001 0100010100 1010100100 0100100100 0001000000,明文,加密,解密,明文,保证数据在传输途中不被窃取,发起方,接受方,长江长江， 我是黄河！,长江长江， 我是黄河！,第一节：IPSec VPN功能简述数据的完整性,完整性：数据没有被非法篡改 通过对数据进行hash运算，产生类似于指纹的数据摘要，以保证数据的完整性。,第一节：IPSec VPN功能简述数据的完整性,发起方,接受方,10010001 01010010 10000100 00001101 10001010,10001010,10010001 01010010 10000100 00001101 10001010,Hash,Hash,10001010,10010001 01010010 10000100 00001101 10001010,是否一样？,防止数据被篡改,长江长江， 我是黄河！,倒,长江长江， 我是黄河！,第一节：IPSec VPN功能简述数据源身份认证,超男,超女,假冒的“超女”,假冒VPN,Internet,10101101 11101001 10010100,验证签名，证实数据来源,私钥签名,第一节：IPSec VPN功能简述反重播,超男,超女,假冒的“超女”,假冒VPN,Internet,10101101 11101001 10010100,序列号没有重复，正常接收,第二节：IPSec VPN应用范围,由于是在网络层的，不需要配置个人工作站，PC机或者应用，只需要通过简单地更改网络基础结构就可以使用。并可以在不同的设备间加密： 从路由到路由； 防火墙到路由； 防火墙到防火墙； 用户到防火墙； 用户到路由； 用户到VPN; 用户到服务器；,第三节：深入IP Sec-操作概述,1000年前的“VPN“:飞鸽传书,第三节：深入IP Sec-操作概述,飞鸽传书的原理：,处在两个不同物理位 置的军队之间传达信息,飞鸽传书的原理：,第三节：深入IP Sec-操作概述,两支军队必须要达相协议，如何传输：使用飞鸽！,只能使用飞鸽，其它鸡， 鹅，鸭都不能使用！,放心，我只会收飞鸽，鸡， 鹅，鸭有禽流感的！,飞鸽传书的原理：,第三节：深入IP Sec-操作概述,协商传送文件的加密方式，与解密方法,我发送的文书都用九阴真经 密码写的，解密方式嘛， 看金瓶梅就知道了！,收到！解密方法在金瓶梅里面,穿越回到现在：IP Sec 也是像飞鸽传书前一样，两个节点要进行协商，去定义怎样发送，怎样加密，怎样身份认证。,第三节：深入IP Sec-操作概述,A,B,穿越回到现在：IP Sec 也是像飞鸽传书前一样，两个节点要进行协商，去定义怎样发送，怎样加密，怎样身份认证。,第三节：深入IP Sec-操作概述,A,B,第三节：深入IP Sec-操作概述,需要保护的流量流经路由器，触发路由器启动相关的协商过程（飞鸽传书前两军协商如果保护“书”）。 启动IKE (Internet key exchange)阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道。,Host A,Host B,Router A,Router B,第三节：深入IP Sec-操作概述,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数,协商建立IKE安全 通道所使用的参数,IP Sec使用IKE来建立安全连接,第三节：安全标准协议,先解释一下IKE:Internet密钥交换:,了解IKE之前，先要知道上家大哥，SA(Security Associations)安全关联参数： 两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种协定。 内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥等，从而决定了保护什么、如何保护以及谁来保护。 SA是构成IPSec的基础。,第三节：安全标准协议,哦！原来SA就像是两支军队 间收发文书的前要制定规则： 譬如用飞鸽还是 飞鸡一样。,第三节：安全标准协议,SA(Security Associations)安全关联参数： 通过三元组（SPI，IP目的地址，IPSec协议）来标识 SPI（Security Parameter Index，安全参数索引）是32位数，嵌入在数据包的头信息内。 IP目的地址：IP目的地址，它是SA的终端地址。 IPSec协议。,第三节：安全标准协议,Internet密钥交换（IKE）： 为IPSec提供了自动协商交换密钥、建立安全联盟的服务 通过数据交换来计算密钥,第三节：安全标准协议,Internet密钥交换（IKE）安全机制： 完善的前向安全性 数据验证 身份验证 身份保护 DH交换和密钥分发,第三节：深入IP Sec-操作概述,IKE阶段1,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数,协商建立IKE安全 通道所使用的参数,再回到第一阶段：到底IKE在做些什么？,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段 1,协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道,协商建立IKE安全 通道所使用的参数 交换对称密钥 双方身份认证 建立IKE安全通道,第三节：深入IP Sec-操作概述,第三节：IKE的交换过程（主模式）,SA交换,密钥交换,ID交换及验证,发送本地 IKE策略,身份验证和 交换过程验证,密钥生成,密钥生成,接受对端 确认的策略,查找匹配 的策略,身份验证和 交换过程验证,确认对方使用的算法,产生密钥,验证对方身份,发起方策略,接收方确认的策略,发起方的密钥生成信息,接收方的密钥生成信息,发起方身份和验证数据,接收方的身份和验证数据,Peer1,Peer2,第三节：IKE的交换过程（野蛮模式）,SA交换， 密钥生成,ID交换及验证,发送本地 IKE策略， 密钥生成信息,身份验证和 交换过程验证,接受对端 确认的策略， 密钥生成,查找匹配 的策略，密钥生成,确认对方使用的算法，产生密钥,验证对方身份,发起方策略，密钥生成信息,接收方的密钥生成信息，身份和验证数据,发起方身份和验证数据,Peer1,Peer2,第三节：安全标准协议,IKE阶段1,Policy 10 DES MD5 DH1 Pre-share lifetime,Policy 15 DES MD5 DH1 Pre-share lifetime,Router A,Router B,host A,host B,Policy 20 3DES SHA DH1 Pre-share lifetime,Policy 25 3DES SHA DH2 Pre-share lifetime,双方找到相同的策略集,上述IKE参数组合成集合，称为IKE policy。IKE协商就是要在通信双方之间找到相同的policy。,IP Sec 隧道,该节点需要DES, MD5,预置 共享密钥； 使用DH2及SA 对这些 设置进行协商。,加密算法 Hash算法 DH算法 身份认证方法 存活时间,第三节：深入IP Sec-操作概述,启动IKE阶段2，在IKE1建立的安全通道上协商IPSec参数。 按协商好的IPSec参数对数据流进行加密、hash等保护。,Host A,Host B,Router A,Router B,IKE阶段1完成后,IP Sec 隧道,第一节：深入IP Sec-操作概述,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数,协商IPSec安全参数,IP Sec 隧道,第三节：深入IP Sec-操作概述,Host A,Host B,Router A,Router B,10.0.1.3,10.0.2.3,IKE 阶段2,协商IPSec安全参数,协商IPSec安全参数,IP Sec 隧道,建立IPSec SA,建立IPSec SA,第三节：安全标准协议,IKE阶段2,Router A,Router B,host A,host B,双方找到相同的策略集,IP Sec 隧道,加密算法 Hash算法 安全协议 封装模式 存活时间,IP Sec SA 3DES SHA ESP Tunnel lifetime,IP Sec SA 3DES SHA ESP Tunnel lifetime,在IKE的基础上，配置IP Sec SA。,第三节：深入IP Sec-操作概述,IKE与IPSec安全参数的比较,加密算法,Hash算法,存活时间,DH算法,身份认证,安全协