CISP-06-密码技术应用(VPNSSL).ppt

1、1,密码技术应用（VPN/SSL）,中国信息安全测评中心 2008年10月,2,目录,虚拟专用网（VPN）概述 VPN工作原理 VPN设计原则 VPN有关协议的基本原理 VPN的解决方案,3,课程目标,了解VPN基本概念 了解VPN的类型 掌握VPN有关协议的基本工作原理,4,一、虚拟专用网（VPN）概述,5,目录,虚拟专用网（VPN）概述 VPN工作原理 VPN设计原则 VPN有关协议的基本原理 VPN的解决方案,6,1 虚拟专用网概述,1.1 为什么使用VPN 1.2 VPN的基本功能 1.3VPN的类型 1.4 VPN的使用方式 1.5 VPN的发展,7,1.1 为什么使用VPN,1、没

2、使用VPN时，分布在各地的组织机构需要用专用网络来保证数据传输安全。其特点1）安全性好2）价格昂贵3）难扩展、不灵活 2、TCP/IP采用分组交换方式传递数据，其特点1）安全性差2）价格便宜3）易扩展，普遍使用,8,图1 非VPN远程访问设置,1.1 为什么使用VPN （cont.）,9,1.1 为什么使用VPN （cont.）,1、将专用网的安全特性和分组交换网的廉价和易于扩展的特性结合在一起，这就是VPN的动机。2、其本质是利用共享的互联网设施，模拟“专用”广域网，最终以极低的费用为远程用户提供能和专用网络相媲美的保密通信服务。,10,与传统专用网相比，VPN给企业带来很多的好处，同时也给

3、服务供应商特别是ISP带来很多机会。 如:VPN给企业带来的好处主要有以下四点： （1）降低成本 （2）易于扩展 （3）可随意与合作伙伴联网 （4）完全控制主动权,1.1 为什么使用VPN （cont.）,11,加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。 信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。 提供访问控制，不同的用户有不同的访问权限。,1.2 VPN的基本功能,12,1.3 VPN的类型,按协议层次 可以分为二层VPN，三层VPN、应用层VPN。 按应用范围 远程访问VPN、内联网VPN和外联网VPN 按体系结构 网关到网关VPN、主机到网关VP

4、N和主机到主机VPN,13,按协议层次分类的VPN,数据链路层VPN 可以用于各种网络协议，比如IP、IPX、AppleTalk等。 网络层VPN 可以适用于所有应用（即不是应用特定的）。 应用层VPN 常用于保护单独的HTTP应用通信的安全，并且也可以保护其它应用的通信。 每个应用服务器必须支持该协议。 目前主要的web浏览器默认支持该协议。,14,按体系结构分类的VPN,网关到网关体系结构示例,主机到主机体系结构示例,主机到网关体系结构示例,15,1.4 VPN的使用方式,自构VPN：也称为基于用户设备的VPN。 用户自己添置设备，利用互联网连接远程网络。此时互联网仅用作IP分组的传送平台

5、，VPN的安全功能由用户网络设备实现。 适合于那些有远程安全通信需求、却又不信任VPN服务供应商提供的安全服务的用户。 外购VPN：也称为基于网络的VPN。 将自有远程网络按VPN服务供应商的要求连接到服务商提供的VPN边缘路由器。 VPN的安全功能由VPN服务供应商提供。 可以省去大量VPN网络设备和维护的费用。,16,二、VPN工作原理,17,目录,虚拟专用网（VPN）概述 VPN工作原理 VPN设计原则 VPN有关协议的基本原理 VPN的解决方案,18,2.1 VPN关键技术,隧道技术 加解密技术 密钥管理技术 使用者与设备身份认证技术 访问控制技术,19,隧道技术,本质区别在于用户在隧

6、道中传输的数据包是被封装在哪种数据包中。 隧道技术按其拓扑结构分为点对点隧道和点对多隧道，而VPN主要采用点对点隧道。 目前存在多种VPN 隧道，包括L2TP、PPTP、IPSec、MPLS、SSL,20,Internet,VPN网关B,5,双方使用ISAKMP/Oakley密钥交换协议建立安全关联，产生或者刷新密钥,4,VPN网关A,查找SPD数据库决定为流入的IP数据提供那些安全服务,查找对应SA的参数,要求建立安全相应的关联,对原有数据包进行相应的安全处理,建立SAD,建立相应的SA,2.2 完整的VPN工作原理图,21,三、VPN设计原则,2

7、2,目录,虚拟专用网（VPN）概述 VPN工作原理 VPN设计原则 VPN有关协议的基本原理 VPN的解决方案,23,3.1安全性,保证VPN安全性通过以下手段： 隧道和加密：在安全性较高的场合使用加密隧道保护私有数据不被非法窥视和篡改。 数据验证：数据验证使接收方识别被篡改的数据，保证数据完整性。 身份验证：通过AAA，路由器提供用户验证、访问级别和访问记录，禁止非法访问。 抗重放：防止数据包被扑捉并重新投放到网上。,24,内部工作子网,下属机构,DDN/FR X.25专线,密文传输,明文传输,明文传输,3.1 数据机密性保护,25,内部工作子网,下属机构,DDN/FR X.25专线,原始数

8、据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较，验证数据的完整性,3.1 数据完整性保护,26,内部工作子网,下属机构,DDN/FR X.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,DSS,解密,相等吗？,验证通过,3.1 数据源身份认证,27,AH协议头,ESP协议头,SA建立之初，序列号初始化为0，

9、使用该SA传递的第一个数据包序列号为1，序列号不允许重复，因此每个SA所能传递的最大IP报文数为2321，当序列号达到最大时，就需要建立一个新的SA，使用新的密钥。,3.1 重放攻击保护,28,3.2网络优化,构建VPN的另一重要需求是有效的利用有限的广域网资源，为重要数据提供可靠的带宽。QoS（服务质量）通过流量预测与流量控制策略，可按照优先级分配带宽管理，使各类数据合理的先后发送，并预防阻塞的发生，因此，在设计VPN时需考虑采用多种QoS策略以优化网络资源.,29,3.3VPN的管理,VPN要求企业将其网络管理功能无缝延伸到公用网，甚至是客户和合作伙伴。虽然可将一些次要的网络管理任务交给服

10、务提供商去完成，企业自己仍需完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少的。,30,四、VPN有关协议的原理,31,目录,虚拟专用网（VPN）概述 VPN工作原理 VPN设计原则 VPN有关协议的基本原理 VPN的解决方案,32,4 VPN有关协议的基本原理,二层隧道协议 IPSec协议 SSL协议,33,4.1 二层隧道协议,二层隧道协议主要有三种: PPTP：微软、Ascend、3COM 等公司支持。 L2F：Cisco、北方电信等公司支持，在 Cisco路由器中有支持。 L2TP：由 IETF 起草，微软、 Ascend 、Cisco、3COM 等公司参与，结合了上面两

11、个协议的优点，成为 有关二层隧道协议的的工业标准。,34,4.1 二层隧道协议 （cont.）,L2TP协议,35,4.2 IPSec协议简介,IPSec协议实际上是一个协议包而不是一个单个的协议。自从1995年IPSec的研究究工作开始以来，现在已经积累了大量的标准文件集。 IPSec的安全协议由三个主要的协议组成，它由下图的第二层以及加密和认证算法组成。 Internet安全协商和密钥管理协议（ISAKMP）是IPSec的另一个主要组件。ISAKMP提供了用于应用层服务的通用格式，它支持IPSec协商方的密钥管理需求。,36,IPSec协议体系,37,认证头部（AH）,AH主要提供数据来源

12、认证、数据完整性验证和防报文回放攻击功能。 包含两种模式：传输模式和隧道模式。 隧道模式需要为每个包创建一个新的IP包头。 传输模式不需要创建新的IP包头。,38,AH隧道模式包,AH传输模式包,认证头部（续）,39,负载安全封装（ESP）,除了AH协议的功能外，ESP还提供对IP报文的加密功能。 包括两种模式：隧道模式和传输模式。,40,SSL (Secure socket Layer)安全套接层协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性，它不能保证信息的不可抵赖性，主要适用于点对点之间的信息传输，常用Web Server方式。 包括：服务器认证、客户认证

13、（可选）、SSL链路上的数据完整性和SSL链路上的数据保密性。 SSL通过在浏览器软件和web服务器之间建立一条安全通道，实现信息在Internet中传送的保密性。,4.3 SSL协议,41,SSL协议（续）,在TCP/IP协议族中，SSL位于TCP层之上、应用层之下。 可以独立于应用层，从而使应用层协议可以直接建立在SSL之上。 包含：SSL记录协议、SSL握手协议、SSL更改密码说明协议和SSL警告协议。,42,43,SSL协议安全连接的特点,连接是保密的：对于每个连接都有一个唯一的会话密钥，采用对称密码体制（如DES等）加密数据。 连接是可靠的：消息的传输采用MAC算法进行完整性检验。

14、对端实体的鉴别采用非对称密码体制进行认证。,44,4.4 IPSec VPN和SSL VPN的比较,45,五、VPN的解决方案,46,目录,虚拟专用网（VPN）概述 VPN工作原理 VPN设计原则 VPN有关协议的基本原理 VPN的解决方案,47,5 VPN的解决方案,连接分支机构（Intranet VPN） 连接合作伙伴（Extranet VPN） 连接远程用户（Access VPN）,48,5.1内联网VPN（连接分支机构）,一个组织结构的总部或者中心网络与跨地域的分支机构网络在公共通信基础设施上采用隧道技术和密码技术等VPN技术构成组织机构“内部”的虚拟专用网络。 还具有管理上的自主可控

15、、策略集中配置和分布式安全控制等安全特性。 内联网VPN是解决内联网的结构安全、连接安全和传输安全的主要方法。,49,Internet,VPN网关A,VPN网关B,通道只需定义在两边的网关上,Gateway 必须支持IPSec,Gateway 必须支持IPSec,数据在这一段是认证的,数据在这一段是加密的,ISP,ISP,5.1内联网VPN （续）,50,5.2外联网VPN（连接合作伙伴）,使用虚拟专用网络技术在公共通信基础设施上将合作伙伴或共同利益的主机或网络联网，根据安全策略、资源共享约定规则，实施内联网的特定主机和网络资源与外部特定主机和网络资源应相互共享。 外联网VPN是解决外联网结构

16、安全、连接安全和传输安全的主要方法。 必须解决密码分发、管理的一致性问题。,51,Internet,VPN网关A,VPN网关B,主机必须支持IPSec,主机必须支持IPSec,通道建立在两边的主机之间，因为业务伙伴内的主机不是都可以信任的,数据在这一段是加密的,数据在这一段是认证的,数据在这一段是认证的,数据在这一段是加密的,数据在这一段是认证的,数据在这一段是加密的,ISP,ISP,5.2外联网VPN （续）,52,5.3远程访问VPN（连接远程用户）,远程移动用户通过VPN技术可以在任何时间、任何地点采用拨号、ISDN、DSL等方式与公司总部、公司内联网的VPN设备建立隧道，实现访问连接。 远程用户终端必须安装相应的VPN软件。