【正文】 須支持 IPSec 非安全通道 PSTN Remote User to VPN Gateway VPN隧道的建立過程 中國(guó)信息安全認(rèn)證中心 VPN技術(shù)及其應(yīng)用 ? 概念 ? VPN功能 ? IPSEC VPN工作原理 ? VPN的安全風(fēng)險(xiǎn) 中國(guó)信息安全認(rèn)證中心 VPN技術(shù)及其應(yīng)用 ? 概念 ? VPN功能 ? IPSEC VPN工作原理 ? VPN的安全風(fēng)險(xiǎn) –撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn) –因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn) –安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn) –內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn) 中國(guó)信息安全認(rèn)證中心 VPN技術(shù)及其應(yīng)用 ? 概念 ? VPN功能 ? IPSEC VPN工作原理 ? VPN的安全風(fēng)險(xiǎn) –撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn) –因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn) –安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn) –內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn) 中國(guó)信息安全認(rèn)證中心 遠(yuǎn)程訪問 ISP接入設(shè)備 撥入段 Inter 1. 攻擊者可以很容易的在撥入鏈路上實(shí)施監(jiān)聽 2. ISP很容易檢查用戶的數(shù)據(jù) 3. 可以通過鏈路加密來防止被動(dòng)的監(jiān)聽，但無法防范惡意竊取數(shù)據(jù)的 ISP。同時(shí)，協(xié)商建立一個(gè)主秘密，以后用于保護(hù)用戶數(shù)據(jù)流的所有秘密都將根據(jù)主密鑰產(chǎn)生。 ? Oakley – 是一個(gè)可用于 ISAKMP框架的密鑰交換協(xié)議，它為安全關(guān)聯(lián)提供密鑰交換和刷新功能。長(zhǎng)度 =整數(shù)倍 32位比特 ? 下一頭部： 8比特，標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型 ? 填充字段： 8比特，大多數(shù)加密加密算法要求輸入數(shù)據(jù)包含整數(shù)各分組，因此需要填充 ?負(fù)載數(shù)據(jù)：包含由下一頭部字段給出的變長(zhǎng)數(shù)據(jù) ?SPI： 32比特，用于標(biāo)識(shí)有相同 IP地址和相同安全協(xié)議的不同 SA。長(zhǎng)度 =整數(shù)倍 32位比特 保留負(fù)載長(zhǎng)度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值 ）變長(zhǎng)序列號(hào)安全參數(shù)索引（ ）下一頭部? 下一頭部： 8比特，標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型 ? 負(fù)載長(zhǎng)度： 8比特，表示以 32比特為單位的 AH頭部長(zhǎng)度減 2， Default=4 ?保留字段： 16比特，保留將來使用， Default=0 ?SPI： 32比特，用于標(biāo)識(shí)有相同 IP地址和相同安全協(xié)議的不同 SA。 – Key management ? 密鑰管理協(xié)議亦為協(xié)議族，包括 ISAKMP協(xié)議（ Inter Security Association and Key Management Protocol）， IKE（ The Inter Key Exchange）協(xié)議 。 ? 可以是普通 IP地址，也可是廣播或者組播地址 ? 可以是 AH或者 ESP 負(fù) 載 IP頭部 IP頭部 負(fù) 載 IP頭部 IPSEC 概念 中國(guó)信息安全認(rèn)證中心 VPN技術(shù)及其應(yīng)用 ? 3. IPSEC VPN工作原理 –概念 –框架 –AH協(xié)議 –ESP協(xié)議 –密鑰協(xié)商協(xié)議 –VPN隧道的建立過程 中國(guó)信息安全認(rèn)證中心 IPSEC VPN 框架 密鑰管理協(xié)議簇 DOI命名域 加密算法 認(rèn)證算法 ESP協(xié)議 AH協(xié)議 SA安全聯(lián)合 ? 協(xié)議框架 中國(guó)信息安全認(rèn)證中心 IPSEC VPN 框架 ? 協(xié)議簇 – SA(Security Architecture for the Inter Protocol) ? 介紹了 IPSEC的整體框架，其指定了兩個(gè)封裝協(xié)議AH（ IP Authentication Header）和 ESP（ IP Encapsulating Security Payload）。在 SSL中，身份認(rèn)證是基于證書的，屬于端到端協(xié)議，不需要中間設(shè)備如：路由器、防火墻的支持 中國(guó)信息安全認(rèn)證中心 1. 概述 ? VPN類型 –非 IPSEC的應(yīng)用層 VPN ? SHTTP – 提供身份認(rèn)證、數(shù)據(jù)加密，比 SSL靈活，但應(yīng)用很少，因SSL易于管理 ? SMIME – 一個(gè)特殊的類似于 SSL的協(xié)議，屬于應(yīng)用層安全體系，但應(yīng)用僅限于保護(hù)電子郵件系統(tǒng)，通過加密和數(shù)字簽名來保障郵件的安全，這些安全都是基于公鑰技術(shù)的，雙方身份靠 ，不需要 Firewall and Router 的支持 中國(guó)信息安全認(rèn)證中心 Network Interface (Data Link) IP (Interwork) TCP/UDP (Transport) S— MIME Kerberos Proxies SET IPSec (ISAKMP) SOCKS SSL,TLS IPSec (AH,ESP) Packet Filtering Tunneling Protocols CHAP,PAP,MSCHAP Application 1. 概述 ? TCP/IP 協(xié)議棧與對(duì)應(yīng)的 VPN協(xié)議 中國(guó)信息安全認(rèn)證中心 1. 概述 ? 類型對(duì)比 – 網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供透明方式的保護(hù)，但無法為應(yīng)用提供足夠細(xì)的控制粒度 – 數(shù)據(jù)到了目的主機(jī)，基于網(wǎng)絡(luò)層的安全技術(shù)就無法繼續(xù)提供保護(hù)，因此在目的主機(jī)的高層協(xié)議棧中很容易受到攻擊 – 應(yīng)用層的安全技術(shù)可以保護(hù)堆棧高層的數(shù)據(jù)，但在傳遞過程中，無法抵抗常用的網(wǎng)絡(luò)層攻擊手段，如源地址、目的地址欺騙 – 應(yīng)用層安全幾乎更加智能，但更復(fù)雜且效率低 – 因此可以在具體應(yīng)用中采用多種安全技術(shù)，取長(zhǎng)補(bǔ)短 中國(guó)信息安全認(rèn)證中心 1. 概述 ? VPN的優(yōu)點(diǎn) –建網(wǎng)快速 –投資低 –節(jié)約使用成本 –安全可靠 –簡(jiǎn)化用戶對(duì)網(wǎng)絡(luò)的維護(hù)及管理工作 –易于擴(kuò)展 中國(guó)信息安全認(rèn)證中心 VPN技術(shù)及其應(yīng)用 ? 1. 概述 ? 2. VPN功能 ? 3. IPSEC VPN工作原理 ? 4. VPN具體應(yīng)用 ? 5. 安全風(fēng)險(xiǎn) 中國(guó)信息安全認(rèn)證中心 2. VPN功能 ? 基本功能 –數(shù)據(jù)機(jī)密性保護(hù) –數(shù)據(jù)完整性保護(hù) –數(shù)據(jù)源身份認(rèn)證 –重放攻擊保護(hù) 中國(guó)信息安全認(rèn)證中心 2. VPN功能 ? –數(shù)據(jù)機(jī)密性服務(wù) –數(shù)據(jù)完整性服務(wù) –數(shù)據(jù)源身份認(rèn)證 –防重演攻擊