1 / 41

网络安全概论

普通高等教育“十一五”国家级规划教材 “信息化与信息社会”系列丛书. 网络安全概论. 刘 建伟 2011年 10 月 25 日. 第七章 VPN 技术. VPN 的基本概念和分类. 二. 三. 四. 一. 五. 一. 六. PPTP 、 IPSec 、 TLS 等隧道协议. IPSec VPN 的原理及应用. TLS VPN 的原理及应用. PPTP VPN 的原理及应用. MPLS VPN 的原理及应用. 第七章 VPN 技术. VPN 的基本概念和分类. 二. 三. 四. 一. 五. 一. 六.

chancellor-rodrigo
Download Presentation

网络安全概论

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 普通高等教育“十一五”国家级规划教材 “信息化与信息社会”系列丛书 网络安全概论 刘建伟 2011年10月25日

  2. 第七章 VPN技术 VPN的基本概念和分类 二 三 四 一 五 一 六 PPTP、IPSec、TLS等隧道协议 IPSec VPN的原理及应用 TLS VPN的原理及应用 PPTP VPN的原理及应用 MPLS VPN的原理及应用

  3. 第七章 VPN技术 VPN的基本概念和分类 二 三 四 一 五 一 六 PPTP、IPSec、TLS等隧道协议 IPSec VPN的原理及应用 TLS VPN的原理及应用 PPTP VPN的原理及应用 MPLS VPN的原理及应用

  4. 7.1.1 VPN的概念 虚拟专网:VPN (Virtual Private Network) • 定义:是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。

  5. 7.1.2 VPN的特点 • 1.费用低 • 5.可管理性 • 2.安全保障 • 4.可扩充性 • 和灵活性 • 3.服务质量 • 保证(QoS)

  6. 7.1.3 VPN的分类 网关-网关VPN连接 网关-网关VPN • 远程访问VPN 移动用户远程访问VPN

  7. 7.1.4 VPN的关键技术 1.隧道技术 VPN关键技术包括 5.访问控制 2.加/解密技术 4.身份认证技术 3.密钥管理技术

  8. 第七章 VPN技术 VPN的基本概念和分类 二 三 四 一 五 一 六 PPTP、IPSec、TLS等隧道协议 IPSec VPN的原理及应用 TLS VPN的原理及应用 PPTP VPN的原理及应用 MPLS VPN的原理及应用

  9. 7.2 隧道协议与VPN VPN的主要封装协议: 第2层的隧道协议 --包括PPTP、L2TP、L2F等; 第3层的隧道协议 --包括IPSec、GRE等。 定义: • 指通过一个公用网络(通常是Internet)建立的一条穿过公用网络的安全的、逻辑上的隧道。 • 在隧道中,数据包被重新封装发送。

  10. 数据包在隧道中的封装及发送过程 封装 发送

  11. 7.2.1 第二层隧道协议 L2F L2TP PPTP 可以在多种介质(如AMT、帧中继、IP网)上建立多协议的安全虚拟专用网。 它将链路层的协议(如HDLC,PPP,ASYNC等)封装起来传送 让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源。 PPTP具有两种不同的工作模式,即被动模式和主动模式。 在上述两种协议的基础上产生。 适合组建远程接入方式的VPN。

  12. 7.2.1 第二层隧道协议 优点 简单易行 缺点 可扩展性都不好 不提供内在的安全机制,不能保证企业和企业的外部客户及供应商之间会话的保密性。

  13. 7.2.2 第三层隧道协议 MPLS --Multiprotocol Label Switching GRE --Generic Routing Encapsulation IPSec 引入了基于标记的机制。 它把选路和转发分开,用标签来规定一个分组通过网络的路径。 规定了如何用一种网络协议去封装另一种网络协议的方法。 专为IP设计提供安全服务的一种协议。

  14. 第七章 VPN技术 VPN的基本概念和分类 二 三 四 一 五 一 六 PPTP、IPSec、TLS等隧道协议 IPSec VPN的原理及应用 TLS VPN的原理及应用 PPTP VPN的原理及应用 MPLS VPN的原理及应用

  15. 7.3.1 IPSec协议概述 在IPv6的制定过程中产生,提供IP层的安全性。 IPSec标准最初由IETF于1995年制定。 从1997年开始IETF又开展了新一轮的IPSec标准的制定工作。 1998年11月,主要协议已经基本制定完成。

  16. 7.3.1 IPSec协议概述 IPSec协议使用认证头标AH和封装安全净载ESP两种安全协议来提供安全通信。两种安全协议都分为隧道模式和传输模式。 传输模式用在主机到主机的通信,隧道模式用在其它任何方式的通信。

  17. 7.3.1 IPSec协议概述 AH、ESP或AH+ESP既可以在隧道模式中使用,又可以 在传输模式中使用。 IPSec的功能和模式

  18. 7.3.2 IPSec的工作原理 2 • IPSec网关通过查询安全策略数据库(SPD)决定对接收到的IP数据包进行转发、丢弃或IPSec处理。 • IPSec网关可以对IP数据包只进行加密或认证,也可以对数据包同时实施加密和认证。 • IPSec的工作原理类似于包过滤防火墙,可以把它看做是包过滤防火墙的一种扩展。 1 3 无论是进行加密还是进行认证,IPSec都有两种工作模式:传输模式和隧道模式。

  19. 7.3.2 IPSec的工作原理 采用传输模式时,IPSec只对IP数据包的净荷进行加密或认证。 封装数据包继续使用原IP头部,只对部分域进行修改。 而IPSec协议头部插入到原IP头部和传送层头部之间。 传输模式的ESP封装示意图 传输模式的AH封装示意图

  20. 7.3.2 IPSec的工作原理 采用隧道模式时,IPSec对整个IP数据包进行加密或认证。 产生一个新的IP头,IPSec头被放在新IP头和原IP数据包之间,组成一新IP头。 IPSec隧道模式的ESP封装示意图 IPSec隧道模式的AH封装示意图

  21. 7.3.3IPSec中的主要协议 1 AH(Authentication Header) IPSec中主要由AH、ESP和IKE三个协议来实现加密、认证和管理交换功能。 • RFC 2401将AH服务定义如下: • 非连接的数据完整性校验; • 数据源点认证; • 可选的抗重放攻击服务。 AH有两种实现方式:传输方式和隧道方式 AH只涉及认证,不涉及加密

  22. 7.3.3IPSec中的主要协议 认证头(AH)的结构及其在IP数据包中的位置

  23. 7.3.3IPSec中的主要协议 ESP(Encapsulating Security Payload) 2 ESP协议主要用于对IP数据包进行加密,此外也对认证提供某种程度的支持。 ESP协议也有两种工作模式:传输模式和隧道模式。

  24. 7.3.3IPSec中的主要协议 3 IKE(Internet Key Exchange) IKE用于动态建立安全关联(SA,Security Association) • IKE协议分两个阶段: • 第一阶段:建立IKE安全关联,即在通信双方之间协商密钥; • 第二阶段:利用这个既定的安全关联为IPSec建立安全通道。

  25. IKE图解

  26. 7.3.5 IPSec VPN的构成 管理模块 数据加/解密模块 密钥分配和生成模块 数据分组封装/分解模块 身份认证模块 加密函数库

  27. 7.3.6 IPSec的实现 FreeS/WAN是Linux操作系统中包含的IPsec VPN实现方案。 在网上可以找到其开放的源代码下载网址:www.freeswan.org

  28. 第七章 VPN技术 VPN的基本概念和分类 二 三 四 一 五 一 六 PPTP、IPSec、TLS等隧道协议 IPSec VPN的原理及应用 TLS VPN的原理及应用 PPTP VPN的原理及应用 MPLS VPN的原理及应用

  29. 7.4.1 TLS概述 • SSL VPN也称做传输层安全协议(TLS)VPN。 TLS协议主要用于HTTPS协议中。TLS也可以作为构造VPN的技术。 • TLS VPN的最大优点是用户不需要安装和配置客户端软件。 • 只需要在客户端安装一个IE浏览器即可。 由于TLS协议允许使用数字签名和证书,故它能提供强大的认证功能。

  30. 7.4.1 TLS概述 TLS协议的连接建立过程 • 与许多C/S方式一样: • 客户端向服务器发送“Client hello”信息打开连接; • 服务器用“Server hello”回答; • 要求客户端提供它的数字证书; • 完成证书验证,执行密钥交换协议 • 密钥交换协议的任务: • 产生一个密钥; • 由主密钥产生两个会话密钥:A→B的密钥和B→A的密钥; • 由主密钥产生两个消息认证码密钥

  31. 7.4.1完整的TLS协议体系结构 完整的TLS协议体系结构 • TLS记录协议属于第三层协议; TLS握手协议、TLS密钥交换协议和TLS报警协议均与HTTP和FTP一样属于应用层协议。

  32. 7.4.2 TLS VPN的原理 用户欲安全地连接到公司网络 • TLS代理服务器提供用户与各种不同应用服务器之间的连接。 在企业的防火墙后面放置一个 TLS代理服务器。 TLS VPN的实现方式 首先要在浏览器上输入一个URL(Universal Resource Locator); • 该连接请求将被TLS代理服务器取得; • 用户通过身份验证;

  33. 7.4.2 TLS VPN的原理 1 握手协议 • 具体协议流程如下: • TLS客户机连接至TLS服务器,并要求服务器验证客户机的身份。 • TLS服务器通过发送它的数字证书证明其身份 。 • 服务器发出一个请求,对客户端的证书进行验证。 • 协商用于消息加密的加密算法和用于完整性检验的杂凑函数。 • 客户机生成一个随机数,用服务器的公钥对其加密后发送给TLS服务器。 • TLS服务器通过发送另一随机数据做出响应。 • 对以上两个随机数进行杂凑函数运算,从而生成会话密钥。 TLS VPN的实现主要依靠下面三种协议的支持

  34. 7.4.2 TLS VPN的原理 协议建立在TCP/IP协议之上,用在实际数据传输开始前通信双方进行身份认证、协商加密算法和交换加密密钥等。 2 TLS记录协议

  35. 7.4.2 TLS VPN的原理 3 警告协议 • 警告协议用于提示何时TLS协议发生了错误,或者两个主机之间的会话何时终止。 • 只有在TLS协议失效时告警协议才会被激活。

  36. 7.4.3 TLS VPN的优缺点 缺点 优点 加密级别通常不高 不能访问控制 可绕过防火墙进行访问 不需要对网络做改变 LAN连接缺少解决方案。 费用低且有良好安全性 是应用层加密,性能差 支持网络驱动器访问 需CA支持 较强的资源控制能力 不能保护UDP通道安全 已内嵌在浏览器中 认证方式单一 应用的局限性很大 无须安装客户端软件 适用于大多数设备 只对应用通道加密 不能对消息进行签名 适用于大多数操作系统

  37. 7.4.4 TLS VPN的应用 在客户与TLS VPN的通信中,人们通常采用TLS Proxy技术来提高VPN服务器的通信性能和安全身份验证能力。 主要用于访问内部网中的一些基于Web的应用: 电子邮件 内部网页浏览 其他基于Web的查询工作

  38. 7.4.5 TLS VPN与IPSec VPN比较

  39. 7.4.5 TLS VPN与IPSec VPN比较 TLS VPN有很多优点,但并不能取代IPSec VPN。 IPSec VPN主要提供LAN-to-LAN的隧道安全连接。 在为企业高级用户提供远程访问及为企业提供LAN-to-LAN隧道连接方面,IPSec具有无可比拟的优势。 目前,IPSec VPN的厂商也开始研究如何让IPSec VPN兼容TLS VPN,以增强可用性。如果成功,IPSec VPN的扩展性将大大加强,生命力也将更长久。

  40. 第七章 VPN技术 VPN的基本概念和分类 二 三 四 一 五 一 六 PPTP、IPSec、TLS等隧道协议 IPSec VPN的原理及应用 TLS VPN的原理及应用 PPTP VPN的原理及应用 MPLS VPN的原理及应用

  41. 谢谢!

More Related