培训文档-VPN技术（IPSec）.pptx

VPN技术(IPSec)

IPSec背景介绍IP包本身并不继承任何安全特性我们不能担保收到的IP数据包：来自原先要求的发送方（IP头内的源地址）；包含的是发送方当初放在其中的原始数据；原始数据在传输中途未被其他人看过。

IPSec的产生IPSec是由Internet工程任务组（IETF）开发的开放标准框架IPSec是网络层中安全通讯的第三层协议IPSec提供数据的认证、完整性、机密性、抗重播等安全服务IPSec为无保护网络（如Internet）上传输敏感数据提供了安全性IPSec应用的基本目的：确保数据通过公共网络时的安全性

IPSec的保护形式数据源地址验证；无连接数据的完整性验证；数据内容的机密性（是否被别人看过）；抗重播保护；有限的数据流机密性保证。

具体分析：无IPSec的环境IP网络主机A主机B主机B收到一个源地址为主机A的IP数据包后：1、主机B并不能肯定是主机A发送的，可能是攻击者伪造的2、主机B并不能保证这个IP数据包内容没有被第三方改动过3、主机B并不知道这个IP数据包的内容是否被第三方窥探过4、主机B连续收到同一个IP数据包若干次，遭受重播攻击

具体分析：有IPSec的环境IPSecIP网络主机A主机B主机B收到一个源地址为主机A的IP数据包后：1、B对IP数据包的源地址进行验证，判断该IP包是否由A发出2、B可以通过对IP数据包进行完整性验证3、如不希望数据包被第三方知道，可以对数据包进行加密4、通过IPSec协议机制来废弃重复的IP数据包

IPSec保护模式介绍新IP头隧道模式传输模式数据IP头IPSec头原始IP包原始IP包受传输模式保护的IP包受隧道模式保护的IP包数据IP头数据IP头数据IP头IPSec头

IPSec提供的服务数据完整性：接收方对包认证，确保数据在传输中没有被篡改数据来源认证：接收方对IPSec包的源地址进行认证反重播：接收方可拒绝接受过时包或包拷贝，保护自己不被攻击数据机密性：发送方传输IP包前对包进行加密

IPSec提供服务的实现数据完整性：由ESP、AH协议调用MD5或SHA散列算法实现数据来源认证：由ESP、AH协议实现反重播：由ESP、AH协议实现数据机密性：由ESP结合DES、3DES加/解密算法实现

AH协议介绍AH（AuthenticationHeader）—-验证头为IP数据包提供数据完整性为IP数据包提供源地址验证为IP数据包提供抗重播服务不提供对通信数据的加密服务AH协议使用IP的50、51协议交互

ESP协议介绍ESP（EncapsulatingSecurityPayload）—封装安全性有效负载。为IP数据包提供数据完整性为IP数据包提供源地址验证为IP数据包提供抗重播服务提供对数据的加密服务ESP协议使用IP的50、51协议交互

AH、ESP差异分析AH不提供加密服务；ESP提供加密服务（结合DES、3DES）AH提供的验证保护可以保护整个IP数据包ESP的验证保护无法保护IP头，但可以为数据提供加密服务

DES、3DES算法介绍DES（DataEncryptionStandard）—数据加密标准。3DES（TripleDataEncryptionStandard）—3倍数据加密标准。相同：DES、3DES都是对数据包提供加/解密的算法差异：DES的密钥长度为8字节（56个有效位）3DES的密钥长度为24字节（168个有效位）3DES加密强度比DES高若干倍

MD5、SHA散列算法介绍MD5（MessageDigest-5）—消息摘要-5算法。SHA（SecurityHashAlgorithm）—安全散列算法。相同：MD5、SHA都是散列算法，可对任意长度报文进行HASH计算差异：MD5运算后得到128位的HASH（摘要）值SHA运算后得到160位的HASH（摘要）值SHA可以提供比MD5强度更高的验证

IPSec保护强度分析网关A到B的Telnet数据采用：ESP协议、3DES加密、SHA验证网关A到B的SMTP数据采用：ESP协议、DES加密、MD5验证网关A到B的其他通信数据采用：AH协议、MD5验证形成了3个保护强度的IPSec通信通道：TELNET保护强度最高、SMTP强度次之、其他通信的强度最弱TELNETSMTP其他通信IP网络网关A网关B

SA（SecurityAssociation）-安全联盟SA是封装形式、加/解密算法、密钥、验证算法、密钥周期等信息的集合SA是IPSec的