8-天融信vpn整体解决方案

8-天融信vpn整体解决方案内容摘要：

一般都要采用一种称为摘要的技术。 摘要技术主要是采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。 由于 HASH函数的特性，使得要找到两个不同的报文具有相同的摘要是困难的。 该特性使得摘要技术在 VPN中有两个用途： A. 验证数据的完整性。 发送方将数据报文和报文摘要一同发送 ,接收方通过计算报文摘要 ,与发来摘要比较 ,相同则说明报文未经修改。 由于在报文摘要的计算过程中一般是将一个双方共享的秘密信息连接上实际报文一同参与摘要的计算，不知道秘密信息将很难伪 造一个匹配的摘要，从而保证了接收方可以辨认出伪造或篡改过的报文。 TOPSEC VPN Solution White Book 安 全 推 进 应 用 10 B. 用户认证。 该功能实际上是上一种功能的延伸。 当一方希望验证对方，但又不希望验证秘密在网络上传送，这时一方可以发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息，从而达到验证对方的目的。 常用的 HASH函数有 MD5， SHA1等。 IPsec 中的认证 协议 AH AH协议的主要功能是用于认证数据源和验证数据完整性。 协议头格式如下： 图 18 AH协议头格式 1） Next Header：下一个头部的协议类型。 2） Payload Len：认证头部长度 (32bit单位 )－ 2， IPv4 是 32位对齐， IPv6是 64bit 位对齐。 3） RESERVED：全 0。 4） Security Parameters Index (SPI)：由接收方在创建安全连接时指定， SPI,目的IP地址 ,AH协议唯一确定一个使用 AH的安全连接。 5） Sequence Number Field：用于防止重放攻击，采用类似于 TCP协议中的窗口机制。 初值为 0，安全连接发送，每发一包计数加 1。 6） Authentication Data：对指定的数据的认证码，如 HMACMD596。 认证的过程如下 ： 发送方采用哈希算法计算认证码，添入 AH头部中的认证码域发往目的地。 认证码计算方法为 HASH（认证密钥，认证数据 ）。 其中，认证密钥是双方共享的。 可以是手工分发的，也可以是后面将介绍的密钥管理协议动态分发。 接收方采用同样的方法计算出认证码后与 AH头部中的认证码域内的值比较，如果相同则认证成功，否则认证失败。 HASH算法可以保证如果不知道认证密钥，要伪造与认证数据匹配的认证码是困难的，又由于认证数据中包含有 IP协议头部的源 IP地址 ，所以只要保证认证密钥的秘密性就可以有效的区别伪装 IP地址的欺骗数据包。 同时 AH还能检查出被认证的数据段是否被篡改。 加密技术简介 TOPSEC VPN Solution White Book 安 全 推 进 应 用 11 在 VPN中为了保证重要的数据在公共网上传输时不被他人窃取 ,采用了加密机制。 IPSec通过 IKE协商确定几种可选的数据加密方法 如 DES、 3DES。 在现代密码学中， 加密算法 被 分为对称加密算法和非对称加密算法。 对称加密算法采用同一 个 密钥进行加密和解密，优点是速度快，但密钥的分发与交换不便于管理。 使用不 对称加密 算法加密时 ，通讯各方使用两个不同的密钥 ,一个是只有发 送方知道的私有 密钥 d，另一个则是对应的公 开 密钥 e，任何人都可以获得公 开 密钥 e。 私有 密钥和公开 密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。 由于不对称加密运算量大，一般用于加密 对称加密算法 中使用的密钥。 不 对称加密 还有一个重要用途即数字签名。 目前， 常用的 数据加密算法有： 对称加密算法：  国际数据加密算法（ IDEA： International Data Encryption Algorithm）： 128位长密钥，把 64位的明文块加密成 64位的密文块。  DES和 3DES加密算法 (The Data Encryption Standard):DES有 64位长密钥 ,实际上只使用 56位密钥。  AES： Rijndial 加密算法 不对称加密算法：  RSA  椭圆曲线制算法 IPsec 中的加密 协议 ESP 下图是 ESP的头部格式。 图 19 ESP协议头格式 1) SPI：意义同 AH协议 TOPSEC VPN Solution White Book 安 全 推 进 应 用 12 2) Sequence Number:意义同 AH协议 3) Payload Data：是算法的初始数据（ IV）与上层协议的数据。 上层协议的数据将被加密，算法的初始化向量（ IV）不被加密，有些算法的初始化向量在 Payload Data的开始位置，有些算法的初始数据由算法隐式指定。 4) Padding：填充内容 5) Pad Length：填充数据长度 6) Next Header：指定 Payload Data 中数据的协议类型如 TCP， UDP„„ 7) Authentication Data：是对 16数据的认证。 加密过程 ： 1) 封装数据。 将上层协议数据或整个 IP包填入到 Payload Data。 2) 加入填充数据。 3) 加密明文 Payload Data， Padding， Pad len, Next Header 后，密文重新添入对应明文位置。 加密算法可能是 DESCBC， 3DESCBC。 4) 如果算法要求显示 IV则要将 IV添入 Payload Data 指定位置。 5) ESP还有一个认证尾部，功能类似于 AH。 解密过程： 解密过程相对简单，对于需要 IV的加密算法，首先从 Payload Data指定位置取出 IV，然后解密 Payload Data， Padding， Pad len, Next Header 等域即可。 密钥交换和管理 VPN中无论是认证还是加密都需要秘密信息 ，因而密钥 的分发与 管理显得非常重要。 密钥的分发有两种方法：一种是通过手工配置的方式，另一种是采 用密钥交换协议动态分发。 手工配置的方法由于密钥更新困难，只适合于简单网络的情况。 密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高 VPN的安全性。 目前主要的密钥交换与管理标准有 IKE（ Inter Key Exchange） 、 SKIP（ Simple KeyManagement for Inter Protocol） 和 OAKLEY Key Determination Protocol。 Diffie_Hellman算法是当前使用最广泛的密钥交换体制。 现举 IPSec中的密钥交换协议 IKE的一种情况作简单介绍。 IPsec中的 密钥交换 协议 IKE 中基于数字签名认证的 MAIN 方式的简单过程 IKE协议支持采用数字签名的方式进行认证的密钥交换过程。 密钥交换的前提是双方都拥有一对不对称密钥对（ e,d） ,同时又都拥有对方的公钥 e。 首先双方协商密钥交换过程中将采用的算法：摘要算法 ,加解密算法，认证方法。 协商成功后，由交换发起方发送密钥信息和一个随机数，响应方作同样的操作。 IKE采用了 DiffieHellman算法来生成密钥信息，该算法可保证双方各出一半密钥信息来 建立一个共享的秘密，并且即使第三方取得了这两部分信息也难以计算出共享秘密。 第三步双方都向对方发送采用共享秘密衍生的密钥加密的一个数据报，数据报中有本方的标识和一个数字签名。 该数字签名采用如下方式生成，首先对本方前面所有发送的报文作出摘要，然后使用本方的私钥 d将摘要加密。 双方收到报文后用共享秘密解密，取得对方的标识，根据标识找到对方的公钥 e，利用已知公钥解密摘要信息。 根据收到的对方的报文计算出摘要与解密的摘要匹配，如果相同则说 TOPSEC VPN Solution White Book 安 全 推 进 应 用 13 明确实在与标识所指的对象进行密钥交换。 从而保证交换的密钥信息可以安全的使用，例如衍生 出后续使用的加密密钥，认证密钥等。 TOPSEC VPN Solution White Book 安 全 推 进 应 用 14 第二章 VPN 的实现设备和系统 网关 VPN（网络卫士 SJW11 网络密码机） 系统简介 系统组成  网络卫士 VPN(硬件 )：是一个基于安全的操作系统平台的自主版权的高级通信保护控制系统。 它是专用软、硬件设备，可具有多个网络接口，可安装于内联网内各局域网出口处或安装于内联网与公共网络接口处。  管理器 模块（ 软件 ） ：是一个安装于 网络密码机上的基于 WEB 方式的网络密码机管理系统软件。 它可以由内部网上的管理终 端通过一次性口令的安全认证方式后，使用浏览器建立与网络密码机之间的安全连接，通过浏览器管理员可根据安全保护策略来实现对网络密码机隧道的配置、管理与审计等功能。 此外系统还提供 SNMP简单网络管理协议 的代理软件 ，管理员还可以使用 天融信的 Topsec Manager、 HP的 OpenView 或者IBM 的 NetView 等网络管理工具对系统进行 状态监控。  基于串口的管理配置模块（软件） ： 是一个安装于网络密码机上的软件。 管理员可以通过串口来运行该软件对网络密码机系统进行基本网关信息的配置。 如接口的 IP 地址、子网地址、管理 员帐号的设置。 系统还提供了 SSH 安全登陆脚本服务，允许管理员远程对系统进行串口管理。  一次性口令管理员客户端模块（软件）： 是一个安装于 PC机、工作站或便携机上的一次性口令管理员客户端软件，可运行于 WIN9 WIN9 WIN20 WINDOWS NT环境下。 凡是需要对其进行身份认证的管理员都需要使用该软件。  Windows 远程 VPN 客户 端软件 （可选） ： 是一个安装于 Windows 等机器上的网络密码机客户端软件。 通过采用 IPSec 协议，可以保证远程终端之间、远程终端与网络密码机之间建立安全可靠的加密隧道。 该软件与上层应用无关，支持各种网络协议，可以与用户主机系统进行无缝的透明连接。 支持以太网和 Modem 远程拨号链路。 系统目前支持 WIN9 WIN20 WIN2020AS 操作系统。 系统规格参数  接口数量 a. 标准配置三 个 10/100BaseTX 接口 （可扩充至 12个） b. 一个 CONSOLE 口  接口规范 a. 网络接口： 10/100BaseTX b. CONSOLE 口： RS232C， DTE， 96008N1  电气性能 a. 电源： AC 110/220V 50/60HZ， (最大）， 260W(最大） b. 环境规范： 运行温度： 0 — 45℃（ 32 — 113℉） TOPSEC VPN Solution White Book 安 全 推 进 应 用 15 非运行温度： 20 — 65℃（ 4— 149℉） 相对湿度： 10 — 90%@40 ℃ ，非冷凝  MTBF 30000 小时  几何尺寸 430 300 （ 19 寸， 1U） 420 300 140mm（ 19 寸， 2U）  重量 （最大） （ 19 寸， 1U） 13KG（最大） （ 19 寸， 2U）  安全规范及标准 (相对参考 ) UL 1950 EN 41003 AS/NZS 3260 AS/NZS 3548 Class A CSA Class A FCC Class A EN 605552 VCCI(ClassII) 抗干扰性 IEC 1000 4 2(ESO) IEC 1000 4 3(辐射敏感性 ) IEC 1000 4 4(电快速瞬变 ) IEC 1000 4 5(电源 ) IEC 1000 3 2(谐波 ) VPN 网关中 IPsec 体系的实现 TOPSEC VPN Solution White Book 安 全 推 进 应 用。