第六章网络通信安全.pptVIP

第6章 网络通信安全 6.1 概述 网络通信安全 链路层安全机制:PPTP、L2F、L2TP 网络层安全机制:IPSec 传输层安全机制:SSL 应用层安全机制:Http、S/MIME、SET 基本安全服务 身份认证、数据保密性、数据完整性 VPN应用背景 远程用户的访问 企业内部两个局域网的互连 远程可信任网络的互连 VPN技术原理 是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，这里的公用网主要指Internet。 为了保障信息在Internet上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，以保证了信息在传输中不被偷看、篡改、复制。 由于使用Internet进行传输，相对于租用专线来说，费用极为低廉。所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。 VPN关键技术 隧道技术 第二层隧道：PPTP，L2F，L2TP 第三层隧道：IPSec VPN的密码技术 加解密，身份认证，密钥管理 满足：机密性，完整性，可认证性，不可否认性。 VPN的QoS机制 带宽，反应时间，抖动，丢包率 VPN的实现 Client – LAN（Access VPN） VPN的实现 LAN - LAN VPN的分类 根据作用分 Vitural Private Dial Network Intranet VPN Extranet VPN VPN的分类 根据隧道封装协议及协议所在层次 第二层VPN L2F/L2TP，PPTP 第三层VPN GRE，IPSec 其他VPN MPLS，SOCKS 5，SSL VPN的分类 根据拓扑分 基于网络的VPN 隧道两端是通信服务商提供的设备 基于用户边缘的VPN 隧道两端是用户提供的设备 6.2 链路层安全 更接近于传统专用网络 包括： 虚拟网络连接 多个VPN共享同一个网络基础设施，但彼此不可见。 虚拟路由器 对经过路由器本身的数据进行标记，以便将数据分组，与正确的VPN路由器的路由表进行匹配。 链路层隧道 基于远程拨号接入的隧道协议 基于多协议标签交换的隧道技术 建立隧道需要：认证技术和加密技术 拨号隧道技术 PPTP（Point to Point Tunneling Protocol） 微软设计 定义了一种PPP分组的封装机制，通过使用扩展的通用路由封装协议（GRE）进行封装，使PPP分组在IP网络上传输。 拨号隧道技术 PPTP（Point to Point Tunneling Protocol） 在接入Internet的基础上，客户通过拨号建立到PPTP服务器的连接，该连接称为PPTP隧道。 实质上是基于IP协议上的另一个PPP连接。 其中的IP包可以封装多种协议数据，包括TCP/IP、IPX和NetBEUI。 PPTP 采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安 全性。 PPTP把建立隧道的主动权交给了用户，但用户需要在其PC机上配置PPTP，这样做既增加 了用户的工作量又会造成网络安全隐患。另外PPTP只支持IP作为传输协议。 拨号隧道技术 封装方法 PPP帧的封装 将初始PPP帧的有效载荷加密、添加PPP报头，封装成PPP帧。PPP帧再添加GRE报头，形成GRE报文。 GRE报文的封装 GRE报文外再添加IP报头 数据链路层封装 拨号隧道技术 L2F（Lay 2 Forwarding） 由Cisco公司提出的可以在多种介质如ATM、帧中继、IP网上建立多协议的VPN的通信方式。 术语 NAS (Network Access Server) HGW (Home Gateway) 封装和传输 链路层封装PPP分组或SLIP分组 拨号隧道技术 L2F（Lay 2 Forwarding） L2F远端用户能够通过任何拨号方式接入公共IP网络。 首先，按常规方式拨号到ISP的接人服务器（NAS），建立PPP连接； NAS根据用户名等信息发起第二次连接，呼叫用户网络的服务器。这种方式下，隧道的配置和建立对用户是完全透明的。 L2F允许拨号服务器发送PPP帧，并通过WAN连接到L2F服务器。 L2F服务器将包去封装后，把它们接入到企业自己的网络中。 与PPTP和PPP所不同的是，L2F没有定义客户。 主要缺陷是没有把标准加密方法包括在内，因此基本上已经成为一个过时的隧道协议。 拨号隧道技术 L2F（Lay 2 Forwarding） 拨号隧道技术 L2TP 结合了L2F和PPTP的优点，可以让用户从客户端或接入服务器端发起VPN连接。 定义了利用公共网络设施封装传输链路层PPP帧的方法。 支持多种协议，用户可以保留原来的IPX、AppleTalk等协议或企业原有的IP地址，企业