第8章 安全通信协议.ppt

目前，网络面临着各种威胁，其中包括保密数据的泄露、数据完整性的破坏、身份伪装、拒绝服务等。 安全协议是以密码学为基础的消息交换协议，目的是提供网络环境中各种安全服务。 网络安全不仅要依靠密码算法，还要通过安全协议进行实体之间的认证、在实体之间安全分配密钥、确认发送和接收的消息。 信息安全技术与应用 VPN的基本概念 VPN的功能 通过隧道或者虚电路实现网络互连。 支持用戶对网络的管理，其中包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等。 允许管理员对网络进行监控和故障诊断。 信息安全技术与应用 VPN的基本概念 适合VPN的场合 位置众多，特别是单个用户和远程办公站点较多。 用户或者站点分布范围广，彼此之间的距离远，遍布世界各地。 带宽和时延要求不是很高。 不适合VPN的场合 不管价格多少，网络性能都被放在第一位的情况。 采用不常见的协议、不能在IP隧道中传送应用的情况。 大多数应用是语音或视频类的实时通信。 信息安全技术与应用 VPN的优缺点 优点 省钱：用VPN组网，可以不租用电信专线线路，节省了电话费的开支。 选择灵活、速度快：用戶可以选择多种Internet连接技术，而且对于带宽可以按需定制。 安全性好：VPN的认证机制可以更好地保证用户数据的私密性和完整性。 实现投资的保护：VPN技术的应用可以建立在用戶现有防火牆的基础上，用戶正在使用的应用程序也不受影响。 缺点 相对专线而言，VPN不可靠。带宽和时延不稳定。对于实时性很强的应用不适合使用VPN。比如网络间断10min，企业信息系统就会瘫痪的网络。 相对专线而言，VPN不安全。由于Internet上鱼龙混杂，它的安全性不如物理专用网络。 用VPN组网以后，企业内部网范围扩大了，会出现比较多的管理问题。 信息安全技术与应用 VPN的技术 隧道技术 在VPN中，原始数据包在A地进行封装，到达B地后将封装去掉还原成原始数据包，这样就形成了一条由A到B的通信隧道。隧道技术包含数据包的封装、传输和拆封在内的全过程。 对于不同的信息来源，可以分别给它们开出不同的隧道，这样对于兼容性、不同的服务质量要求、以及其他的问题都迎刃而解。 信息安全技术与应用 VPN的技术 数据加密 数据加密技术是实现网络安全的最有效的技术之一，已经成为所有数据通信安全的基石。在多数情况下，数据加密是保证信息机密性的唯一方法。 身份认证 身份认证用于保证系统中的数据只能被有权限的“人”访问，未经授权的“人”无法访问数据。如果没有有效的身份认证手段，访问者的身份就很容易被伪造，使得任何安全防范体系都形同虚设。 数据认证 数据认证用来防止数据被篡改。比如数据发送端使用MD5算法计算数据包特征，并将特征码附在数据包后面。当数据包到达目的，被还原以后，目的主机也要使用MD5算法进行计算，并要与发送端计算的该字段值比较，看看是否匹配。通过这种方法可以证明数据在传输过程中是否被篡改。 信息安全技术与应用 VPN的技术 QoS技术 通过隧道技术和加密技术，能够建立起一个具有安全性、互操作性的VPN。但是如果该VPN的性能不稳定，将不能满足用户的要求，这就需要加入QoS技术。通过QoS机制对用户的网络资源分配进行控制，以达到满足应用的需求。不同的应用对网络通信有不同的要求。 访问控制技术 访问控制技术可对出入Internet的数据包进行过滤，是传统防火墙的功能。由于防火墙和VPN均处于Internet出口处，在网络中的位置基本相同，而其功能具有很强的互补性，因此一个完整的VPN产品应同时提供完善的访问控制功能，这可以在系统的性能、安全性以及统一管理上带来一系列的好处。 信息安全技术与应用 VPN的协议 VPN使用隧道技术实现公网中传输私有数据。为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。隧道协议分别以OSI参考模型的第2层或第3层隧道协议为基础。第2层隧道协议是先把数据封装在点对点协议（point to point protocol，PPP）帧中再把整个数据包装入隧道协议。采用这种双层封装方法形成的数据包靠第2层协议进行传输。第3层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第3层协议进行传输。它们的本质区别在于用户的数据包是被封装在哪种数据分组中并在隧道中传输。 需要注意的是，无论采用何种隧道技术，一旦进行加密或验证，都会对系统的性能造成影响。密码算法需要消耗大量的处理器时间，而且大多数密码算法还有一个建立准备过程，所以在选择安全性时必须选择高性能的设备。 信息安全技术与应用 VPN的协议 点对点隧道协议 1996年，Microsoft和Ascend等公司在PPP的基础上开发了点对点隧道协议（point to point tunnel pr