VPN技术原理培训研讨.ppt

VPN原理简介 VPN技术分类 基于运营商的VPN MPLS VPN 基于用户设备的VPN PPTP/L2TP/IPSEC VPN 基于浏览器的VPN SSL VPN MPLS VPN 缺点: 对运营商初始投入巨大 线路路租用费昂贵 只能针对专线用户,不支持移动用户 对数据不加密，只隔离，安全性比较差 优点 Qos性能好，流量和时延可控，适合视频/语音应用 性能高 应用对用户透明 由运营商维护和管理 PPTP/L2TP VPN 缺点: 第一代VPN,技术没有延续性 扩展性差,没有内在的安全机制 加密强度不够,无认证机制,安全程度低 只能实现点对网络访问,网--网互访无法做到 最多只能连接255个用户 将会在未来IPv6时代被淘汰 优点: 内置于Windows系统中,简单易行 广泛被电信采用于VPDN方案 SSL VPN 缺点: 无法实现“网络－网络”的安全互联 应用层加密，性能比较差 需要CA的支持,企业必须自己管理CA系统 优点: 对比IPSec VPN，认证方式更为灵活（口令、RADIUS、令牌等）； 基于web的VPN连接,简单易行 IPSEC VPN 主流的VPN技术 能实现网对网互连以及移动接入互连 对绝大多数应用透明 硬件实现,性能高 国际加密标准+国内密码算法,安全性高 基于Internet,构架时没有地域限制 配置相对复杂 管理需要成本 密钥体系 对称密钥(单密钥)交换体系 3DES/AES/国产加密标准 128位加密算法,破解非常困难 密码只有6个小时有效期,即使破解也无用 非对称密钥(公钥)交换体系(IKE) 解密的钥匙(私钥)不外泻,无法被窃取和破解 使用国际标准的RSA加密协议(D-H运算) VPN处理流程 IPSEC VPN原理 IPSEC VPN特性 节点对节点互连(Node To Node) 只负责网络的安全互连,不负责用户权限分配(不同于SSL VPN) 完全对等的互连网络,不能阻挡内网攻击(所以我们自带防火墙) 对上层应用完全透明 基于IP的VPN,不干涉上层应用 对IP上层的信息完全加密,使黑客攻击无从下手 只能运行于基于IP的网络 对复杂网络环境进行了优化,适合IP资源短缺的国内现状 如要在SDH(同轴电缆)、ATM(光纤)等其他网络上运行,需要转换IP的转换器 MPLS等网络有自己的VPN IP封装的建立过程 Internet密钥交换(IKE)简介 IKE(Internet Key Exchange)互联网密钥交换 IKE用于IPSEC的前期预协商,IKE协商后才能开始IPSEC协商 IKE用于认证密钥,确认双方身份 IKE用于认证VPN设备 IPSEC用于加密数据,认证信息 IKE交互过程 快速模式交换 网关工作原理 * * 如果说互联网是城市里四通八达的大马路,那么VPN就是腾空架在这些马路上的高速公路,所以从某个意义上说,VPN和专线非常类似 VPN（Virtual Private Network）是指通过综合利用访问控制技术和加密技术，并通过一定的密钥管理机制，在公共网络中建立起安全的“专用”网络，保证数据在 “加密隧道”中进行安全传输的技术。 合作伙伴/客户 公司总部 办事处/SOHO 互联网络 VPN通道 VPN设备 VPN设备 VPN设备 VPN client DDN ADSL VPN概念 网络层 物理层 数据链路层 传输层 会晤层 表示层 应用层 网络层 物理层 数据链路层 传输层 会晤层 表示层 应用层 网络层攻击 数据链路攻击 应用层攻击 VPN(Ipsec IKE) 信道加密 PPTP,L2TP,MPLS SSL SSL 安全协议 基于OSI参考模型的IPSEC VPN技术 接受方(A) 发送方(B) 私钥 公钥 公钥传输 接受方(A) 发送方(B) 密文 密钥 密钥 公钥 数据 密文传输 数据 公钥 数据 数据 密文传输 接受方 数据 HASH 摘要 密码 发送端私钥 接受端公钥 加密密码 签名 数据 3DES加密 密文 发送方 签名 接受端私钥 发送端公钥 密码 摘要 密文 数据 3DES解密 HASH 摘要 比对 ①完整性得到验证 ②不可抵赖性得到验证 ③私密性得到验证 认证中心(CA) 传统的基于“预共享密钥”的通讯模式 左边的6个VPN设备相互通讯，需要约定15个密钥；建设N个节点相互通讯，需要N*(N-1)/2个密钥 基于“数字证书”的通讯模式（适合大规模VPN设备互联模式） CA：（certificate authority）作为电子商务交易中受信任的第３方，承担数字证书的签发和验证。 －－网络上的公安局； 数字证书：网络通讯中标志通讯各方身份信息的一系列数据，由CA机构颁发和验证。－－网络上的身份证； 基于