第十三章 VPN技术.pptVIP

网络与信息安全 13.1 VPN的基本概念 利用公共网络来构建的私人专用网络称为虚拟私有网络。在公共网络上组建的VPN像企业现有的私有网络一样提供安全性、可靠性和可管理性等。 VPN实际上是一种服务，其基本概念如下所述： 采用加密和认证技术，利用公共通信网络实施的一部分来发送专用信息，为相互通信的节点建立起一个相对封闭的逻辑的专用网络； 通常用于大型组织跨地域的各个机构之间的联网信息交换，或是流动工作人员与总部之间的通信； 只允许特定利益集团内建立对等连接，保证在网络中传输的数据的保密性和安全性。 其中虚拟（virtual）的概念是相对传统专用网络的构建方式而用的，ＶＰＮ利用服务提供商（ＩＳＰ或ＮＳＰ）所提供的公共网络来实现远程的广域连接。 专用（private）的含义是用户可以为自己制定一个最符合自己需求的网络，使网内业务独立于网外的业务流，且具有独立的寻址空间和路由空间，而且使得用户获得等同于专用网络的通信体验。 13.2 VPN的类型 根据VPN所起的作用，可以将VPN分为三类：VPDN、Intranet VPN和Extranet VPN。 1 VPDN Virtual Private Dial Network） 在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN。实现过程如下：用户拨号NSP（网络服务提供商）的网络访问服务器NAS（Network Access Server），发出PPP连接请求，NAS收到呼叫后，在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动VPDN功能，与公司总部内部连接，访问其内部资源。 2 Intranet VPN 在公司远程分支机构的LAN和公司总部LAN之间的VPN。通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公司内部的资源共享、文件传递等。 3 Extranet VPN 在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN。 13.3 VPN的好处 实现了网络安全。 简化网络设计和管理。 降低成本。 容易扩展，适应性强。 可随意与合作伙伴联网。 完全控制主动权。 支持新兴应用。 13.4 IP VPN 的基本信息处理过程 内部网主机发送明文信息到连接公共网络的 VPN 设备。 VPN设备根据网络管理员设置的规则，确定是否需要对数据进行加密或让数据直接通过。 对需要加密的数据，VPN设备在网络IP层对整个IP数据包进行加密和附上数字签名。 VPN设备重新封装加密后数据（加上新的数据报头，包括目的地VPN设备所需的安全信息和一些初始化参数），然后将其通过虚拟通道在公共网络上传输。 当数据包到达目标VPN设备时，数据包被解除封装，数字签名被核对无误后数据包被解密还原。 13.4 IP VPN 的基本信息处理过程 13.5 VPN的主要技术 隧道技术（Tunneling）。 加解密技术（Encryption Decryption）。 密钥管理技术（Key Management）。 使用者与设备身份鉴别技术（Authentication）。 13.5 VPN的主要技术 1.密码技术 加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。 加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。网络层加密实现的最安全方法是在主机的端到端进行。另一个选择是“隧道模式”：加密只在路由器中进行，而终端与第一跳路由之间不加密。终端到终端的加密方案中，VPN安全粒度达到个人终端系统的标准；而“隧道模式”方案，VPN安全粒度只达到子网标准。在链路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件。 13.5 VPN的主要技术 2.身份认证技术 VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。 13.5 VPN的主要技术 3.隧道技术 隧道技术是VPN的基本技术，类似于点对点连接技术，它是在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧（此字不正确）或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。 13.