大连理工大学(城市学院)网络安全技术期末知识点第八章.docVIP

第八章：VPN技术 什么是虚拟专用网？ 随着企业网应用的不断扩大，企业网的范围也不断扩大，从本地到跨地区、跨城市，甚至是跨国家的网络。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。同时公众信息网(Internet)已遍布各地，物理上各地的公众信息网都是连通的，但公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上存在着很多问题。那么，该如何利用现有的公众信息网建立安全的企业专有网络呢？为了解决上述问题，人们提出了虚拟专用网(VPN，Virtual Private Network)的概念。 为什么要VPN 资源访问限制于某些IP地址 通过防火墙不能访问资源 内部人员需要在外面访问内部网络 雇员可能在外地，需要访问内部网络 专有网太贵 外地的雇员也可能不是定点的 基本功能 （1）保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认(IPSpoofing)的能力。 （2）保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子篡改数据的能力。 （3）保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 （4）提供动态密钥交换功能，提供密钥中心管理服务器，必须具备防止数据重演的功能，保证通道不能被重演。 （5）提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制。 商业优势 VPN业务的开展将为企业节省长途专线租用成本的20%～47% ,节省远程拨号费用的60%～80%。 根据Infonet Research Inc.Sanuose 的统计报告发现：在北美，VPN产品、系统集成和服务的市场以每年超过100%的增长率发展，从1997年的2.05亿美元到2001年的119亿美元。 VPN的基本概念 VPN技术是指在公共网络中建立专用网络，数据通过安全的“加密管道”在公共网络中传播。 建立VPN所需的安全技术 VPN主要采用四项技术来保证安全，这四项技术分别为 隧道技术 加解密技术 密钥管理技术 认证技术 隧道与加密 隧道技术 是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。 通过隧道的建立，可实现： ①将数据流强制送到特定的地址 ②隐藏私有的网络地址 ③在IP网上传递非IP数据包 ④提供数据安全支持 第二层隧道技术： PPTP(点到点隧道协议) ------Microsoft corp. L2TP(第二层隧道协议) ------Microsoft corp. Cisco corp. 便于远程拨号用户与企业网关之间建立VPN隧道，协议成熟，但安全强度和灵活性有欠缺。 第三层隧道技术 IPSec protocol suite 业界发展趋势，扩展性好，安全强度高。 IPSec的好处 ? 在防火墙或路由器中实现时，可以对所有跨越周界 的流量实施强安全性。而公司内部或工作组不必招 致与安全相关处理的负担。 ? 在防火墙中实现IPSec可以防止IP旁路。 ? IPSec是在传输层(TCP,UDP)之下，因此对应用透 明。不必改变用户或服务器系统上的软件。 ? IPSec可以对最终用户透明。无须训练用户。 ? 需要时IPSec可以提供个人安全性。这对非现场工 作人员以及在一个组织内为一个敏感应用建立一个 安全的虚拟子网是有用的。 第三层隧道协议IPSec 协议套件 可在主机之间、安全网关之间、主机和安全网关之间搭建起安全的可信任的通信隧道。 协议套件中，包括两种具体的封装处理协议：封装安全载荷（ESP）和验证头（AH）。 与密钥管理协议IKE协同工作。 基于IPSec协议的VPN体系结构 密钥分发和管理 VPN中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN的安全性。 身份认证技术 认证技术防止数据的伪造和被篡改，它采用一种称为“摘要”的技术。“摘要”技术主要采用HASH 函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH 函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途：验证数据的完整性、用户认证。 VPN的分类 根据不同的需要，可以构造不同类型的VPN。不同商业环境对VPN的要求和VPN所起的作用不同。这里分三种情况说明V