昆明理工大学 付湘琼《操作系统》网络安全2.pptVIP

学习目标 本章重点 安全的基本概念 密码的基本理论 各种安全措施 虚拟专用网简介 虚拟专用网Virtual Private Network (VPN)是利用现有的不安全的公共网络环境，构建的具有安全性、独占性、自成一体的虚拟网络。它实际上是一个在互联网等公用网络上的一些节点的集合。这些节点之间采用了专用加密和认证技术来相互通信，好像用专线连接起来一样。 虚拟专用网可以在两个异地子网之间建立安全的通道。 能够将物理分布在不同地点的网络通过公用广域网连接成逻辑上的虚拟子网。 采用了鉴别、访问控制、保密性、完整性等措施，防止信息被泄漏纂改和复制。 VPN的特点 安全保障 服务质量保证(QOS) 可扩充性和灵活性 可管理性 VPN网络模型 VPN网络的参考模型 虚拟租用线路(VLL)：最简单VPN，用户使用点到点的连接两个CPE设备 虚拟专用路由网络(VPRN)：通过公用IP进行VPN仿真，与其他VPN的区别在于数据包是在网络层进行转发的 虚拟专用拨号网(VPDN)：允许远端用户按需接入另一个网络的某个站点。 虚拟专用LAN片断(VPLS)：利用公共IP资源进行局域网仿真的一种模型，这种模型与VPRN的区别在于它是在每个边缘节点实现链路层桥接。 VPN的分类 按VPN的部署模式分类： 端到端(End-to-End) 运营商－企业 内部运营商 按VPN的服务类型分类： Intranet VPN Access VPN Extranet VPN 按VPN的技术分类： 基于链路层的二层隧道技术 基于网络层的三层隧道技术 基于高层协议实现的VPN三种技术 VPN使用的安全技术 穿隧技术(Tunneling)； PPTP、L2TP、IPSec 加解密技术(Encryption Decryption) Symmetric、Asymmetric cryptography 密钥管理技术(Key management) SKIP、IKE 使用者与设备身份验证技术(Authentication) PAP、CHAP、X.509 隧道技术 为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联（OSI）的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层，使用桢作为数据交换单位。PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IP over IP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送。 VPN的解决方案 解决方案对应着VPN的3种服务类型： Access VPN：企业的内部人员移动或有远程办公的需要，或者商家提供B2C的安全访问服务。 Intranet VPN：企业内部各分支机构互连 Extranet VPN：提供B2B之间的安全访问，它通过使用专用连接的共享基础设施，将客户，供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。 SHHTP 问题的提出：明文HTTP基于Web的交易使用标准的Web协议和标准的信用卡来完成支付，网络分析员有机会获得明文，得到帐单信息。 安全的HTTP( Security HTTP ) 是HTTP协议的扩展，目的是保证商业贸易的传输安全，由于SSL的迅速出现，SHTTP未能获得广泛的应用。因为SHTTP是HTTP的子集，只限于HTTP协议。 安全电子事务SET协议 SET( Secure electronic transactions ) 是一个安全协议和格式的集合，使客户可以以一种安全的方式，将已经存在的信用卡支付基础设施配置在开放网络上。 为在因特网上使用信用卡业务专门设计. 在交易的三方间提供安全服务: 客户 商家 商家的结算银行 三方都必须具备证书. SET 定义了各类证书的法律含义. 划清各方的责任界限 安全电子事务SET协议 SET提供的服务： 在交易设计的各方之间提供安全的通信信道 通过使用X.509数字证书来提供信任 保证机密性 SET的关键特征： 信息的机密性 数据的完整性 卡用户帐号的鉴别 商人的鉴别 SET交易过程（1） 假设Bob想通过因特网和SET从Alice Co购物 Bob向Alice表明他需要进行信用卡购物 Alice向Bob发送发货清单和惟一的交易标识符 Alice向Bob发送商业证书和商家公钥。Alice还要发她的银行证书和银行的公钥。两个证书都用CA的私钥加密 Bob用CA的公钥对两个证书解密。Bob现在有了Alice Co.和银行的公钥 S