第5章 网络安全通信20101110.ppt

信息安全原理与技术  第 5 章 网络安全通信 5.1 虚拟专用网 5.1.1 VPN概述 5.1.2 VPN的实现技术 5.1.3 VPN的隧道协议 5.1.4 MPLS VPN技术 5.1.5 VPN应用解决方案 5.2 无线通信安全 5.2.1 无线通信的威胁与防范对策 5.2.2 无线通信的安全机制 5.2.3 无线VPN技术 5.3 网络攻击与防范 5.3.1 网络攻击概念及攻击者简介 5.3.2 网络攻击的目的与步骤 5.3.3 常见的网络攻击与防范方法 第 5 章 网络安全通信 5.4 计算机病毒及防治 5.4.1 计算机病毒概述 5.4.2 计算机病毒原理 5.4.3 计算机病毒防治技术 5.4.4 计算机病毒防范策略 5.4.5 防病毒过滤网关系统 5.1 虚拟专用网 虚拟专用网(Virtual Private Network，简称VPN)指的是在公用网络（Internet）上建立专用网络的技术。虚拟专用网是实现安全传输的重要手段之一，利用它可以在远程用户、公司分支机构、商业合作伙伴与公司的内部网之间建立可信的安全连接，并保护数据的安全传输。同时，通过VPN技术企业不用花费高昂的长途线路租用费，节省了费用。 5.1.1 VPN概述 VPN是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公共网络中建立专用的数据通信网络的技术。 所谓虚拟，是指用户不再需要拥有实际的长途线路，而是使用Internet公众数据网络的长途数据网络。 所谓专用网，是指用户可以为自己制定一个最符合自己需求的网络。 VPN对用户来说是透明的，用户好像使用一条专用线路在客户计算机和企业服务器之间建立起点对点的连接，进行数据传输。 2．VPN的分类 远程访问虚拟网（Access VPN）。又称为拨号VPN，是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。Access VPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。 2．VPN的分类（续） 企业内部虚拟网（Intranet VPN）。即企业的总部与分支机构通过VPN虚拟网进行网络连接。 Intranet VPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。 2．VPN的分类（续） 企业扩展虚拟网（Extranet VPN）。即不同企业网通过公网来构筑的虚拟网。该类型的VPN与Intranet VPN没有本质的区别，但它涉及的是不同公司的网络间的通信，所以它要更多地考虑设备的互联、地址的协调、安全策略的协商等问题。 3．VPN的作用与特点 VPN有以下特点： 费用低 灵活性大 易于管理维护 一个VPN至少要提供数据加密、信息认证和身份认证以及访问权限控制等功能。 5.1.2 VPN的实现技术 1．密码技术 VPN利用Internet的基础设施传输企业私有的信息，因此传递的数据必须经过加密，从而确保网络上未授权的用户无法读取该信息，因此可以说密码技术是实现VPN的关键核心技术之一。 对称密钥加密。对称密钥加密的优点是运算量小、速度快，适合于加密大量数据的情况；缺点是密钥的管理比较复杂。 非对称密钥加密。其速度较慢，适合加密大量数据的情况，而是经常用于关键数据的加密。 1．密码技术（续） 密钥管理技术 在VPN应用中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式，另一种是采用密钥交换协议动态分发。 手工配置的方法只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，保证密钥在公共网络上安全地传输而不被窃取，适合于复杂网络的情况，而且密钥可快速更新，可以显著提高VPN应用的安全性。 2．身份认证技术 VPN需要解决的首要问题就是网络上用户与设备的身份认证，如果没有一个万无一失的身份认证方案，不管其他安全设施有多严密，整个VPN的功能都将失效。 从技术上说，身份认证基本上可以分为两类；非PKI体系和PKI体系的身份认证。非PKI体系的身份认证基本上采用的是UID+PASSWORD模式。PKI体系目前常用的方法是依赖于 CA（Certificate Authority，数字证书签发中心）所签发的符合 X 509规范的标准数字证书。 3．隧道技术 VPN的核心是被称为“隧道”的技术。隧道技术是一种通过使用互联网的基础设施在网络之间传