密码学与信息安全技术 第8章 虚拟专用网.pptVIP

第8章 虚拟专用网 8.1 虚拟专用网的概念； 8.2 网络层虚拟专用网（IPSec） 8.3 虚拟专用网的安全性 8.1 虚拟专用网的概念 VPN全称Virtual Private Network，是通过公共网络将物理分布在不同地点的网络构建成逻辑上的私人专用网络。用于构建VPN的公共网络包括Internet、帧中继、ATM等。VPN像传统的私有网络一样，通过鉴别、访问控制、保密性、完整性等措施，可以实现安全、可靠的网络服务。 由上图可以看出，企业内部资源可以通过VPN实现异地专线通信。此时，企业内部资源享用者只需联入本地ISP，即可互相通信。而利用传统的WAN组建技术，彼此之间需要专线连接才能够实现通信。有了虚拟专用网，与企业异地的员工和客户只需拥有本地ISP的上网权限就可以访问企业内部资源。 虚拟专用网是一种连接，从表面看它类似于一种专用网连接，但实际上是共享网络实现。它通常使用一种被称为“隧道”的技术，数据包在公共网络上的专用“隧道”内传输。专用“隧道”用于建立点对点的连接。 隧道技术 VPN技术中的隧道是由隧道协议形成的, 隧道协议用来建立通过Internet的安全的点到点传输。隧道技术通过对数据进行封装，在公共网络上建立一条数据隧道，让数据报通过这条隧道传输，隧道是由隧道协议形成的，常用的有第二、三层隧道协议。 密码技术 当数据包传递时, 加密技术用来隐藏数据包。如果数据包要通过不安全的Internet , 那么即使已建立了用户认证, VPN 也不完全是安全的。因为如果没有加密的话, 普通的嗅探技术也能捕获、甚至更改信息流。所以在隧道的发送端, 认证用户要先加密, 再传送数据; 在接收端, 认证用户接收后再解密。 密钥管理技术 在VPN应用中密码的分发和管理非常重要，其主要任务是如何在公用数据网上安全地传递密钥而不被窃取。目前主要的密钥交换与管理标准有SKIP（Simple Key Management for IP）和ISAKMP（Internet Security Association And Key Management Protocol）/Okaley。SKIP主要利用Diffie-Hellman算法在网络上传输密钥。在ISAKMP/Okaley中，Okaley定义了如何辨认机确认密钥，ISAKMP定义分配密钥的方法。 身份认证技术 在正式的隧道连接开始时需要确认用户身份，以便系统进一步实施资源访问控制或用户授权。目前采用较多的是基于PKI体系的身份认证。 8.2 网络层虚拟专用网（IPSec） IPSec(IP Security)是IETF(Internet Engineering Task Force,因特网网络工程部) IPSec工作组为了在IP层提供通信安全而指定的一套协议簇，是一个应用广泛、开放的VPN( virtual private network, 虚拟专用网) 安全协议。 通过在IP层实现安全性，一个组织不仅可以为具有安全机制的应用提供安全的联网，而且可以为那些没有考虑安全性的应用提供安全的联网。 IP层的安全包含了三个功能域：鉴别、机密性和密钥管理。 鉴别机制保证收到的分组确实是由在分组首部的源地址字段声明的实体传输过来的；另外，这个机制还能保证分组在传输过程中没有被修改。 机密性机制使得通信结点可以对报文加密以防第三方窃听报文。 密钥管理机制是处理密钥的安全交换的。 IPSec提供了如何使敏感数据在开放的网络（如Internet）中传输的安全机制。 IPSec工作在网络层，在参加IPSec的设备（如路由器）之间为数据的传输提供保护，主要是对数据的加密和数据收发方的鉴别。 IPSec不是某种特殊的加密算法或认证算法。 它是一个开放的结构，定义在IP数据包格式中，为目前流行的数据加密或认证的实现提供了数据结构，为这些算法的实现提供了统一的体系结构，这有利于数据安全方面的措施进一步发展和标准化。 同时，不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。 IPSec提供了在局域网、专用和公用的广域网(WAN)和Internet上安全通信的能力。使用IPSec的例子如： Internet上分支办公室的安全连接：一个公司可以在Internet或者公用广域网上建立安全的虚拟专用网络，这可以使得企业依赖Internet而减少它构造专用网络的需求，节省了费用和网络管理的负担。 与合作者之间建立企业内部和外部的连接：IPSec可以用于与其他组织之间的安全通信，保证鉴别和机密性，并且提供密钥交换机制。 增强电子商务的安全性：尽管一些电子商务应用已经有了内置的安全协议，使用IPSec可以增加其安全性。 一个