《信息安全--第11讲 网络安全技术》-(课件).ppt

网络安全技术 加密技术 IPSec通过ISAKMP/IKE/Oakley 协商确定几种可选的数据加密算法，如DES 、3DES等。DES密钥长度为56位，容易被破译，3DES使用三重加密增加了安全性。 当然国外还有更好的加密算法，但国外禁止出口高位加密算法。基于同样理由，国内也禁止重要部门使用国外算法。国内算法不对外公开，被破解的可能性极小。 §11.3 VPN技术 网络安全技术 认证技术 防止数据的伪造和被篡改， 它采用一种称为“摘要”的技术。“摘要”技术主要采用Hash函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于Hash 函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN 中有两个用途：验证数据的完整性、用户认证。 §11.3 VPN技术 网络安全技术 密钥交换和管理 VPN 中密钥的分发与管理非常重要。密钥的分发有两种方法：一种是通过手工配置的方式；另一种采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难，只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络的情况且密钥可快速更新，可以显著提高VPN 的安全性。 目前主要的密钥交换与管理标准有IKE （互联网密钥交换）、SKIP （互联网简单密钥管理）和Oakley。 §11.3 VPN技术 网络安全技术 VPN的应用特点 非常明显的应用优势，其产品引起企业用户的普遍关注 软件平台VPN，专用硬件平台VPN及集成到网络设备的VPN不断推出，技术推陈出新，满足不同用户应用需求 VPN的应用优势 节约成本 提供了安全保障 易于扩展 VPN的不足 安全问题（安全边界的扩展、密钥管理、身份认证） 解决方案（完善的加密和认证机制并配合防火墙） §11.3 VPN技术 网络安全技术 二、VPN的隧道技术 隧道技术是VPN技术的核心，加密和身份认证等安全技术都需要与隧道技术相结合来实现。 目前主流的隧道协议包括了在数据链路层的PPTP、L2TP协议；在网络层的IPSec协议；在TCP层的SOCKs v5协议；在会话层的SSL协议。 §11.3 VPN技术 网络安全技术 1、PPTP协议 Point to Point Tunneling Protocol，点到点隧道协议 Microsoft、Ascend、3Com 在PPP协议的基础上开发 加密认证：RC4，PAP/CHAP 隧道维护：使用TCP协议进行隧道维护（建立、拆除） 封装形式： PPP 帧可承载上层VPN 中多种类型的网络层协议，提供加密和压缩功能 使用通用路由封装协议（GRE）封装PPP 帧 GRE 封装在IP 分组中传输 §11.3 VPN技术 网络安全技术 1、PPTP协议 PPTP 是PPP 协议的一种扩展 用于建立Access VPN 工作过程 远程用户通过某种方式连接到Internet 用户可能采用PPP 协议通过本地ISP上网 远程用户希望访问某VPN 中的资源 通过二次拨号，建立到VPN PPTP 服务器的PPP连接 即PPTP 隧道，在IP 公网上建立的一个PPP 连接 PPTP 隧道建立类似PPP 连接的建立，需验证用户身份 隧道建立后，远程用户访问VPN 有安全保障 §11.3 VPN技术 网络安全技术 2、L2F协议 Layer 2 Forwarding，第二层转发协议 Cisco 可以在多种媒质如 ATM、帧中继、IP 网上建立多协议的安全VPN 通信方式 隧道的配置、建立对用户是完全透明的 主要缺陷：没有把标准的加密方法包括在协议的定义中 §11.3 VPN技术 网络安全技术 3、L2TP协议 Layer 2 Tunneling Protocol，第二层 隧道协议 MS，Ascend，Cisco，3COM，Bay 以 PPTP和L2F为基础，结合了两者的特点 隧道控制沿用PPTP的思想，使用UDP 协议和一系列L2TP 控制报文进行隧道维护 认证过程沿袭了L2F协议 模块化，采用独立的L2TP报头记录控制信息 传输上使用UDP来封装和传输隧道中的PPP 帧 支持承载多种网络协议 §11.3 VPN技术 网络安全技术 3、L2TP协议 L2TP 的通信建立过程 用户通过公共电话网或ISDN拨号至本地的接入服务器LAC(L2TP Access Concentrator) ，LAC接收呼叫并进行基本的访问控制 当用户被确认为合法企业用户后，LAC就会建立一个通向LNS(L2TP Network Server)的拨号VPN隧道 通过企业内部的安全服务器鉴定拨号用户 LNS与远程用户交换PPP信息，分配IP地址 端到端的数据从拨号用户传到LNS §11.3 VPN技术 网络安全技术 PPTP 与L2TP的对比 P