运维人员课程体系_数据专业10.ppt

目标 掌握VPN技术的基本概念 了解VPN技术的优点 了解VPN的解决方案类型 掌握PPTP VPN的技术原理 掌握GRE VPN的技术原理 掌握L2TP VPN的技术原理 掌握IPsec VPN的技术原理 掌握SSL VPN的技术原理 了解IPsec和SSL的优缺点 掌握MPLS三层VPN的技术原理 掌握MPLS二层VPN的技术原理 10.1 IP VPN技术原理 10.1 IP VPN技术原理 10.1 IP VPN技术原理 10.1 IP VPN技术原理 10.1IP VPN技术原理 10.1 IP VPN技术原理 10.1 IP VPN技术原理 10.1 IP VPN技术原理 10.1 IP VPN技术原理 10.2 IPsec技术原理 10.2 IPsec技术原理 10.2 IPsec技术原理 10.3 SSL技术原理 10.3 SSL技术原理 10.3 SSL技术原理 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.4 MPLS三层VPN 10.5 MPLS二层VPN 10.5 MPLS二层VPN 10.5 MPLS二层VPN 10.5 MPLS二层VPN 10.5 MPLS二层VPN SSL技术概述 1．SSL的概念 安全套接层（Secure Socket Layer，SSL）是Netscape于1994年开发传输层安全协议，用于实现Web安全通信。 SSL的基本目标是实现两个应用实体之间安全可靠的通信。SSL协议分为两层，底层是SSL记录协议，运行在传输层协议TCP之上，用于封装各种上层协议。一种被封装的上层协议是SSL握手协议，由服务器和客户机用来进行身份认证，并且协商通信中使用的加密算法和密钥。 2．SSL的安全特性 SSL对应用层是独立的，这是它的优点，高层协议都可以透明地运行在SSL协议之上。SSL提供的安全连接具有以下特性： · 连接是保密的。用握手协议定义了对称密钥（例如DES、RC4等）之后，所有通信都被加密传送。 · 对等实体可以利用对称密钥算法（例如RSA、DSS等）相互认证。 · 连接是可靠的。报文传输期间利用安全散列函数（例如SHA、MD5等）进行数据完整性检验。 3．SSL的主要功能 SSL提供的主要功能包括： （1）SSL服务器鉴别 允许用户确认服务器身份。支持SSL协议的客户机软件能使用公钥密码标准技术检查服务器证书、公用ID是否有效和是否由在客户信任的CA列表内的认证机构发放。 （2）SSL客户机鉴别 允许服务器确认用户身份。使用应用于服务器鉴别的相同技术，支持SSL协议的服务器软件能检查客户证书、公用ID是否有效和是否由在服务器信任的鉴别机构列表内的CA发放。 （3）机密性 一个加密的SSL连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和由接收方软件解密，这样提供了高度机密性。 （4）完整性 所有通过加密SSL连接发送的数据都被一种检测篡改的机制所保护，这种机制自动地判断传输中的数据是否已经被更改。 SSL VPN技术原理 SSL／TLS在Web安全通信中被称：HTTPS。SSL／TLS 可以用在其他非web的应用(例如SMTP、LDAP、POP、IMAP和TELNET)中。在虚拟专用网中，SSL可以承载TCP通信，也可以承载UDP通信。由于SSL工作在传输层，所以SSL VPN的控制更加灵活，既可以对传输层进行访问控制，也可以对应用层进行访问控制。 SSL包含会话和连接状态、记录协议、改变密码协议、警告协议、握手协议、密钥交换算法等组成部分。 1.会话和连接状态 SSL会话有不同的状态。SSL握手协议负责调整客户机和服务器的会话状态，使其能够协调一致地进行操作。一个SSL会话可能包含多个安全连接，两个对等实体之间可以同时建立多个SSL会话。 SSL会话状态由下列成分决定：会话标识符、对方的x.509证书、数据压缩方法列表、密码列表、计算MAC的主密钥，以及用于说明是否可以启动另外一个会话的恢复标志。 SSL连接状念由下列成分决定：服务器和客户机的随机数序列、服务器／客户机的认证密钥、服务器／客户机的加/解密密钥、用于CBC加密的初始化矢量(IV)，以及发送／接收报文的顺序号等。 2．记录协议 SSL记录层首先把上层的数据划分成214字节的段，然后进行无损压缩(任选)、计算MAC并且进行加密，最后才发送出去。 3