虚拟专用网络VPN.ppt

SSL主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL与IPSec安全协议一样，也可提供加密和身份验证安全方法。SSL协议只对通信双方所进行的应用通道进行加密，而不是对从一个主机到另一主机的整个通道进行加密。因此绝大多数客户应用，是不必加密从一个系统到另一个系统的整个通道的，仅加密应用数据这一方案更显恰当。网络公司总部分支公司家庭用户移动用户路由器虚拟线路WAN线路工作站LAN线路服务器感谢下载*（2）外包VPN：企业把VPN服务外包给运营商，运营商根据企业的要求规划、设计、实施和运维客户的VPN业务。企业可以因此降低组建和运维VPN的费用，而运营商也可以因此开拓新的IP业务增值服务市场，获得更高的收益，并提高客户的保持力和忠诚度。目前的外包VPN划分为两种：基于网络的VPN和基于CE（用户边缘设备）的管理型VPN（ManagedVPN）。基于网络的VPN通常在运营商网络的呈现点（POP）安装电信级VPN交换设备。基于CE的管理型VPN业务是一种受信的第三方负责设计企业所希望的VPN解决方案，并代表企业进行管理，所使用的安全网关（防火墙、路由器等）位于用户一侧。六、按VPN业务层次模型划分根据ISP向用户提供的VPN服务工作在第几层来划分的（注意不是根据隧道协议工作在哪一层划分的）。（1）拨号VPN业务（VPDN）：这是第一种划分方式中的VPDN（事实上是按接入方式划分的，因为很难明确VPDN究竟属于哪一层）。（2）虚拟租用线（VLL）：这是对传统的租用线业务的仿真，用IP网络对租用线进行模拟，而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。（3）虚拟专用路由网（VPRN）业务：这是对第三层IP路由网络的一种仿真。可以把VPRN理解成第三层VPN技术。（4）虚拟专用局域网段（VPLS）：这是在IP广域网上仿真LAN的技术。可以把VPLS理解成一种第二层VPN技术。1.3VPN组件构成一个VPN的组件：（其实一个VPN的实施包含部分或全部的下列组件）验证封装方法数据加密数据包的完整性抗抵赖性应用程序和协议的支持地址管理密钥管理1.3.1验证设备用户一、设备验证设备验证允许用户基于远程VPN设备提供的验证信息来限制到你的网络的VP访问。两种验证方法：预共享密钥（常用于小型网络）缺点：管理复杂，增加新站点时，必须增加已经存在的密钥，在存在的站点上也须增加新站点的密钥。数字签名或证书（常用于大型网络）数字证书由一个共同机构，即证书颁发机构(CA)来集中管理，使得添加和清除VPN设备成为一个简单的过程。VPN设备可以访问证书颁发机构来确定其他设备的身份。本地不需存放其他设备的验证信息。缺点：初始建立和实施证书服务是费时的。二、用户验证使用用户验证，用户必须提供一个用户名和口令。这个口令可能是一个静态的口令或者是一次性的口令（通过使用令牌卡）。VPN可能执行设备验证和用户验证这两种验证。假设一个VPN中采用设备验证和用户验证两种方式，如某一员工丢失了他的笔记本，小偷就能使用存储在本地的验证信息，但此时还必须知道用户名和口令才能获取访问。使用令牌卡，小偷必须知道用户的用户名，才能访问用户的令牌卡，还需知道用户的PIN（个人识别号码）。1.3.2封装方法VPN必须定义的另外一个组件就是封装方法：用户信息，例如数据，是如何被封装并且在网络中传输的。1.3.3数据加密数据加密被用于解决窃听的问题。数据加密理论上是将用户数据和密钥值通过一个加密算法运行。产生看起来是随机字符串的字符。只有拥有相同密钥值的设备可以解密它。算法有：DES、3DES、AES、RSA、RC4等． Diffie-Hellman密钥交换算法(DH) Diffie-Hellman算法常用做密钥的分配并满足： b＝axmodpA和B信道上交换密钥算法：（1）A和B协商一个大素数p及p的本原根a，a和p可以公开；（2）A秘密产生一个随机数x，计算X=axmodp，然后把X发送给B；（3）B秘密产生一个随机数y，计算Y＝aymodp，然后把Y发送给A；（4）A计算k=Yxmodp；（5）B计算k’=Xymodp。 k和k’是恒等的，因为： k＝Yxmodp=(ay)xmodp=(ax)ymodp＝Xymodp＝k’（1）二者协商后决定采用素数p=353及其本原根a=3；（2）