VPN技术的原理与应用课件.ppt

1、9第9章VPN技术的原理与应用第9章VPN技术的原理与应用 9.1 VPN概况概况 9.2 VPN相关技术相关技术 9.3 VPN典型应用典型应用 9.4 本章小结本章小结 本章思考与练习本章思考与练习 9第9章VPN技术的原理与应用9.1 VPN概况概况 9.1.1 9.1.1 VPNVPN概念概念VPN是英文的Virtual Private Network的缩写，中文翻译为“虚拟专用网”，其基本技术原理是把需要经过公共网传递的报文(packet)做加密处理后，再由公共网络发送到目的地，如图9-1所示。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道，经过VPN传输的数据在公共

2、网上具有保密性。9第9章VPN技术的原理与应用图9-1 VPN原理示意图 非可信外部公网VPN网络 AVPN网络 B9第9章VPN技术的原理与应用9.1.2 9.1.2 VPNVPN安全服务功能安全服务功能通过VPN技术，企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道，并能得到VPN提供的多种安全服务，从而实现企业网安全。VPN主要的安全服务有以下三种：*保密性服务(Confidentiality)：防止传输的信息被监听。*完整性服务(Integrity)：防止传输的信息被修改。*认证服务(Authentication)：提供用户和设备的访问认证，防止非法接入。9第9章VPN技术的

3、原理与应用9.1.3 9.1.3 VPNVPN实现方式实现方式VPN实现技术有多种方式，按照VPN在TCP/IP协议层的实现方式，主要可将它分为链路层VPN、网络层VPN和传输层VPN。链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换MPLS；网络层VPN的实现方式有受控路由过滤、隧道技术；传输层VPN则通过SSL来实现。目前，市场上常见的产品主要支持IPsec VPN和SSL VPN。9第9章VPN技术的原理与应用9.2 VPN相关技术相关技术 9.2.1 9.2.1 密码算法密码算法VPN的核心技术是密码算法。VPN利用密码算法，对需要传递的信息进行加密变换，从而确保

4、网络上未授权的用户无法读取该信息。9第9章VPN技术的原理与应用9.2.2 9.2.2 密钥管理密钥管理VPN加、解密运算都离不开密钥，因而，VPN中密钥的分发与管理非常重要。密钥的分发有两种方式：一种是通过手工配置来分发，另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠，但是密钥更新速度慢，一般只适合于简单网络的情况。而密钥交换协议则通过采用软件方式，自动协商动态生成密钥，密钥可快速更新，可以显著提高VPN的安全性。目前，主要的密钥交换与管理标准有SKIP(互联网简单密钥管理)和ISAKMP/Oakley(安全联盟和密钥管理协议)。9第9章VPN技术的原理与应用9.2.3 9.2.3

5、认证访问控制认证访问控制1 1用户身份认证用户身份认证在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查它是否为合法的授权用户。如果使用双向验证，还需进行VPN客户机对VPN服务器的身份验证，以防止伪装的非法服务器提供虚假信息。9第9章VPN技术的原理与应用2 2数据完整性和合法性认证数据完整性和合法性认证VPN除了进行用户认证外，还需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过了篡改。9第9章VPN技术的原理与应用9.2.4 IPSec 1 1IP AHIP AHIP AH是一种安全协议，其安全目的是用于保证IP包的完整性和提供数据源认证。其

6、基本方法是将IP包的部分内容用加密算法和Hash算法进行混合计算，生成一个消息认证代码，简称ICV(Integrity Check Value)，同时把ICV附加在IP包中，如图9-2所示。9第9章VPN技术的原理与应用图9-2 IP AH协议包格式 IPv4 H eaderA uth H eaderU pperProtocol(e.g.TC P,U D P)9第9章VPN技术的原理与应用在TCP/IP通信过程中，IP包发送之前都事先计算好每个IP包的ICV，按照IP AH的协议规定重新构造包含ICV的新的IP包，然后再发送到接收方。通信接收方在收到用IP AH方式处理过的IP包后，根据IP包

7、的AH信息验证ICV，从而确认IP包的完整性和来源。IP认证头AH的信息格式如图9-3所示。9第9章VPN技术的原理与应用图9-3 IP认证头AH的信息格式 Next HeaderLengthSecurity Parameters IndexRESERVEDAuthentication Data(variable number of 32-bit words)9第9章VPN技术的原理与应用2 2IP ESPIP ESPIP ESP也是一种安全协议，其用途在于保证IP包的保密性，因IP AH不能提供IP包的保密性服务。IP ESP的基本方法是将IP包做加密处理，对整个IP包或IP的数据域进行安全

8、封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方。接收方收到后，对ESP进行解密，取掉ESP头，再对原来的IP包或更高层协议的数据像处理普通的IP包那样进行处理。RFC 1827中对ESP的格式作了规定，AH与ESP体制可以合用，也可以分用。9第9章VPN技术的原理与应用IP AH和IP ESP都有两种工作模式，即透明模式(Transport mode)和隧道模式(Tunnel Mode)。透明模式只保护IP包中的数据域(data payload)，而隧道模式则保护IP的包头和数据域。因此，在隧道模式下，将创建新的IP包头，并把旧的IP包(指需做安全处理的IP包)作为

9、新的IP包数据。基于Ipsec技术的主要优点是它的透明性，安全服务的提供不需要更改应用程序。但是它带来的问题是增加了网络安全管理难度，降低了网络传输性能。IPsec还涉及到密钥管理协议，即通信双方的Security Association已经事先建立成功。建立Security Association的方法可以是手工的或是自动的。9第9章VPN技术的原理与应用手工配置的方法比较简单，双方事先对AH Security Key、ESP Security Key等参数达成一致，然后分别写入双方的数据库中。自动的配置方法就是双方Security Association的各种参数是由KDC(Key Dis

10、tributed Center)和通信双方共同商定的，共同商定的过程就必须遵循一个共同的协议，这就是密钥管理协议。目前，IPsec的密钥管理协议有IKE(Internet Key Exchange)、ISAKMP(Internet Security Association and Key Management Protocal)、Oakley。9第9章VPN技术的原理与应用9.2.5 9.2.5 PPTPPPTPPPTP是Point-to-Point Tunneling Protocol的缩写，它是一个点到点安全隧道协议(PPTP)。该协议的作用是给电话上网的用户提供VPN安全服务。PPTP是

11、PPP协议的一种扩展，它提供了在IP网上构建安全通道的机制。远程用户通过PPTP 可以在客户机和PPTP服务器之间形成一条安全隧道，从而能够保证远程用户安全访问企业的内部网。9第9章VPN技术的原理与应用9.3 VPN典型应用典型应用 9.3.1 9.3.1 VPNVPN应用类型概况应用类型概况根据VPN的用途，可将它分为三种应用类型：远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。下面分别说明这三种类型的VPN情况。9第9章VPN技术的原理与应用9.3.2 9.3.2 Access VPNAccess VPN A

12、ccess VPN主要解决远程用户安全办公问题，用户既要能远程获取企业内部网信息，又要能够保证用户和企业内部网的安全。远程用户利用VPN技术，通过拨号、ISDN等方式接入公司内部网。Access VPN一般包含两部分，远程用户VPN客户端软件和VPN接入设备，其组成结构如图9-4所示。9第9章VPN技术的原理与应用图9-4 Access VPN应用示意图 VPN网关公司总部因特网9第9章VPN技术的原理与应用9.3.3 9.3.3 Intranet VPN Intranet VPN 随着业务的发展变化，企业办公点不再集中在一个地点，而是分布在各个不同的地理区域，甚至是跨越不同的国家。因而，企业

13、的信息环境也随之变化，针对企业的这种情况，Intranet VPN的用途就是通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全地互连起来，实现企业内部信息的安全共享和企业办公自动化。Intranet VPN一般的组成结构如图9-5所示。9第9章VPN技术的原理与应用图9-5 Intranet VPN示意图 因特网VPN公司分支机构VPN公司分支机构VPN公司总部9第9章VPN技术的原理与应用9.3.4 9.3.4 Extranet VPN Extranet VPN 由于企业合作伙伴的主机和网络分布在不同地理位置上，传统上一般通过专线互连实现信息交换，但是如此一来网络建设与管理

14、维护都非常困难，造成企业间的商业交易程序复杂化。Extranet VPN则是利用VPN技术，在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务。Extranet VPN解决了企业外部机构的接入安全和通信安全，同时也降低了网络建设成本。9第9章VPN技术的原理与应用9.4 本本 章章 小小 结结 VPN是信息安全的重要保证技术之一，随着网络应用的深入，VPN将会起到越来越重要的作用。本章介绍了VPN的基本概念和作用，重点分析了VPN中的关键技术和重要协议。最后，本章给出了VPN的三种典型应用类型。9第9章VPN技术的原理与应用本章思考与练习本章思考与练习1VPN技术的原理是什么？2VPN能够提供哪些安全服务？3VPN的技术有哪些？4如何去管理和分配VPN设备的密钥？5VPN有几种应用类型？6IPSec由什么组成？IP AH与IP ESP的区别是什么？7IPSec能解决什么样的安全问题？