- 1、本文档共42页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第8章网络协议的安全-VPN祥解.ppt
VPN 本章要点: VPN的基本概念和特点 VPN采用的主要技术 第二层VPN协议的机制和功能 第三层的一种VPN协议的机制和功能 为什么使用VPN? 信息在传输中可能泄密 信息在传输中可能失真 信息的来源可能是伪造的 信息传输的成本可能很高 信息在传输中可能泄密 信息在传输中可能失真 信息的来源可能是伪造的 信息传输的成本可能很高 使用VPN解决方案的优势 防止数据在公网传输中被窃听 防止数据在公网传输中被篡改 可以验证数据的真实来源 成本低廉(相对于专线、长途拨号) 应用灵活、可扩展性好 现有VPN解决方案 应用层加密 链路层加密 网络层加密 VPN的概念 VPN是Virtual Private Network的缩写,称“虚拟专用网”或“虚拟私有网”,是将物理分布在不同地点的网络通过公用骨干网,尤其是Internet连接形成逻辑上的虚拟子网,向最终用户提供类似于私有网络性能的网络服务技术。 为了保障信息的安全,VPN技术采用了鉴别、访问控制、必威体育官网网址性、完整性等措施,以防止信息被泄露、篡改和复制。 对数据机密性的保护 对数据完整性的保护 对数据源真实性的保护 VPN的类型 Access VPN(远程访问VPN) Intranet VPN(企业内部VPN) Extranet VPN(企业扩展VPN) 1. Access VPN Access VPN与传统的远程访问网络相对应。 远端用户只要能使用合法IP地址访问Internet,接入到远端网关即可,可以利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。 降低了长途电话,大型Modem Pool及技术支持的费用。 适用于企业内部人员流动频繁或远程办公的情况。 2. Intranet VPN 如果要进行企业内部异地分支机构的互联,可以使用Intranet VPN方式,这是所谓的网关对网关VPN。 Intranet VPN在异地两个网络的网关之间建立了一个加密的VPN隧道,两端的内部网络可以通过该VPN隧道安全地进行通信,就好像和本地网络通信一样。 3. Extranet VPN 如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网,可以使用Extranet VPN。 Extranet VPN其实也是一种网关对网关的VPN,与Intranet VPN不同的是,它需要在不同企业的内部网络之间组建,需要有不同协议和设备之间的配合和不同的安全配置。 Extranet VPN示意图 VPN技术 1. 密码技术 密码技术是实现VPN的关键核心技术之一。 一般情况下,在VPN实现中: 双方大量的通信流量的加密使用对称加密算法,运算量小、速度快。众多算法中最常用的是DES(Data Encryption Standard)、AES(Advanced Encryption Standard)和IDEA(International Data Encryption Algorithm) 而在管理、分发对称加密的密钥上采用更加安全的非对称加密技术。 2. 身份认证技术 VPN需要解决的首要问题就是网络上用户与设备的身份认证。 从技术上说,身份认证基本上可以分为两类:非PKI体系和PKI体系的身份认证。 非PKI体系:UID+PASSWORD PAP,Password Authentication Protocol,口令认证协议 简单的明文验证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。安全性较差。 CHAP,ChallengeHandshake Authentication Protocol,挑战握手认证协议 加密的验证方式,能够避免建立连接时传送用户的真实密码。 NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串。远程客户必须使用MD5单向哈希算法返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。 不再发送明文口令,而且为每一次验证任意生成一个挑战字串来防止受到重放攻击,还不定时的向客户端重复发送挑战口令,避免第3方冒充远程客户进行攻击。 MSCHAP,Microsoft Challenge Handshake Authentication Protocol,微软CHAP EAP, Extensible Authentication Protocol, 扩展身份认证协议 RADIUS,Remote Authentication Dial In User Service,远程认证拨号用户服务 PKI体系 常用的方法是依赖于CA(Certificate Authority,数字证书签发中心)所签发的符合X.509规范的标准数字证书。通信双方交换
文档评论(0)