第6章加密技术与虚拟专用网(203KB).ppt

PKI中，值得信赖而且独立的第三方机构充当认证中心（Certification Authority，CA），来确认公钥拥有人的真正身份。就象公安局发放的身份证一样，认证中心发放一个叫数字证书的身份证明。该数字证书包含了用户身份的部分信息及用户所持有的公钥。象公安局对身份证盖章一样，认证中心利用本身的私钥为数字证书加上数字签名。任何想发放自己公钥的用户，可以去认证中心申请自己的证书。认证中心在鉴定该人的真实身份后，颁发包含用户公钥的数字证书。其他用户只要能验证证书是真实的，并且信任颁发证书的认证中心，就可以确认用户的公钥。 6.3　VPN技术 　 6.3.1　VPN技术的概述　 6.3.2　VPN的分类　 6.3.3　IPSec　 6.3.4　VPN产品的选择　 6.3.1　VPN技术的概述 现在，越多越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网LAN（Local Area Network），但在当今的网络社会人们的要求不仅如此，用户希望将这些LAN连结在一起组成一个公司的广域网，现在做到这些已不是什么难事。 事实上，很多公司都已经这样做了，但他们一般使用租用专用线路来连接这些局域网 ，他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网（Virtual Private Network ，VPN）。当数据离开发送者所在的局域网时，该数据首先被用户湍连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当到达目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息。 VPN（Virtual Private Network） 即虚拟专用网，是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。它是通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。 VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性。通常，VPN 是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。 VPN可分为三大类：（1）企业各部门与远程分支之间的Intranet VPN；（2）企业网与远程（移动）雇员之间的远程访问（Remote Access）VPN；（3）企业与合作伙伴、客户、供应商之间的Extranet VPN。VPN 可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 VPN 架构中采用了多种安全机制，如隧道技术（ Tunneling ）、加解密技术（ Encryption ）、密钥管理技术、身份认证技术（ Authentication ）等，通过上述的各项网络安全技术，确保资料在公众网络中传输时不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。 6.3.2　VPN的分类 内部VPN。在公司总部和它的分支机构之间建立的VPN。这是通过公用网络将一个组织的各分支机构通过VPN连接而成的网络，它是公司网络的扩展。当一个数据传输通道的两个端点认为是可信的时候，公司可以选择“内部网VPN”解决方案，安全性主要在于加强两个VPN服务器之间的加密和认证手段上。大量的数据经常需要通过VPN在局域网之间传递，可以把中心数据库或其他资源连接起来的各个局域网看成是内部网的一部分。 远程访问VPN：在公司总部和远地雇员或旅行中的雇员之间建立的VPN。如果一个用户在家里或在旅途之中，想同公司的内部网建立一个安全连接，可以用“远程访问VPN”来实现，实现过程：用户拨号ISP（Internet 服务提供商）的网络访问服务器NAS（Network Access Server），发出PPP连接请求，NAS收到呼叫后，在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动远程访问功能，与公司总部内部连接，访问其内部资源 外部网VPN：在公司和商业伙伴、顾客、供应商、投资者之间建立的VPN。外部网VPN为公司合作伙伴、顾客、供应商提供安全性。它应该能保证包括使用TCP和UDP协议的各种应用服务的安全，例如，电子邮件。Http，FTP，数据库的安全以及一些应用程序的安全。因为不同公司的网络环境是不相同的，一个可行的外部网VPN方案应该能适用于各种操作平台。协议、各种不同的认证方案及加密算法。 外部VPN的主要目标是保证数据在传输过程中不被修改，保护网络资源不受外部威胁。安全的