vpn安全通信技术及设计.ppt

第6讲 VPN安全通信技术及设计 乐德广计算机科学与工程学院常熟理工学院ledeguang@ 安全模式 网络安全模式的四个层次： 信息通道层次模式 系统门卫层次模式 系统内部层次模式 CPU及操作系统层次模式 安全模式 网络安全模式的四个层次： 信息通道层次模式 系统门卫层次模式 系统内部层次模式 CPU及操作系统层次模式 目录 VPN概述 VPN功能 VPN工作原理 VPN具体应用 基于Windows的VPN服务器设计与实现 什么是VPN VPN优点 现有VPN协议 低成本 利用VPN，可节省专用和拨号连接的成本 灵活性 基于VPN技术，能够迅速建立和重构网络 VPN网络有很好的兼容性和可扩展性 提高了网络可靠性 企业可以利用 VPN 迅速开展新的服务和连接全球的设施 简化了企业联网和广域网操作 现有VPN协议 链路层 PPTP：1996年Microsoft 和Ascend等在PPP协议上开发的。 L2F：1996年Cisco开发的。 L2TP：1997年底，Microsoft 和Cisco共同开发。 网络层 IPSec： 由IETF制定和完善 通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和必威体育官网网址性 IPSec包含：IP认证头（AH）、IP安全载荷封装（ESP）和密钥管理协议（ISAKMP） 现有VPN协议 传输层 SSL：Secure Socket Layer 1994年Netscape开发，专门用于保护Web通讯 1996年发布SSL 3.0，增加了一些算法，修改了一些缺陷 1999年IETF发布RFC 2246 (SSL 3.1，TLS v1.0) 基于第二层的VPN PPTP/L2TP优缺点 优点： 对用Microsoft操作系统的用户很方便 支持多种协议 支持流量控制，通过减少丢弃包来改善网络性能 缺点： 安全性相对差 不对两个节点间的信息传输进行监视或控制 最多只能连接255个用户 端点用户需要在连接前手工建立加密信道 隧道技术（Tunneling） 它是VPN的基本技术，类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。 加解密技术（Encryption Decryption） 它是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 密钥管理技术（Key Management） 它的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 使用者与设备身份认证技术（Authentication） 最常用的是使用者名称与密码或卡片式认证等方式。 目录 VPN概述 VPN安全功能 VPN工作原理 VPN具体应用 基于Windows的VPN服务器设计与实现 数据机密性保护 数据完整性保护 数据源身份认证 重放攻击保护 数据完整性保护 数据源身份认证 重放攻击保护 目录 VPN概述 VPN功能 VPN工作原理 VPN具体应用 基于Windows的VPN服务器设计与实现 VPN的工作原理 隧道基本概念 IPSec协议栈组成 IPSec的工作模式 IPSecVPN的建立方式 隧道基本概念 隧道可在网络的任一层实现 最常用的是两层：数据链路层和网络层 数据链路层隧道：一个链路帧被放到了其它链路层的协议数据单元（PDU）中,该链路层还包括另外的链路帧，如：PPTP, L2F, L2TP 构成的VPN 网络层隧道：第三层的包被放到其它层或另外的第三层包中，如IPsec 的AH和ESP隧道模式； 封装：当某层的PDU被放到另外一个PDU中的有效载荷时，把这种处理方式叫做封装 隧道基本概念 隧道在VPN中的三大作用是什么？ 将一种协议封装到不同的协议是为了在IP基础设施中传输； 通过公共寻址设施路由私有地址包； 提供数据完整性和机密性服务。 IPSec 概念 IPSec 框架组成 身份认证报头——AH协议 提供数据源身份认证、数据完整性保护、重放攻击保护功能 负载安全封装——ESP协议 提供数据必威体育官网网址、数据源身份认证、数据完整性、重放攻击保护功能 因特网安全关联和密钥管理协议——IKE(以前被叫ISAKMP/Oakley) 提供自动建立安全关联和管理密钥的功能 IPSec协议栈组成 IPsec由一系列协议组成： RFC2401（规定了IPsec的基本结构） RFC2402（验证头） RFC2406（封装安全载荷） RFC2407（用于Internet安全联盟和密钥管理协议 ISAKMP的Internet IP安全解释域） RFC2408（ISAKMP） RFC2409（Internet密钥交换，IKE） RFC2411（IP安全文档指南） RFC2412（OAKLEY密钥确定协议）等 I