1.49k likes | 1.64k Views
6.1. 6.2. 6.3. 加密技术的产生与优势. 现代加密算法介绍. VPN 技术. 第 6 章 加密技术与虚拟专用网. 本章学习要点 掌握对称与非对称加密及应用 了解数字签名与 PKI 掌握 VPN 分类与应用 使用 PGP 进行加密. 6.1 加密技术的产生与优势. 图 6.1 加密过程原理图. 6.1.1 加密技术的优势. 表 6.1 加密常见应用. 6.1.2 加密技术的分类. 链路加密 节点加密 端到端加密. 6.2 现代加密算法介绍. 6.2.1 对称加密技术 1 . DES 算法
E N D
6.1 6.2 6.3 加密技术的产生与优势 现代加密算法介绍 VPN技术 第6章 加密技术与虚拟专用网
本章学习要点 • 掌握对称与非对称加密及应用 • 了解数字签名与PKI • 掌握VPN分类与应用 • 使用PGP进行加密
6.1 加密技术的产生与优势 图6.1 加密过程原理图
6.1.1 加密技术的优势 表6.1 加密常见应用
6.1.2 加密技术的分类 • 链路加密 • 节点加密 • 端到端加密
6.2 现代加密算法介绍 • 6.2.1 对称加密技术 • 1.DES算法 • 2.RSA的RC2、RC4、RC5、RC6 • 3.IDEA算法(国际加密算法)
6.2.2 非对称加密技术 • 1.RSA • 2.DSA • 3.Diffie-Hellman
6.2.3 单向散列算法 • 6.2.4 数字签名 • 6.2.5 公钥基础设施
6.3 VPN技术 • 6.3.1 VPN技术的概述 • 随着企业网应用的不断扩大,企业网的范围也不断扩大,从一个本地网络到一个跨地区、跨城市甚至是跨国的网络。 • 采用传统的广域网方式建立企业专网,往往需要租用昂贵的跨地区数字专线。
如果利用公共网络,信息安全的问题又得不到保证。 • 可以说,VPN是企业网在公众网络上的延伸,它可以提供与专用网一样的安全性、可管理性和传输性能,而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来,交由运营商来负责。
VPN(Virtual Private Network,虚拟专用网)是指通过综合利用访问控制技术和加密技术,并通过一定的密钥管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密管道”中进行安全传输的技术。
VPN利用公共网络来构建专用网络,它是将特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。 • 通常将VPN当作WAN解决方案,但它也可以简单地用于LAN。 • VPN类似于点到点直接拨号连接或租用线路连接,尽管它是以交换和路由的方式工作的。
VPN是平衡Internet适用性和价格优势的最有前途的通信手段之一。 • 利用共享的IP网建立VPN连接,可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性。VPN具有以下主要特点。
安全性:用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。安全性:用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。
专用性:在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称为建立一个隧道。隧道的双方进行数据的加密传输,就好像真正的专用网一样。专用性:在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称为建立一个隧道。隧道的双方进行数据的加密传输,就好像真正的专用网一样。
经济性:它可以使移动用户和一些小型的分支机构的网络开销减少,不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销。经济性:它可以使移动用户和一些小型的分支机构的网络开销减少,不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销。
扩展性和灵活性:能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输介质,可以满足同时传输语音、图像、数据等新应用对高质量传输以及带宽增加的需求。扩展性和灵活性:能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输介质,可以满足同时传输语音、图像、数据等新应用对高质量传输以及带宽增加的需求。
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外联网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通信人员和移动用户。
一条VPN连接由客户机、隧道和服务器3部分组成。 • VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。
① 要保护的主机发送明文信息到连接公共网络的VPN设备。 • ② VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。
③ 对需要加密的数据,VPN设备对整个数据包进行加密并附上数字签名。 • ④ VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。
⑤ VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。
⑥ 当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密。
6.3.2 VPN的分类 • VPN按照服务类型可以分为远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)这3种类型。
Access VPN又称接入VPN,它是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。 • Access VPN最适用于公司内部经常有流动人员远程办公的情况。
出差员工利用当地ISP提供的VPN服务,可以和公司的VPN网关建立私有的隧道连接,如图6.3所示。 • 这种方式可以减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络,具备极大的可扩展性,可以方便地对加入网络的新用户进行调度。
Intranet VPN又称内联网VPN,它是企业的总部与分支机构之间通过公网构筑的虚拟网,是一种网络到网络以对等的方式连接起来所组成的VPN。
Extranet VPN又称外联网VPN,它通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。
企业拥有与专用网络相同的政策,包括安全、服务质量(QoS)、可管理性和可靠性。企业拥有与专用网络相同的政策,包括安全、服务质量(QoS)、可管理性和可靠性。 • 这种方式能容易地对外部网进行部署和管理,外部网的连接可以使用与部署内部网和远端访问VPN相同的架构和协议进行部署。
VPN按照通信协议可以分为MPLS VPN、 PPTP/L2TP VPN、SSL VPN和IPSec VPN。
① MPLS VPN是一种基于MPLS技术的IP • VPN,是在网络路由和交换设备上应用MPLS • (Multi Protocol Label Switching,多协议标记 • 交换)技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚 • 拟专用网络(IP VPN)。
这种基于标记的IP路由选择方法,要求在整个交换网络中所有的路由器都识别这个标签,运营商需要大笔投资建立全局的网络,而且跨越不同的运营商之间,如果没有协调好,标签就无法交换。这种基于标记的IP路由选择方法,要求在整个交换网络中所有的路由器都识别这个标签,运营商需要大笔投资建立全局的网络,而且跨越不同的运营商之间,如果没有协调好,标签就无法交换。
MPLS VPN能够利用公用骨干网络强大的传输能力,同时能够满足用户对信息传输安全性、实时性、宽频带和方便性的需要,尤其是MPLS具有QoS保证。 • 目前,在基于IP的网络中,MPLS具有很多优点,也有明显的缺点,主要是价格高、接入比较麻烦、跨运营商不便。
② PPTP/L2TP VPN是二层VPN,采用较早期的VPN协议,使用相当广泛。其特点是简单易行,但可扩展性不好,也没有提供内在的安全机制。
PPTP和L2TP限制同时最多只能连接255个用户。 • 端点用户需要在连接前手工建立加密信道。 • 认证和加密受到限制,没有强加密和认证支持。 • 安全程度差,是PPTP/L2TF简易型VPN最大的弱点。
③ SSL VPN的认证方式较为单一,只能采用证书,而且一般是单向认证;支持其他认证方式往往要进行长时间的二次开发,而且只进行认证和加密,不能实施访问控制,在建立隧道后,管理员对用户不能进行任何限制,无法实现“网络-网络”的安全互连。
另外,SSL VPN的应用只能基于Web的VPN应用连网;而一个企业或者机构往往有多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。
一般企业希望VPN能达到局域网的效果(如网上邻居,而SSL VPN只能保护应用层协议,如Web、FTP等),保护更多的应用,这点SSL VPN根本做不到。
④ IPSec VPN能够提供基于互联网的加密隧道,满足所有基于TCP/IP网络的应用需要。它主要用于两个局域网之间建立的安全连接,在远程移动办公等桌面应用上,需要安装特定的客户端才能够实现。其中IPSec是一套比较完整的、成体系的VPN技术,它规定了一系列的协议标准。
6.3.3 IPSec • IPSec是IETF于1998年11月公布的IP安全标准,其目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全。 • IPSec对于IPv4是可选的,对于IPv6是强制性的。
在VPN的传输协议上,一般的产品都支持PPTP、L2TP,在这些协议的传输中能够保证数据的安全、可靠,但是它不能保证数据的机密性(在网络中传输的数据是明文的),所以对一些敏感的数据来说,也是不安全的。在VPN的传输协议上,一般的产品都支持PPTP、L2TP,在这些协议的传输中能够保证数据的安全、可靠,但是它不能保证数据的机密性(在网络中传输的数据是明文的),所以对一些敏感的数据来说,也是不安全的。
这样,为了保证数据的机密性,应在网络安全产品中选择支持IPSec技术的产品。这样,为了保证数据的机密性,应在网络安全产品中选择支持IPSec技术的产品。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,它实现于传输层之下,对于应用程序和终端用户来说是透明的。
IPSec提供了访问控制、无连接完整性、数据源鉴别、载荷机密性和有限流量机密等安全服务。 • 弥补了由于 TCP/IP体系自身带来的安全漏洞,可以防止下列的攻击。