VPN技术的原理与应用.ppt

* 9 第9章　VPN技术的原理与应用 第9章　VPN技术的原理与应用 9.1 VPN概况 9.2 VPN相关技术 9.3 VPN典型应用 9.4 本章小结 本章思考与练习 9.1 VPN概况 9.1.1 VPN概念 　　VPN是英文的Virtual Private Network的缩写，中文翻译为“虚拟专用网”，其基本技术原理是把需要经过公共网传递的报文(packet)做加密处理后，再由公共网络发送到目的地，如图9-1所示。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道，经过VPN传输的数据在公共网上具有必威体育官网网址性。 图9-1 VPN原理示意图 9.1.2 VPN安全服务功能 　　通过VPN技术，企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道，并能得到VPN提供的多种安全服务，从而实现企业网安全。VPN主要的安全服务有以下三种： 　　* 必威体育官网网址性服务(Confidentiality)：防止传输的信息被监听。 　　* 完整性服务(Integrity)：防止传输的信息被修改。 　　* 认证服务(Authentication)：提供用户和设备的访问认证，防止非法接入。 9.1.3 VPN实现方式 　　VPN实现技术有多种方式，按照VPN在TCP/IP协议层的实现方式，主要可将它分为链路层VPN、网络层VPN和传输层VPN。链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换MPLS；网络层VPN的实现方式有受控路由过滤、隧道技术；传输层VPN则通过SSL来实现。目前，市场上常见的产品主要支持IPsec VPN和SSL VPN。 9.2 VPN相关技术 9.2.1 密码算法 　　VPN的核心技术是密码算法。VPN利用密码算法，对需要传递的信息进行加密变换，从而确保网络上未授权的用户无法读取该信息。 9.2.2 密钥管理 　　VPN加、解密运算都离不开密钥，因而，VPN中密钥的分发与管理非常重要。密钥的分发有两种方式：一种是通过手工配置来分发，另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠，但是密钥更新速度慢，一般只适合于简单网络的情况。而密钥交换协议则通过采用软件方式，自动协商动态生成密钥，密钥可快速更新，可以显著提高VPN的安全性。目前，主要的密钥交换与管理标准有SKIP(互联网简单密钥管理)和ISAKMP/Oakley (安全联盟和密钥管理协议)。 9.2.3 认证访问控制 　　1．用户身份认证 　　在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查它是否为合法的授权用户。如果使用双向验证，还需进行VPN客户机对VPN服务器的身份验证，以防止伪装的非法服务器提供虚假信息。 　　2．数据完整性和合法性认证 　　VPN除了进行用户认证外，还需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过了篡改。 9.2.4 IPSec 　　1．IP AH 　　IP AH是一种安全协议，其安全目的是用于保证IP包的完整性和提供数据源认证。其基本方法是将IP包的部分内容用加密算法和Hash算法进行混合计算，生成一个消息认证代码，简称ICV(Integrity Check Value)，同时把ICV附加在IP包中，如图9-2所示。 图9-2 IP AH协议包格式 　　在TCP/IP通信过程中，IP包发送之前都事先计算好每个IP包的ICV，按照IP AH的协议规定重新构造包含ICV的新的IP包，然后再发送到接收方。通信接收方在收到用IP AH方式处理过的IP包后，根据IP包的AH信息验证ICV，从而确认IP包的完整性和来源。IP认证头AH的信息格式如图9-3所示。 图9-3 IP认证头AH的信息格式 　　2．IP ESP 　　IP ESP也是一种安全协议，其用途在于保证IP包的必威体育官网网址性，因IP AH不能提供IP包的必威体育官网网址性服务。IP ESP的基本方法是将IP包做加密处理，对整个IP包或IP的数据域进行安全封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方。接收方收到后，对ESP进行解密，取掉ESP头，再对原来的IP包或更高层协议的数据像处理普通的IP包那样进行处理。RFC 1827中对ESP的格式作了规定，AH与ESP体制可以合用，也可以分用。 　 　　IP AH和IP ESP都有两种工作模式，即透明模式(Transport mode)和隧道模式(Tunnel Mode)。透明模式只保护IP包中的数据域(data payload)，而隧道模式则保护IP的包头和数据域。因此，在隧道模式下，将创建新的IP包头，并把旧的IP包(指需做安全处理的IP包)作为新的IP包数据。