第8章安全通信协议祥解.pptVIP

* * * * * * * * * * * * * * * * * * * 信息安全技术_第8章 安全通信协议 8.3安全协议SSH SSH，安全Shell（secure Shell）对数据进行了加密处理，可以提供对用户口令的保护。此外，SSH能运行在大多数操作系统上，也提供身份认证和数据完整性保护功能。因此，SSH成为一种通用的、功能强大的，基于软件的网络安全解决方案。 信息安全技术_第8章 安全通信协议 SSH概述 历史回顾 1995年初芬兰赫尔辛基大学（Helsinki University of Technology）的校园网受到密码窃听的攻击，研究人员Tatu Ylonen为此开发了SSH1以便自己使用。他于1995年12月成立了SSH 通信安全公司SCS（SSH Communications Security, Inc.）对SSH1进行维护，并使其商业化。 1996年SCS对SSH代码进行了重写，推出了与SSH1不兼容的版本SSH2。IETF也成立了一个SECSH（Secure Shell Working Group）工作组，以对SSH-2协议进行标准化，并于1997年2月提交了第一份SSH-2协议的Internet 草案。 1998年SCS发布了基于SSH-2协议的软件产品SSH2，尽管SSH2比SSH1的安全性好，但是SSH2并没有取代SSH1，因为SSH1是免费的，而SSH2是一个商业产品。 现在SSH1已经不再开发，只进行错误修正。而SSH2和OpenSSH仍然继续在开发，与此同时还有许多其它的SSH产品。 信息安全技术_第8章 安全通信协议 SSH的体系结构 SSH基于客户机/服务器体系结构。SSH软件包由两部分组成，一部分是服务端软件包，另一部分是客户端软件包。服务端是sshd进程，在后台运行并响应来自客户端的连接请求。一般包括公共密钥认证、密钥交换、对称密钥加密和非安全连接。客户端包含ssh程序以及像scp（远程拷贝）、slogin（远程登陆）、sftp（安全文件传输）等其他的应用程序。 信息安全技术_第8章 安全通信协议 8.4虚拟专用网 随着Internet和电子商务的蓬勃发展，各企业开始允许其合作伙伴访问本企业的局域网，这样可以简化信息交流的途径，增加信息交换的速度。与此同时随着企业规模的扩大，如何管理分布于各地的分支机构，保持它们之间良好的信息沟通渠道，最大限度地共享资源和保持与合作伙伴及重要客户的联络等，已成为企业考虑的重要问题。 信息安全技术_第8章 安全通信协议 VPN的基本概念 VPN是将物理上分布在不同地点的两个专用网络通过公用网络相互连接而成逻辑上的虚拟子网，来传输私有信息的一种方法。 信息安全技术_第8章 安全通信协议 VPN的基本概念 VPN的功能 通过隧道或者虚电路实现网络互连。 支持用戶对网络的管理，其中包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等。 允许管理员对网络进行监控和故障诊断。 信息安全技术_第8章 安全通信协议 VPN的技术 隧道技术 数据加密 身份认证 数据认证 QoS技术 访问控制技术 信息安全技术_第8章 安全通信协议 VPN的协议 VPN使用隧道技术实现公网中传输私有数据。为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。隧道协议分别以OSI参考模型的第2层或第3层隧道协议为基础。第2层隧道协议是先把数据封装在点对点协议（point to point protocol，PPP）帧中再把整个数据包装入隧道协议。采用这种双层封装方法形成的数据包靠第2层协议进行传输。第3层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第3层协议进行传输。它们的本质区别在于用户的数据包是被封装在哪种数据分组中并在隧道中传输。 需要注意的是，无论采用何种隧道技术，一旦进行加密或验证，都会对系统的性能造成影响。密码算法需要消耗大量的处理器时间，而且大多数密码算法还有一个建立准备过程，所以在选择安全性时必须选择高性能的设备。 信息安全技术_第8章 安全通信协议 VPN的协议 点对点隧道协议 第2层转发协议 第2层隧道协议 通用路由协议封装 IP安全协议 多协议标记交换 信息安全技术_第8章 安全通信协议 VPN的类型 按VPN实现方法分类 软件VPN 硬件VPN 专用VPN 信息安全技术_第8章 安全通信协议 VPN的类型 按VPN连接方式分类 站点到站点：site-to-site VPN，将两个或者更多的网络连接起来。 客户机到站点：client-to-site VPN，将远程拨号用户与网络连接起来。 混合连接：将site-t