网络安全技术与实训 第2版 教学课件 作者 杨文虎 李飞飞 第6章 加密技术与虚拟专用网 .pptVIP

第6章 加密技术与虚拟专用网 ;本章学习要点 掌握对称与非对称加密及应用 了解数字签名与PKI 掌握VPN分类与应用 使用PGP进行加密;6.1 加密技术的产生与优势;6.1.1 加密技术的优势;6.1.2 加密技术的分类;6.2 现代加密算法介绍;6.2.2 非对称加密技术;6.2.3 单向散列算法 6.2.4 数字签名 6.2.5 公钥基础设施 ;图6.2 PKI典型系统组成视图 ;6.3 VPN技术; 如果利用公共网络，信息安全的问题又得不到保证。 可以说，VPN是企业网在公众网络上的延伸，它可以提供与专用网一样的安全性、可管理性和传输性能，而建设、运转和维护网络的工作也从企业内部的IT部门剥离出来，交由运营商来负责。 ; VPN（Virtual Private Network，虚拟专用网）是指通过综合利用访问控制技术和加密技术，并通过一定的密钥管理机制，在公共网络中建立起安全的“专用”网络，保证数据在“加密管道”中进行安全传输的技术。; VPN可以利用公共网络来发送专用信息，形成逻辑上的专用网络，其目标就是在不安全的公共网络上建立一个安全的专用通信网络。 ; VPN利用公共网络来构建专用网络，它是将特殊设计的硬件和软件直接通过共享的IP网所建立的隧道来完成的。 通常将VPN当作WAN解决方案，但它也可以简单地用于LAN。 VPN类似于点到点直接拨号连接或租用线路连接，尽管它是以交换和路由的方式工作的。; VPN是平衡Internet适用性和价格优势的最有前途的通信手段之一。 利用共享的IP网建立VPN连接，可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性。VPN具有以下主要特点。;安全性：用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。;专用性：在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称为建立一个隧道。隧道的双方进行数据的加密传输，就好像真正的专用网一样。;经济性：它可以使移动用户和一些小型的分支机构的网络开销减少，不仅可以大幅度削减传输数据的开销，同时可以削减传输话音的开销。;扩展性和灵活性：能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输介质，可以满足同时传输语音、图像、数据等新应用对高质量传输以及带宽增加的需求。; VPN创造了多种伴随着Web发展而出现的新的商业机会，包括：进行全球电子商务，可以在减少销售成本的同时增加销售量；实现外联网，可以使用户获得关键的信息，更加贴近世界；可以访问全球任何角落的电子通信人员和移动用户。; 一条VPN连接由客户机、隧道和服务器3部分组成。 VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全地通信。; 它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程如下。 ; ① 要保护的主机发送明文信息到连接公共网络的VPN设备。 ② VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。; ③ 对需要加密的数据，VPN设备对整个数据包进行加密并附上数字签名。 ④ VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。 ; ⑤ VPN设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装，重新封装后的数据包通过虚拟通道在公网上传输。; ⑥ 当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。 ;6.3.2 VPN的分类; Access VPN又称接入VPN，它是企业员工或企业的小分支机构通过公网远程访问企业内部网络的VPN方式。 Access VPN最适用于公司内部经常有流动人员远程办公的情况。; 出差员工利用当地ISP提供的VPN服务，可以和公司的VPN网关建立私有的隧道连接，如图6.3所示。 这种方式可以减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络，具备极大的可扩展性，可以方便地对加入网络的新用户进行调度。 ;图6.3 Access VPN解决方案 ; Intranet VPN又称内联网VPN，它是企业的总部与分支机构之间通过公网构筑的虚拟网，是一种网