VPN技术基础知识.ppt

400-680-9908 VPN技术基础 目录 基本概念 PKI基础 VPN技术介绍 常见互连方案比较 VPN的定义 ??VPN，Virtual Private Network（虚拟专用网络），被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展,它可以帮助异地用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。  VPN 可以省去专线租用费用或者长距离电话费用，大大降低成本 VPN 可以充分利用 internet 公网资源，快速地建立起公司的广域连接 VPN的用途 1、使用VPN连接远程局域网络。 2、连接企业内部网络计算机 3、 采用VPN方案，既能够实现与整个企业网络的连接，又可以保证必威体育官网网址数据的安全性。企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。 VPN的基本要求 一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：? ·加密数据，以保证通过公网传输的信息即使被他人截获也不会 泄露。  ·信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用 户的身份。 ·提供访问控制，不同的用户有不同的访问权限。 对称密码算法 非对称密码算法 非对称算法的应用—数字签名 公钥密码体制在实际应用中包含数字签名和数字信封两种方式。　　数字签名是指用户用自己的私钥对原始数据的哈希摘要进行加密所得的数据。信息接收者使用信息发送者的公钥对附在原始信息后的数字签名进行解密后获得哈希摘要，并通过与自己用收到的原始数据产生的哈希哈希摘要对照，便可确信原始信息是否被篡改。这样就保证了数据传输的不可否认性。 哈希算法是一类符合特殊要求的散列函数(Hash)函数，这些特殊要求是:  接受的输入报文数据没有长度限制;?  对任何输入报文数据生成固定长度的摘要(“数字指纹”)输 出;?  由报文能方便地算出摘要;?  难以对指定的摘要生成一个报文,由该报文可以得出指定的摘要;?  难以生成两个不同的报文具有相同的摘要。? 非对称算法的应用—数字信封 数字证书 数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方证书的有效性，从而解决相互间的信任问题。证书是一个经证书认证中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 　　从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。 　　简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。证书格式及证书内容遵循X.509标准。 PKI的核心—认证中心CA 为保证网上数字信息的传输安全，除了在通信传输中采用更强的加密算法等措施之外，必须建立一种信任及信任验证机制，即参加电子商务的各方必须有一个可以被验证的标识，这就是数字证书。数字证书是各实体(持卡人/个人、商户/企业、网关/银行等)在网上信息交流及商务交易活动中的身份证明。该数字证书具有唯一性。 数字证书认证中心（Certficate?Authority,CA）是整个网上电子交易安全的关键环节。它主要负责产生、分配并管理所有参与网上交易的实体所需的身份认证数字证书。每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根认证中心（根CA）。 常见的VPN协议 1、点对点隧道协议（PPTP） 　　 2、第2层隧道协议（L2TP） 　3、安全IP（IPSec)隧道模式 　　 4、SOCKS v5协议 5、SSL协议 各种VPN在OSI协议栈中的位置 ?? SSL VPN ? ? Socks5 VPN