计算机网络信息安全理论与实践教程-第9章

1、第9章VPN技术的原理与应用,9.1VPN概况9.2VPN相关技术9.3VPN典型应用9.4本章小结本章思考与练习,9.1VPN概况,9.1.1VPN概念VPN是英文的VirtualPrivateNetwork的缩写，中文翻译为“虚拟专用网”，其基本技术原理是把需要经过公共网传递的报文(packet)做加密处理后，再由公共网络发送到目的地，如图9-1所示。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道，经过VPN传输的数据在公共网上具有保密性。,图9-1VPN原理示意图,9.1.2VPN安全服务功能通过VPN技术，企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道，并能

2、得到VPN提供的多种安全服务，从而实现企业网安全。VPN主要的安全服务有以下三种：*保密性服务(Confidentiality)：防止传输的信息被监听。*完整性服务(Integrity)：防止传输的信息被修改。*认证服务(Authentication)：提供用户和设备的访问认证，防止非法接入。,9.1.3VPN实现方式VPN实现技术有多种方式，按照VPN在TCP/IP协议层的实现方式，主要可将它分为链路层VPN、网络层VPN和传输层VPN。链路层VPN的实现方式有ATM、FrameRelay、多协议标签交换MPLS；网络层VPN的实现方式有受控路由过滤、隧道技术；传输层VPN则通过SSL来实现

3、。目前，市场上常见的产品主要支持IPsecVPN和SSLVPN。,9.2VPN相关技术,9.2.1密码算法VPN的核心技术是密码算法。VPN利用密码算法，对需要传递的信息进行加密变换，从而确保网络上未授权的用户无法读取该信息。,9.2.2密钥管理VPN加、解密运算都离不开密钥，因而，VPN中密钥的分发与管理非常重要。密钥的分发有两种方式：一种是通过手工配置来分发，另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠，但是密钥更新速度慢，一般只适合于简单网络的情况。而密钥交换协议则通过采用软件方式，自动协商动态生成密钥，密钥可快速更新，可以显著提高VPN的安全性。目前，主要的密钥交换与管理标准

4、有SKIP(互联网简单密钥管理)和ISAKMP/Oakley(安全联盟和密钥管理协议)。,9.2.3认证访问控制1用户身份认证在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查它是否为合法的授权用户。如果使用双向验证，还需进行VPN客户机对VPN服务器的身份验证，以防止伪装的非法服务器提供虚假信息。,2数据完整性和合法性认证VPN除了进行用户认证外，还需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过了篡改。,9.2.4IPSec,1IPAHIPAH是一种安全协议，其安全目的是用于保证IP包的完整性和提供数据源认证。其基本方法是将IP包的部分内容用

5、加密算法和Hash算法进行混合计算，生成一个消息认证代码，简称ICV(IntegrityCheckValue)，同时把ICV附加在IP包中，如图9-2所示。,图9-2IPAH协议包格式,在TCP/IP通信过程中，IP包发送之前都事先计算好每个IP包的ICV，按照IPAH的协议规定重新构造包含ICV的新的IP包，然后再发送到接收方。通信接收方在收到用IPAH方式处理过的IP包后，根据IP包的AH信息验证ICV，从而确认IP包的完整性和来源。IP认证头AH的信息格式如图9-3所示。,图9-3IP认证头AH的信息格式,2IPESPIPESP也是一种安全协议，其用途在于保证IP包的保密性，因IPAH不

6、能提供IP包的保密性服务。IPESP的基本方法是将IP包做加密处理，对整个IP包或IP的数据域进行安全封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方。接收方收到后，对ESP进行解密，取掉ESP头，再对原来的IP包或更高层协议的数据像处理普通的IP包那样进行处理。RFC1827中对ESP的格式作了规定，AH与ESP体制可以合用，也可以分用。,IPAH和IPESP都有两种工作模式，即透明模式(Transportmode)和隧道模式(TunnelMode)。透明模式只保护IP包中的数据域(datapayload)，而隧道模式则保护IP的包头和数据域。因此，在隧道模式下，将

7、创建新的IP包头，并把旧的IP包(指需做安全处理的IP包)作为新的IP包数据。基于Ipsec技术的主要优点是它的透明性，安全服务的提供不需要更改应用程序。但是它带来的问题是增加了网络安全管理难度，降低了网络传输性能。IPsec还涉及到密钥管理协议，即通信双方的SecurityAssociation已经事先建立成功。建立SecurityAssociation的方法可以是手工的或是自动的。,手工配置的方法比较简单，双方事先对AHSecurityKey、ESPSecurityKey等参数达成一致，然后分别写入双方的数据库中。自动的配置方法就是双方SecurityAssociation的各种参数是由K

8、DC(KeyDistributedCenter)和通信双方共同商定的，共同商定的过程就必须遵循一个共同的协议，这就是密钥管理协议。目前，IPsec的密钥管理协议有IKE(InternetKeyExchange)、ISAKMP(InternetSecurityAssociationandKeyManagementProtocal)、Oakley。,9.2.5PPTPPPTP是Point-to-PointTunnelingProtocol的缩写，它是一个点到点安全隧道协议(PPTP)。该协议的作用是给电话上网的用户提供VPN安全服务。PPTP是PPP协议的一种扩展，它提供了在IP网上构建安全通道的

9、机制。远程用户通过PPTP可以在客户机和PPTP服务器之间形成一条安全隧道，从而能够保证远程用户安全访问企业的内部网。,9.3VPN典型应用,9.3.1VPN应用类型概况根据VPN的用途，可将它分为三种应用类型：远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)。下面分别说明这三种类型的VPN情况。,9.3.2AccessVPNAccessVPN主要解决远程用户安全办公问题，用户既要能远程获取企业内部网信息，又要能够保证用户和企业内部网的安全。远程用户利用VPN技术，通过拨号、ISDN等方式接入公司内部网。AccessVPN

10、一般包含两部分，远程用户VPN客户端软件和VPN接入设备，其组成结构如图9-4所示。,图9-4AccessVPN应用示意图,9.3.3IntranetVPN随着业务的发展变化，企业办公点不再集中在一个地点，而是分布在各个不同的地理区域，甚至是跨越不同的国家。因而，企业的信息环境也随之变化，针对企业的这种情况，IntranetVPN的用途就是通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全地互连起来，实现企业内部信息的安全共享和企业办公自动化。IntranetVPN一般的组成结构如图9-5所示。,图9-5IntranetVPN示意图,9.3.4ExtranetVPN由于企业合作伙伴的主机和网络分布在不同地理位置上，传统上一般通过专线互连实现信息交换，但是如此一来网络建设与管理维护都非常困难，造成企业间的商业交易程序复杂化。ExtranetVPN则是利用VPN技术，在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务。ExtranetVPN解决了企业外部机构的接入安全和通信安全，同时也降低了网络建设成本。,9.4本章小结,VPN是信息安全的重要保证技术之一，随着网络应用的深入，VPN将会起到越来越重要的作用。本章介绍了VPN的基本概念