计算机网络信息安全理论与实践教程-第9章

9第9章VPN技术的原理与应用第9章VPN技术的原理与应用9.1VPN概况9.2VPN相关技术9.3VPN典型应用9.4本章小结本章思考与练习9第9章VPN技术的原理与应用9.1VPN概况9.1.1VPN概念VPN是英文的VirtualPrivateNetwork的缩写，中文翻译为“虚拟专用网”，其基本技术原理是把需要经过公共网传递的报文(packet)做加密处理后，再由公共网络发送到目的地，如图9-1所示。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道，经过VPN传输的数据在公共网上具有保密性。9第9章VPN技术的原理与应用图9-1VPN原理示意图非可信外部公网VPN网络AVPN网络B9第9章VPN技术的原理与应用9.1.2VPN安全服务功能通过VPN技术，企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道，并能得到VPN提供的多种安全服务，从而实现企业网安全。VPN主要的安全服务有以下三种：*保密性服务(Confidentiality)：防止传输的信息被监听。*完整性服务(Integrity)：防止传输的信息被修改。*认证服务(Authentication)：提供用户和设备的访问认证，防止非法接入。9第9章VPN技术的原理与应用9.1.3VPN实现方式VPN实现技术有多种方式，按照VPN在TCP/IP协议层的实现方式，主要可将它分为链路层VPN、网络层VPN和传输层VPN。链路层VPN的实现方式有ATM、FrameRelay、多协议标签交换MPLS；网络层VPN的实现方式有受控路由过滤、隧道技术；传输层VPN则通过SSL来实现。目前，市场上常见的产品主要支持IPsecVPN和SSLVPN。9第9章VPN技术的原理与应用9.2VPN相关技术9.2.1密码算法VPN的核心技术是密码算法。VPN利用密码算法，对需要传递的信息进行加密变换，从而确保网络上未授权的用户无法读取该信息。9第9章VPN技术的原理与应用9.2.2密钥管理VPN加、解密运算都离不开密钥，因而，VPN中密钥的分发与管理非常重要。密钥的分发有两种方式：一种是通过手工配置来分发，另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠，但是密钥更新速度慢，一般只适合于简单网络的情况。而密钥交换协议则通过采用软件方式，自动协商动态生成密钥，密钥可快速更新，可以显著提高VPN的安全性。目前，主要的密钥交换与管理标准有SKIP(互联网简单密钥管理)和ISAKMP/Oakley(安全联盟和密钥管理协议)。9第9章VPN技术的原理与应用9.2.3认证访问控制1．用户身份认证在VPN连接建立之前，VPN服务器对请求建立连接的VPN客户机进行身份验证，核查它是否为合法的授权用户。如果使用双向验证，还需进行VPN客户机对VPN服务器的身份验证，以防止伪装的非法服务器提供虚假信息。9第9章VPN技术的原理与应用2．数据完整性和合法性认证VPN除了进行用户认证外，还需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过了篡改。9第9章VPN技术的原理与应用9.2.4IPSec1．IPAHIPAH是一种安全协议，其安全目的是用于保证IP包的完整性和提供数据源认证。其基本方法是将IP包的部分内容用加密算法和Hash算法进行混合计算，生成一个消息认证代码，简称ICV(IntegrityCheckValue)，同时把ICV附加在IP包中，如图9-2所示。9第9章VPN技术的原理与应用图9-2IPAH协议包格式IPv4HeaderAuthHeaderUpperProtocol(e.g.TCP,UDP)9第9章VPN技术的原理与应用在TCP/IP通信过程中，IP包发送之前都事先计算好每个IP包的ICV，按照IPAH的协议规定重新构造包含ICV的新的IP包，然后再发送到接收方。通信接收方在收到用IPAH方式处理过的IP包后，根据IP包的AH信息验证ICV，从而确认IP包的完整性和来源。IP认证头AH的信息格式如图9-3所示。9第9章VPN技术的原理与应用图9-3IP认证头AH的信息格式NextHeaderLengthSecurityParametersIndexRESERVEDAuthenticationData(variablenumberof32-bitwords)9第9章VPN技术的原理与应用2．IPESPIPESP也是一种安全协议，其用途在于保证IP包的保密性，因IPAH不能提供IP包的保密性服务。IPESP的基本方法是将IP包做加密处理，对整个IP包或IP的数据域进行安全封装，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方。接收方收到后，对ESP进行解密，取掉ESP头，再对原来的IP包或更高层协议的数据像处理普通的IP包那样进行处理。RFC1827中对ESP的格式作了规定，AH与ESP体制可以合用，也可以分用。9第9章VPN技术的原理与应用IPAH和IPESP都有两种工作模式，即透明模式(Transportmode)和隧道模式(TunnelMode)。透明模式只保护IP包中的数据域(datapayload)，而隧道模式则保护IP的包头和数据域。因此，在隧道模式下，将创建新的IP包头，并把旧的IP包(指需做安全处理的IP包)作为新的IP包数据。基于Ipsec技术的主要优点是它的透明性，安全服务的提供不需要更改应用程序。但是它带来的问题是增加了网络安全管理难度，降低了网络传输性能。IPsec还涉及到密钥管理协议，即通信双方的SecurityAssociation已经事先建立成功。建立SecurityAssociation的方法可以是手工的或是自动的。9第9章VPN技术的原理与应用手工配置的方法比较简单，双方事先对AHSecurityKey、ESPSecurityKey等参数达成一致，然后分别写入双方的数据库中。自动的配置方法就是双方SecurityAssociation的各种参数是由KDC(KeyDistributedCenter)和通信双方共同商定的，共同商定的过程就必须遵循一个共同的协议，这就是密钥管理协议。目前，IPsec的密钥管理协议有IKE(InternetKeyExchange)、ISAKMP(InternetSecurityAssociationandKeyManagementProtocal)、Oakley。9第9章VPN技术的原理与应用9.2.5PPTPPPTP是Point-to-PointTunnelingProtocol的缩写，它是一个点到点安全隧道协议(PPTP)。该协议的作用是给电话上网的用户提供VPN安全服务。PPTP是PPP协议的一种扩展，它提供了在IP网上构建安全通道的机制。远程用户通过PPTP可以在客户机和PPTP服务器之间形成一条安全隧道，从而能够保证远程用户安全访问企业的内部网。9第9章VPN技术的原理与应用9.3VPN典型应用9.3.1VPN应用类型概况根据VPN的用途，可将它分为三种应用类型：远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)。下面分别说明这三种类型的VPN情况。9第9章VPN技术的原理与应用9.3.2AccessVPNAccessVPN主要解决远程用户安全办公问题，用户既要能远程获取企业内部网信息，又要能够保证用户和企业内部网的安全。远程用户利用VPN技术，通过拨号、ISDN等方式接入公司内部网。AccessVPN一般包含两部分，远程用户VPN客户端软件和VPN接入设备，其组成结构如图9-4所示。9第9章VPN技术的原理与应用图9-4AccessVPN应用示意图VPN网关公司总部因特网9第9章VPN技术的原理与应用9.3.3IntranetVPN随着业务的发展变化，企业办公点不再集中在一个地点，而是分布在各个不同的地理区域，甚至是跨越不同的国家。因而，企业的信息环境也随之变化，针对企业的这种情况，IntranetVPN的用途就是通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全地互连起来，实现企业内部信息的安全共享和企业办公自动化。IntranetVPN一般的组成结构如图9-5所示。9第9章VPN技术的原理与应用图9-5IntranetVPN示意图因特网VPN公司分支机构VPN公司分支机构VPN公司总部9第9章VPN技术的原理与应用9.3.4ExtranetVPN由于企业合作伙伴的主机和网络分布在不同地理位置上，传统上一般通过专线互连实现信息交换，但是如此一来网络建设与管理维护都非常困难，造成企业间的商业交易程序复杂化。ExtranetVPN则是利用VPN技术，在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务。ExtranetVPN解决了企业外部机构的接入安全和通信安全，同时也降低了网络建设成本。9第9章VPN技术的原理与应用9.4本章小结VPN是信息安全的重要保证技术之一，随着网络应用的深入，VPN将会起到越来越重要的作用。本章介绍了VPN的基本概念和作用，重点分析了VPN中的关键技术和重要协议。最后，本章给出了VPN的三种典型应用类型。9第9章VPN技术的原理与应用本章思考与练习1．VPN技术的原理是什么？2．VPN能够提供哪些安全服务？3．VPN的技术有哪些？4．如何去管理和分配VPN设备的密钥？5．VPN有几种应用类型？6．IPSec由什么组成？IPAH与IPESP的区别是什么？7．IPSec能解决什么样的安全问题？