1、网络管理与安全技术1谢谢观赏2019-9-21第6章网络安全技术n6.1安全通信协议n6.2加密技术n6.3认证机制n6.4 VPN技术n6.5 网络病毒防治技术2谢谢观赏2019-9-21第6章安全通信协议6.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSecn IPSec IPSecIP SecurityIP Security6.1.1 IPSec6.1.1 IPSec的作用的作用 IPSecIPSec通过在通过在IPIP层对所有业务流加密和认证,保层对所有业务流加密和认证,保证了所有分布式应用程序的安全性。证了所有分布式应用程序的安全性。n企业可在公网上建立自己的虚拟专
2、用网。企业可在公网上建立自己的虚拟专用网。n配有配有IPSecIPSec系统的用户,通过系统的用户,通过ISPISP获取安全访问。获取安全访问。nIPSecIPSec既可用于建立内部网安全连接也可用于外既可用于建立内部网安全连接也可用于外部网的安全连接。部网的安全连接。nIPSecIPSec可增加已有的安全协议的安全性。可增加已有的安全协议的安全性。3谢谢观赏2019-9-21IPSecIPSec应用示例应用示例IP报头报头IPSec报头报头安全安全IP负载负载IP报头报头IPSec报头报头安全安全IP负载负载IP报头报头IP负载负载具有具有IPSec的用户系统的用户系统具有具有IPSec的网
3、络设备的网络设备IP报头报头IP负载负载4谢谢观赏2019-9-216.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSec5谢谢观赏2019-9-216.1 6.1 网络层安全协议体系网络层安全协议体系IPSecIPSec 6谢谢观赏2019-9-216.1.2 6.1.2 IPSec体系结构体系结构 7谢谢观赏2019-9-218谢谢观赏2019-9-219谢谢观赏2019-9-211.1.安全关联安全关联(Security AssociationsSecurity Associations) 10谢谢观赏2019-9-211.1.安全关联安全关联(Security Ass
4、ociationsSecurity Associations)11谢谢观赏2019-9-212. AH2. AH和和ESPESP的两种使用模式的两种使用模式原原IP报头报头TCP数据数据ESP报尾报尾ESP认证数据认证数据ESP报头报头加密的加密的认证的认证的12谢谢观赏2019-9-212. AH2. AH和和ESPESP的两种使用模式的两种使用模式隧道模式用于对整个隧道模式用于对整个IPIP数据报的保护,即给原数数据报的保护,即给原数据报加一个新的报头(网关地址)。原数据报就据报加一个新的报头(网关地址)。原数据报就成为新数据报的负载。成为新数据报的负载。原数据报在整个传送过程中就象在隧道
5、中一样,原数据报在整个传送过程中就象在隧道中一样,传送路径上的路由器都有无法看到原数据报的报传送路径上的路由器都有无法看到原数据报的报头头。由于封装了原数据报,新数据报的源地址和目标由于封装了原数据报,新数据报的源地址和目标地址都与原数据报不同,从而增加了安全性。地址都与原数据报不同,从而增加了安全性。新新IP报头报头原原IP报头报头数据数据ESP报尾报尾ESP认证数据认证数据ESP报头报头加密的加密的认证的认证的13谢谢观赏2019-9-21n 一个一个SA能够实现能够实现AH协议或协议或ESP协议,但却协议,但却不能同时实现这两种协议。不能同时实现这两种协议。n当要求在主机间和网关间都实现
6、当要求在主机间和网关间都实现IPSec业务业务时,就要求建立多个时,就要求建立多个SA, 即采用即采用SA组合方组合方式。式。14谢谢观赏2019-9-21InternetInternetInternetLANRouterRouter实现IPSec安全网关安全网关安全网关安全网关隧道隧道SA一个或两个一个或两个SALAN15谢谢观赏2019-9-2116谢谢观赏2019-9-21 6.1.4 SSL协议概述协议概述n 安全套接层协议安全套接层协议SSLSSL是在是在InternetInternet上提供一种保上提供一种保证私密性的安全协议。证私密性的安全协议。n C/SC/S通信中,可始终对服
7、务器和客户进行认证。通信中,可始终对服务器和客户进行认证。n SSLSSL协议要求建立在可靠的协议要求建立在可靠的TCPTCP之上,高层的应用之上,高层的应用协议能透明地建立在协议能透明地建立在SSLSSL之上。之上。n SSLSSL协议在应用层协议通信之前就已经完成加密协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。算法、通信密钥的协商以及服务器认证工作。17谢谢观赏2019-9-21 6.1.4 Web安全性方法安全性方法 HTTP FTPSMTPTCPIP/IPSecHTTP FTPSMTPTCPIPSSLorTLSPGP SETTCPIPSMTPUDPKe
8、rberosHTTPS/MIME18谢谢观赏2019-9-216.1.4 Web安全性方法安全性方法网络层安全实现网络层安全实现 利用利用IPSecIPSec提供提供WebWeb的安全性,其优点是对终端用的安全性,其优点是对终端用户和应用程序是透明的,且为户和应用程序是透明的,且为WebWeb安全提供一般目安全提供一般目的的解决方法。的的解决方法。传输层安全实现传输层安全实现 将将SSLSSL或或TLSTLS作为作为TCPTCP基本协议组的一部分,因此基本协议组的一部分,因此对应用程序来说是透明的。还可将对应用程序来说是透明的。还可将SSLSSL嵌套在特定嵌套在特定的数据包中(如的数据包中(如
9、IEIE等大多数等大多数WebWeb服务器都装有服务器都装有SSLSSL)。)。应用层安全实现应用层安全实现 对特定应用程序来说,其安全业务可在应用程序对特定应用程序来说,其安全业务可在应用程序内部实现,这种方法的优点是安全业务可按应用内部实现,这种方法的优点是安全业务可按应用程序的特定需要来定制。程序的特定需要来定制。 19谢谢观赏2019-9-21n安全套接字层安全套接字层SSL是由是由Netscape设计的,目前有设计的,目前有SSLv 3。n SSL协议主要由协议主要由SSL记录协议和记录协议和SSL握手协议两部握手协议两部分组成。其结构如下:分组成。其结构如下:HTTPSSL更改密码
10、更改密码说明协议说明协议SSL握手协议握手协议TCPIPSSL记录协议记录协议SSL警示协议警示协议20谢谢观赏2019-9-21SSL记录协议记录协议n SSL记录协议可为记录协议可为SSL连接提供保密性业务和消连接提供保密性业务和消息完整性业务。息完整性业务。n保密性业务是通信双方通过握手协议建立一个共保密性业务是通信双方通过握手协议建立一个共享的密钥,用于对享的密钥,用于对SSL负载的单钥加密。负载的单钥加密。n消息完整性业务是通过握手协议建立一个用于计消息完整性业务是通过握手协议建立一个用于计算算MAC(消息完整性认证消息完整性认证)的共享密钥。)的共享密钥。21谢谢观赏2019-9-
11、212. 2. SSL SSL握手协议握手协议n握手协议用于服务器和客户机之间的相互认握手协议用于服务器和客户机之间的相互认证及协商加密算法、证及协商加密算法、MACMAC算法和密钥,它算法和密钥,它的执行是在发送应用数据以前。的执行是在发送应用数据以前。22谢谢观赏2019-9-2123谢谢观赏2019-9-21对称加密示意图对称加密示意图 24谢谢观赏2019-9-211.对称算法对称算法 产生一个对称密钥可以用许多算法,产生一个对称密钥可以用许多算法,RSARSA算法是算法是最常用的商业算法。既能用于数据加密又能用于最常用的商业算法。既能用于数据加密又能用于数字签名的算法数字签名的算法
12、。 在商业应用程序中在商业应用程序中RSARSA算法中的算法中的RC2RC2和和RC4RC4是最常是最常用的对称密钥算法。其密钥长度为用的对称密钥算法。其密钥长度为4040位。位。 RC2RC2是由是由Ron RivestRon Rivest开发的,是一种块模式的密文,开发的,是一种块模式的密文,即将信息加密成即将信息加密成6464位的数据。位的数据。RC4RC4是由是由Rivest Rivest 在在19871987年开发的,是一种流式的密年开发的,是一种流式的密文,即实时的把信息加密成一个整体,密钥的长文,即实时的把信息加密成一个整体,密钥的长度也是可变的。在美国密钥长度是度也是可变的。在
13、美国密钥长度是128128位,向外出位,向外出口时密钥长度限制到口时密钥长度限制到4040位,位,Lotus Notes, Oracle Lotus Notes, Oracle Secure SQLSecure SQL都使用都使用RC4RC4的算法。的算法。25谢谢观赏2019-9-212.2.优点和缺点优点和缺点 对称加密的优点在于它的高速度和高强度。用该对称加密的优点在于它的高速度和高强度。用该加密方法可以一秒钟之内加密大量的信息。加密方法可以一秒钟之内加密大量的信息。为了使信息在网络上传输,用户必须找到一个安为了使信息在网络上传输,用户必须找到一个安全传递口令密钥的方法。如用户可以直接见
14、面转全传递口令密钥的方法。如用户可以直接见面转交密钥,若使用电子邮件则容易被窃取,影响保交密钥,若使用电子邮件则容易被窃取,影响保密的效果。密的效果。定期改变密钥可改进对称密钥加密方法的安全性,定期改变密钥可改进对称密钥加密方法的安全性,但是改变密码并及时通知其他用户的过程是相当但是改变密码并及时通知其他用户的过程是相当困难的。而且攻击者还可以通过字典程序来破译困难的。而且攻击者还可以通过字典程序来破译对称密钥。对称密钥。 26谢谢观赏2019-9-213.3.数据加密标准数据加密标准 DES-DES-最著名的对称加密技术,是最著名的对称加密技术,是IBMIBM于于7070年代为年代为国家标准
15、局研制的数据加密标准国家标准局研制的数据加密标准。DESDES采用采用6464位长的密钥(包括位长的密钥(包括8 8个校验位,密钥长个校验位,密钥长度为度为5656位),能将原文的若干个位),能将原文的若干个6464位块变换成加位块变换成加密的若干个密的若干个6464位代码块。位代码块。其原理是将原文经过一系列的排列与置换所产生其原理是将原文经过一系列的排列与置换所产生的结果再于原文异或合并。该加密过程重复的结果再于原文异或合并。该加密过程重复1616次,次,每次所用的密钥位排列不同。即使按照目前的标每次所用的密钥位排列不同。即使按照目前的标准,采用该方法的加密结果也是相当安全。准,采用该方法
16、的加密结果也是相当安全。 27谢谢观赏2019-9-21美国在美国在19981998年年1212月决定将不再使用月决定将不再使用DESDES。原因为原因为19981998年年5 5月美国月美国EFFEFF(Electronics Frontier Electronics Frontier FoundationFoundation)宣布,他们的一台专用解密机,用)宣布,他们的一台专用解密机,用5656小时破译了小时破译了5656位密钥的位密钥的DESDES。美 国 国 家 标 准 和 技 术 协 会 又 制 定 了美 国 国 家 标 准 和 技 术 协 会 又 制 定 了 A E SA E S(
17、Advanced Encryption StandardAdvanced Encryption Standard)这一新的加密标)这一新的加密标准。准。DESDES对于推动密码理论的发展和应用起了重大的对于推动密码理论的发展和应用起了重大的作用。作用。 28谢谢观赏2019-9-2129谢谢观赏2019-9-21非对称加密示意图 30谢谢观赏2019-9-2131谢谢观赏2019-9-2132谢谢观赏2019-9-21单向加密包括一个含有哈希函数的哈希表,由这单向加密包括一个含有哈希函数的哈希表,由这个表确定用来加密的十六位进制数。个表确定用来加密的十六位进制数。使用单向加密对信息加密,在理论
18、上加以解密是使用单向加密对信息加密,在理论上加以解密是不可能的。不可能的。HASHHASH加密用于不想对信息解读或读取而只需证实加密用于不想对信息解读或读取而只需证实信息的正确性。这种加密方式适用于签名文件。信息的正确性。这种加密方式适用于签名文件。 33谢谢观赏2019-9-21例如,例如,ATMATM自动取款机不需要解密用户的身份证号码,自动取款机不需要解密用户的身份证号码,可以对用户的身份证号码进行计算产生一个结果。可以对用户的身份证号码进行计算产生一个结果。即磁条卡将用户的身份证号单向加密成一段即磁条卡将用户的身份证号单向加密成一段HASHHASH值,一旦插卡,值,一旦插卡,ATMAT
19、M机将计算用户信息的机将计算用户信息的HASHHASH值并值并产生一个结果,然后再将其结果与用户卡上的产生一个结果,然后再将其结果与用户卡上的HASHHASH值比较,以此进行认证。值比较,以此进行认证。 34谢谢观赏2019-9-21HASHHASH算法算法 HASHHASH加密使用复杂的数字算法来实现有效的加加密使用复杂的数字算法来实现有效的加密。密。典型典型HASHHASH算法算法MD5MD5算法算法的。其中最常用到的是MD5的系统。35谢谢观赏2019-9-21数字签名数字签名在商业系统中,通常都利用书面文件来规定契约性在商业系统中,通常都利用书面文件来规定契约性的责任。的责任。鉴别技术
20、可以有效地防止第三者的介入,但却不能鉴别技术可以有效地防止第三者的介入,但却不能防止接收者的伪造。防止接收者的伪造。另一方面,当发送的信息变得对其不利时,发送方另一方面,当发送的信息变得对其不利时,发送方就可能谎称从未发过这个信息。在整个争执过程中,就可能谎称从未发过这个信息。在整个争执过程中,第三方也无法分辨情况的真实性。第三方也无法分辨情况的真实性。36谢谢观赏2019-9-21 为了解决上述问题,就必须利用另外一种安全技术即数字签为了解决上述问题,就必须利用另外一种安全技术即数字签名。名。数字签名的功能数字签名的功能:l l 接收者能够核实发送者对报文的签名。接收者能够核实发送者对报文的
21、签名。l l 发送者事后不能抵赖对报文的签名。发送者事后不能抵赖对报文的签名。l l 任何人不能伪造对报文的签名。任何人不能伪造对报文的签名。 l l 保证数据的完整性,防止截获者在文件中加入其他信息。保证数据的完整性,防止截获者在文件中加入其他信息。 l l 对数据和信息的来源进行保证,以保证发件人的身份。对数据和信息的来源进行保证,以保证发件人的身份。 数字签名有一定的处理速度,能够满足所有的应用需求。数字签名有一定的处理速度,能够满足所有的应用需求。 37谢谢观赏2019-9-2138谢谢观赏2019-9-2139谢谢观赏2019-9-211 1)发送方和接收方在发送信息之前要得到对方的
22、公钥。)发送方和接收方在发送信息之前要得到对方的公钥。2 2)发送方产生一个随机的会话密钥,用于加密)发送方产生一个随机的会话密钥,用于加密emailemail信信息和附件的。这个密钥是根据时间的不同以及文件息和附件的。这个密钥是根据时间的不同以及文件的大小和日期而随机产生的。算法通过使用的大小和日期而随机产生的。算法通过使用DES, DES, Triple DES, RC5Triple DES, RC5等等。等等。 3 3) 发送者将该会话密钥和信息进行一次单向加密得发送者将该会话密钥和信息进行一次单向加密得到一个到一个HASHHASH值。这个值用来保证数据的完整性因为值。这个值用来保证数据
23、的完整性因为它在传输的过程中不会被改变。在这一步通常使用它在传输的过程中不会被改变。在这一步通常使用MD2, MD4, MD5MD2, MD4, MD5或或SHA1SHA1。MD5MD5用于用于SSLSSL。 4 4) 发送者用自己的私钥对这个发送者用自己的私钥对这个HASHHASH值加密。通过使值加密。通过使用发送者的私钥加密,接收者可以确定信息确实是用发送者的私钥加密,接收者可以确定信息确实是从这个发送者发过来的。加密后的从这个发送者发过来的。加密后的HASHHASH值称做信息值称做信息摘要。摘要。 40谢谢观赏2019-9-21 5) 发送者用在第二步产生的会话密钥对发送者用在第二步产生
24、的会话密钥对E-mail信息和信息和所有的附件加密。这种加密提供了数据的保密性。所有的附件加密。这种加密提供了数据的保密性。 6) 发送者用接收者的公钥对这个会话密钥加密,来确发送者用接收者的公钥对这个会话密钥加密,来确保信息只能被接收者用其自己的私钥解密。这步提供保信息只能被接收者用其自己的私钥解密。这步提供了认证。了认证。 7) 然后将加密后的信息和数字摘要发送给接收方。解然后将加密后的信息和数字摘要发送给接收方。解密的过程正好以相反的顺序执行。密的过程正好以相反的顺序执行。 41谢谢观赏2019-9-2142谢谢观赏2019-9-211. PGP (Pretty Good Privacy
25、)PGP是对电子邮件和文本文件较流行的高技术加是对电子邮件和文本文件较流行的高技术加密程序,密程序,PGP的成功在于采用对称加密和非对称的成功在于采用对称加密和非对称加密技术以及加密技术以及HASH加密各自的优点。加密各自的优点。 2. Secure MIME(S-MIME)S-MIME为一个公共的工业标准方法,主要应用为一个公共的工业标准方法,主要应用到到Netscape Communicators Messenger E-mail程程序上。序上。 43谢谢观赏2019-9-213. 加密文件加密文件 除了加密除了加密E-mail信息,还可以加密整个硬盘的任何信息,还可以加密整个硬盘的任何部
26、分,建立隐藏加密的驱动器。部分,建立隐藏加密的驱动器。对于对于Windows平台可选平台可选BestCrypt()。4. MD5sumMD5sum可以应用到可以应用到Windows NT或或Liunx上。上。Linux系统下的系统下的md5sum实用程序可对一个单独的文件建立实用程序可对一个单独的文件建立固定长度的校验和,该文件长度可以任意,但校验和固定长度的校验和,该文件长度可以任意,但校验和总是保持总是保持128位的长度。用于检查一个文档是否被损位的长度。用于检查一个文档是否被损害。害。 44谢谢观赏2019-9-215. Web服务器加密服务器加密加密加密WEB服务器有两种模式:服务器有
27、两种模式: 安全超文本传输协议(安全超文本传输协议(Secure HTTP) 安全套接字层(安全套接字层(SSL)。)。这两种协议都允许自发的进行商业交易,这两种协议都允许自发的进行商业交易, Secure HTTP和和SSL都使用对称加密,非对称加密和单向都使用对称加密,非对称加密和单向加密,并使用单向加密的方法对所有的数据包签加密,并使用单向加密的方法对所有的数据包签名。名。 45谢谢观赏2019-9-21Secure HTTPSecure HTTP使用非对称加密保护在线传输,大多使用非对称加密保护在线传输,大多数浏览器都支持这个协议数浏览器都支持这个协议。 SSLSSL协议允许应用程序在
28、公网上秘密的交换数据。协议允许应用程序在公网上秘密的交换数据。SSLSSL允许两个应用程序通过使用数字证书认证后在网允许两个应用程序通过使用数字证书认证后在网络中进行通信。还使用加密及信息摘要来保证数据络中进行通信。还使用加密及信息摘要来保证数据的可靠性。的可靠性。 SSLSSL比其它方法更加安全,其加密的过程是发生在网比其它方法更加安全,其加密的过程是发生在网络的较低层。络的较低层。 Secure HTTPSecure HTTP只能加密只能加密HTTPHTTP流量。流量。46谢谢观赏2019-9-21密码破译方法密码破译方法n1密钥的穷尽搜索密钥的穷尽搜索n破译密文就是尝试所有可能的密钥组合
29、。破译密文就是尝试所有可能的密钥组合。虽然大多数的密钥尝试都是失败的,但最虽然大多数的密钥尝试都是失败的,但最终有一个密钥让破译者得到原文,这个过终有一个密钥让破译者得到原文,这个过程称为密钥的穷尽搜索。程称为密钥的穷尽搜索。n2密码分析密码分析n(1)已知明文的破译方法)已知明文的破译方法n(2)选定明文的破译方法)选定明文的破译方法47谢谢观赏2019-9-21n3其他密码破译方法其他密码破译方法n“窥视窥视”或或“偷窃偷窃”密钥内容;利用加密密钥内容;利用加密系统实现中的缺陷或漏洞;系统实现中的缺陷或漏洞;n对用户使用的加密系统偷梁换柱;从用户对用户使用的加密系统偷梁换柱;从用户工作生活
30、环境的其他来源获得未加密的保工作生活环境的其他来源获得未加密的保密信息;密信息;n让口令的另一方透露密钥或信息;威胁用让口令的另一方透露密钥或信息;威胁用户交出密钥等等。户交出密钥等等。 密码破译方法密码破译方法48谢谢观赏2019-9-21 密码破译方法密码破译方法49谢谢观赏2019-9-21常见系统的口令及其对应的密钥长度常见系统的口令及其对应的密钥长度50谢谢观赏2019-9-2151谢谢观赏2019-9-2152谢谢观赏2019-9-2153谢谢观赏2019-9-2154谢谢观赏2019-9-21修改锁定修改锁定时间为时间为055谢谢观赏2019-9-21修 改 阀值为356谢谢观赏
31、2019-9-216.3 认证机制认证机制57谢谢观赏2019-9-21n实物认证:智能卡(实物认证:智能卡(Smart CardSmart Card)就是一种根据)就是一种根据用户拥有的物品进行鉴别的手段。自动取款机用户拥有的物品进行鉴别的手段。自动取款机ATMATM。n密码认证:口令可以说是其中的一种,但口令容密码认证:口令可以说是其中的一种,但口令容易被偷窃,于是人们发明了一种一次性口令机制。易被偷窃,于是人们发明了一种一次性口令机制。 58谢谢观赏2019-9-2159谢谢观赏2019-9-2160谢谢观赏2019-9-2161谢谢观赏2019-9-2162谢谢观赏2019-9-216
32、3谢谢观赏2019-9-2164谢谢观赏2019-9-2165谢谢观赏2019-9-2166谢谢观赏2019-9-21用户CKerberos认 证 服 务器AS票 据 服 务器 TGS数据库服务器V67谢谢观赏2019-9-2168谢谢观赏2019-9-2169谢谢观赏2019-9-2170谢谢观赏2019-9-2171谢谢观赏2019-9-2172谢谢观赏2019-9-2173谢谢观赏2019-9-216.46.4虚拟专用网及其安全性虚拟专用网及其安全性 n虚拟专用网虚拟专用网VPNVPN(Virtual Private NetworksVirtual Private Networks)是)
33、是企业内部网在企业内部网在InternetInternet等公共网络上的延伸,通等公共网络上的延伸,通过一个专用的通道来创建一个安全的专用连接,过一个专用的通道来创建一个安全的专用连接,从而可将远程用户、企业分支机构、公司的业务从而可将远程用户、企业分支机构、公司的业务合作伙伴等与公司的内部网连接起来,构成一个合作伙伴等与公司的内部网连接起来,构成一个扩展的企业内部网。扩展的企业内部网。n通过通过VPNVPN,网络服务提供商,网络服务提供商NSPNSP或或ISPISP可使用可使用InternetInternet或服务器将自己的或服务器将自己的IPIP主干网向企业提供主干网向企业提供远程访问和分
34、支机构互联等业务,从而扩大了自远程访问和分支机构互联等业务,从而扩大了自己己网络的地域范围网络的地域范围,增加了自己的商业服务机会。,增加了自己的商业服务机会。而对企业来说可很大程度地降低自己的费用,减而对企业来说可很大程度地降低自己的费用,减少对网络管理和支持终端用户的需求,并可使自少对网络管理和支持终端用户的需求,并可使自己的安全规则更为灵活。己的安全规则更为灵活。 74谢谢观赏2019-9-216.46.4虚拟专用网及其安全性虚拟专用网及其安全性 75谢谢观赏2019-9-216.46.4虚拟专用网及其安全性虚拟专用网及其安全性 76谢谢观赏2019-9-216.46.4虚拟专用网及其安
35、全性虚拟专用网及其安全性 77谢谢观赏2019-9-216.46.4虚拟专用网及其安全性虚拟专用网及其安全性 78谢谢观赏2019-9-216.4.16.4.1 VPNVPN简介简介 nVPNVPN指的是在共享网络上建立专用网络的技术,其连指的是在共享网络上建立专用网络的技术,其连接技术称为隧道。之所以称为虚拟网主要是因为整个接技术称为隧道。之所以称为虚拟网主要是因为整个VPNVPN网络的任意两个节点之间的连接并没有传统专用网络的任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是架构在公用网络服网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如务商所提供的网
36、络平台(如InternetInternet,ATMATM,Frame Frame RelayRelay等)之上的逻辑网络,用户数据在逻辑链路中等)之上的逻辑网络,用户数据在逻辑链路中传输。其传输。其VPNVPN具有虚电路的特点。具有虚电路的特点。nVPNVPN协议可以处理数据包,并对其有效负载加密,把协议可以处理数据包,并对其有效负载加密,把数据包发送到目的地址。数据包发送到目的地址。 79谢谢观赏2019-9-216.4.16.4.1 VPNVPN简介简介nVPNVPN具有以下优点:具有以下优点: 1.1.降低成本:企业不必租用长途专线建设专网以及大量降低成本:企业不必租用长途专线建设专网以
37、及大量的网络维护人员和设备的投资。的网络维护人员和设备的投资。2.2.容易扩展:网络路由设备配置简单。容易扩展:网络路由设备配置简单。 3.3.控制主动权:控制主动权:VPNVPN上的设施和服务完全掌握在企业手上的设施和服务完全掌握在企业手中。企业可以把拨号访问交给中。企业可以把拨号访问交给NSPNSP去做,而自己负责去做,而自己负责用户的查验、访问权、网络地址、安全性和网络变化用户的查验、访问权、网络地址、安全性和网络变化管理等重要工作。管理等重要工作。 VPNVPN通过采用通过采用“隧道隧道”技术,在公网中形成企业的安技术,在公网中形成企业的安全、机密、顺畅的专用链路。全、机密、顺畅的专用
38、链路。 常见的常见的VPNVPN协议有协议有PPTPPPTP和和IPSecIPSec。 80谢谢观赏2019-9-216.4.2 6.4.2 VPN的安全性的安全性 n对于对于VPNVPN的实施来说,安全性也是很重要的。如果不的实施来说,安全性也是很重要的。如果不能保证其安全性,黑客就可以假扮用户以获取网络信能保证其安全性,黑客就可以假扮用户以获取网络信息,这样就会对网络安全造成威胁。息,这样就会对网络安全造成威胁。 1. 1. 点对点的隧道协议(点对点的隧道协议(PPTPPPTP) nPPTPPPTP是用来在公用网的通信系统间(通常是客户机和是用来在公用网的通信系统间(通常是客户机和服务器间
39、)建立一个专用通道。该协议使用服务器间)建立一个专用通道。该协议使用Internet Internet 通用路由封装(通用路由封装(GREv2GREv2,Generic Routing Generic Routing EncapsulationEncapsulation)协议封装数据和信息)协议封装数据和信息/ /控制分组。控制分组。n PPTPPPTP是在微软的拨号网络设备中集成的数据加密技是在微软的拨号网络设备中集成的数据加密技术,采用密钥长度为术,采用密钥长度为4040比特的加密算法。在客户工作比特的加密算法。在客户工作站与最终的隧道终结器协商站与最终的隧道终结器协商PPPPPP时,加密
40、的会话就建时,加密的会话就建立起来了立起来了. . 81谢谢观赏2019-9-216.4.2 6.4.2 VPN的安全性的安全性 2. 2. IPSecIPSec与与PPTPPPTP的比较的比较nIPSecIPSec已成为已成为VPNVPN的安全标准,用来进行对数据包的加的安全标准,用来进行对数据包的加密、认证和完整性确认。密、认证和完整性确认。IPSecIPSec标准是由一系列标准是由一系列IPIP级级的协议组成,这些协议用于在的协议组成,这些协议用于在IPIP收发两端协商加密方收发两端协商加密方法和数字签名方法。与点对点加密技术相比,法和数字签名方法。与点对点加密技术相比,IPSecIPS
41、ec的安全性更高。其具有用户认证、保密性和数据完整的安全性更高。其具有用户认证、保密性和数据完整性。性。nIPSecIPSec的另一个优点是其安全机制被松散地结合在密的另一个优点是其安全机制被松散地结合在密钥管理系统中,因此如果将来出现了更新更强大的密钥管理系统中,因此如果将来出现了更新更强大的密码算法就可直接用于这一体系结构,而无需对安全机码算法就可直接用于这一体系结构,而无需对安全机制进行修改。制进行修改。 82谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术83谢谢观赏2019-9-2184谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术85谢谢观赏2019-9-216.5 网络病毒防治技术网络病毒防治技术86谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术87谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术88谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术89谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术90谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术91谢谢观赏2019-9-21 网络病毒防治技术网络病毒防治技术92谢谢观赏2019-9-2193谢谢观赏2019-9-21
