1、9第9章VPN技术的原理与应用第9章VPN技术的原理与应用 9.1 VPN概况概况 9.2 VPN相关技术相关技术 9.3 VPN典型应用典型应用 9.4 本章小结本章小结 本章思考与练习本章思考与练习 9第9章VPN技术的原理与应用9.1 VPN概况概况 9.1.1 9.1.1 VPNVPN概念概念VPN是英文的Virtual Private Network的缩写,中文翻译为“虚拟专用网”,其基本技术原理是把需要经过公共网传递的报文(packet)做加密处理后,再由公共网络发送到目的地,如图9-1所示。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道,经过VPN传输的数据在公共
2、网上具有保密性。9第9章VPN技术的原理与应用图9-1 VPN原理示意图 非可信外部公网VPN网络 AVPN网络 B9第9章VPN技术的原理与应用9.1.2 9.1.2 VPNVPN安全服务功能安全服务功能通过VPN技术,企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道,并能得到VPN提供的多种安全服务,从而实现企业网安全。VPN主要的安全服务有以下三种:*保密性服务(Confidentiality):防止传输的信息被监听。*完整性服务(Integrity):防止传输的信息被修改。*认证服务(Authentication):提供用户和设备的访问认证,防止非法接入。9第9章VPN技术的
3、原理与应用9.1.3 9.1.3 VPNVPN实现方式实现方式VPN实现技术有多种方式,按照VPN在TCP/IP协议层的实现方式,主要可将它分为链路层VPN、网络层VPN和传输层VPN。链路层VPN的实现方式有ATM、Frame Relay、多协议标签交换MPLS;网络层VPN的实现方式有受控路由过滤、隧道技术;传输层VPN则通过SSL来实现。目前,市场上常见的产品主要支持IPsec VPN和SSL VPN。9第9章VPN技术的原理与应用9.2 VPN相关技术相关技术 9.2.1 9.2.1 密码算法密码算法VPN的核心技术是密码算法。VPN利用密码算法,对需要传递的信息进行加密变换,从而确保
4、网络上未授权的用户无法读取该信息。9第9章VPN技术的原理与应用9.2.2 9.2.2 密钥管理密钥管理VPN加、解密运算都离不开密钥,因而,VPN中密钥的分发与管理非常重要。密钥的分发有两种方式:一种是通过手工配置来分发,另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠,但是密钥更新速度慢,一般只适合于简单网络的情况。而密钥交换协议则通过采用软件方式,自动协商动态生成密钥,密钥可快速更新,可以显著提高VPN的安全性。目前,主要的密钥交换与管理标准有SKIP(互联网简单密钥管理)和ISAKMP/Oakley(安全联盟和密钥管理协议)。9第9章VPN技术的原理与应用9.2.3 9.2.3
5、认证访问控制认证访问控制1 1用户身份认证用户身份认证在VPN连接建立之前,VPN服务器对请求建立连接的VPN客户机进行身份验证,核查它是否为合法的授权用户。如果使用双向验证,还需进行VPN客户机对VPN服务器的身份验证,以防止伪装的非法服务器提供虚假信息。9第9章VPN技术的原理与应用2 2数据完整性和合法性认证数据完整性和合法性认证VPN除了进行用户认证外,还需要检查传输的信息是否来自可信源,并且确认在传输过程中信息是否经过了篡改。9第9章VPN技术的原理与应用9.2.4 IPSec 1 1IP AHIP AHIP AH是一种安全协议,其安全目的是用于保证IP包的完整性和提供数据源认证。其
6、基本方法是将IP包的部分内容用加密算法和Hash算法进行混合计算,生成一个消息认证代码,简称ICV(Integrity Check Value),同时把ICV附加在IP包中,如图9-2所示。9第9章VPN技术的原理与应用图9-2 IP AH协议包格式 IPv4 H eaderA uth H eaderU pperProtocol(e.g.TC P,U D P)9第9章VPN技术的原理与应用在TCP/IP通信过程中,IP包发送之前都事先计算好每个IP包的ICV,按照IP AH的协议规定重新构造包含ICV的新的IP包,然后再发送到接收方。通信接收方在收到用IP AH方式处理过的IP包后,根据IP包
7、的AH信息验证ICV,从而确认IP包的完整性和来源。IP认证头AH的信息格式如图9-3所示。9第9章VPN技术的原理与应用图9-3 IP认证头AH的信息格式 Next HeaderLengthSecurity Parameters IndexRESERVEDAuthentication Data(variable number of 32-bit words)9第9章VPN技术的原理与应用2 2IP ESPIP ESPIP ESP也是一种安全协议,其用途在于保证IP包的保密性,因IP AH不能提供IP包的保密性服务。IP ESP的基本方法是将IP包做加密处理,对整个IP包或IP的数据域进行安全
8、封装,并生成带有ESP协议信息的IP包,然后将新的IP包发送到通信的接收方。接收方收到后,对ESP进行解密,取掉ESP头,再对原来的IP包或更高层协议的数据像处理普通的IP包那样进行处理。RFC 1827中对ESP的格式作了规定,AH与ESP体制可以合用,也可以分用。9第9章VPN技术的原理与应用IP AH和IP ESP都有两种工作模式,即透明模式(Transport mode)和隧道模式(Tunnel Mode)。透明模式只保护IP包中的数据域(data payload),而隧道模式则保护IP的包头和数据域。因此,在隧道模式下,将创建新的IP包头,并把旧的IP包(指需做安全处理的IP包)作为
9、新的IP包数据。基于Ipsec技术的主要优点是它的透明性,安全服务的提供不需要更改应用程序。但是它带来的问题是增加了网络安全管理难度,降低了网络传输性能。IPsec还涉及到密钥管理协议,即通信双方的Security Association已经事先建立成功。建立Security Association的方法可以是手工的或是自动的。9第9章VPN技术的原理与应用手工配置的方法比较简单,双方事先对AH Security Key、ESP Security Key等参数达成一致,然后分别写入双方的数据库中。自动的配置方法就是双方Security Association的各种参数是由KDC(Key Dis
10、tributed Center)和通信双方共同商定的,共同商定的过程就必须遵循一个共同的协议,这就是密钥管理协议。目前,IPsec的密钥管理协议有IKE(Internet Key Exchange)、ISAKMP(Internet Security Association and Key Management Protocal)、Oakley。9第9章VPN技术的原理与应用9.2.5 9.2.5 PPTPPPTPPPTP是Point-to-Point Tunneling Protocol的缩写,它是一个点到点安全隧道协议(PPTP)。该协议的作用是给电话上网的用户提供VPN安全服务。PPTP是
11、PPP协议的一种扩展,它提供了在IP网上构建安全通道的机制。远程用户通过PPTP 可以在客户机和PPTP服务器之间形成一条安全隧道,从而能够保证远程用户安全访问企业的内部网。9第9章VPN技术的原理与应用9.3 VPN典型应用典型应用 9.3.1 9.3.1 VPNVPN应用类型概况应用类型概况根据VPN的用途,可将它分为三种应用类型:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。下面分别说明这三种类型的VPN情况。9第9章VPN技术的原理与应用9.3.2 9.3.2 Access VPNAccess VPN A
12、ccess VPN主要解决远程用户安全办公问题,用户既要能远程获取企业内部网信息,又要能够保证用户和企业内部网的安全。远程用户利用VPN技术,通过拨号、ISDN等方式接入公司内部网。Access VPN一般包含两部分,远程用户VPN客户端软件和VPN接入设备,其组成结构如图9-4所示。9第9章VPN技术的原理与应用图9-4 Access VPN应用示意图 VPN网关公司总部因特网9第9章VPN技术的原理与应用9.3.3 9.3.3 Intranet VPN Intranet VPN 随着业务的发展变化,企业办公点不再集中在一个地点,而是分布在各个不同的地理区域,甚至是跨越不同的国家。因而,企业
13、的信息环境也随之变化,针对企业的这种情况,Intranet VPN的用途就是通过公用网络,如因特网,把分散在不同地理区域的企业办公点的局域网安全地互连起来,实现企业内部信息的安全共享和企业办公自动化。Intranet VPN一般的组成结构如图9-5所示。9第9章VPN技术的原理与应用图9-5 Intranet VPN示意图 因特网VPN公司分支机构VPN公司分支机构VPN公司总部9第9章VPN技术的原理与应用9.3.4 9.3.4 Extranet VPN Extranet VPN 由于企业合作伙伴的主机和网络分布在不同地理位置上,传统上一般通过专线互连实现信息交换,但是如此一来网络建设与管理
14、维护都非常困难,造成企业间的商业交易程序复杂化。Extranet VPN则是利用VPN技术,在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全接到企业内部网,以方便企业与合作伙伴共享信息和服务。Extranet VPN解决了企业外部机构的接入安全和通信安全,同时也降低了网络建设成本。9第9章VPN技术的原理与应用9.4 本本 章章 小小 结结 VPN是信息安全的重要保证技术之一,随着网络应用的深入,VPN将会起到越来越重要的作用。本章介绍了VPN的基本概念和作用,重点分析了VPN中的关键技术和重要协议。最后,本章给出了VPN的三种典型应用类型。9第9章VPN技术的原理与应用本章思考与练习本章思考与练习1VPN技术的原理是什么?2VPN能够提供哪些安全服务?3VPN的技术有哪些?4如何去管理和分配VPN设备的密钥?5VPN有几种应用类型?6IPSec由什么组成?IP AH与IP ESP的区别是什么?7IPSec能解决什么样的安全问题?