VPN技术原理课件.ppt
《VPN技术原理课件.ppt》由会员分享,可在线阅读,更多相关《VPN技术原理课件.ppt(51页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、VPN技术原理,IPSEC VPN技术基础,一、VPN的定义,虚拟专用网:Virtual Private Network,特点: VPN是企业网在互连网等公共网络上的延伸; VPN通过一个私有的通道来创建一个安全的私有连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网; VPN能够提供高性能、低价位的远程安全接入;,二、VPN技术产生的原因,1、COST:专线费用高昂。,2、不使用任何技术措施直接在公共网络上传输私有数据,则数据的安全性无法保证。 机密性:Confidentiality 完整性:Integrity 可用性:Availability 数据源
2、身份验证 抗重放攻击,窃听 消息篡改 内容修改:消息内容被插入、删除、修改。 顺序修改:插入、删除或重组消息序列。 时间修改:消息延迟或重放。 冒充:从一个假冒信息源向网络中插入消息 抵赖:接受者否认收到消息;发送者否认发送过消息 业务流分析(重放攻击),数据传输中常见的攻击类型,1010101,Internet,窃 听,业务流分析,消 息 篡 改,冒 充,抵 赖,数据机密性保护,1100111001 0100010100 1010100100 0100100100 0001000000,1100111001 0100010100 1010100100 0100100100 000100000
3、0,明文,加密,解密,明文,密文,密文,VPN,VPN,#¥&(%# %$%&*(! #$%*(_%$ #$%* &*)%$#,#¥&(%# %$%&*(! #$%*(_%$ #$%* &*)%$#,#¥&(%# %$%&*(! #$%*(_%$ #$%* &*)%$#,#¥&(%# %$%&*(! #$%*(_%$ #$%* &*)%$#,#¥&(%# %$%&*(! #$%*(_%$ #$%* &*)%$#,保证数据在传输途中不被窃取,发起方,接受方,数据完整性保护,VPN,VPN,发起方,接受方,10010001 01010010 10000100 00001101 10001010,1
4、0010001 01010010 10000100 00001101 10001010,10010001 01010010 01111001 00001101 10001010,10010001 01010010 01111001 00001101 10001010,数据在传输 途中被修改,接收到一个被 修改后的报文,Vpn能够防止这种情况的 发生,保护数据的完整性,10010001 01010010 10000100 00001101 10001010,10010001 01010010 10000100 00001101 10001010,10010001 01010010 1000010
5、0 00001101 10001010,10010001 01010010 10000100 00001101 10001010,10010001 01010010 10000100 00001101 10001010,10010001 01010010 10000100 00001101 10001010,10010001 01010010 10000100 00001101 10001010,数据源发性验证的保护,VPN,VPN,Bob,Alice,假冒的“Bob”,假冒VPN,我是Bob,我是Bob,?,_到底谁是真正的Bob?,VPN能够保证数据的源发性,AH协议头,ESP协议头,SA
6、建立之初,AH或ESP的序列号初始化为0,使用该SA传递的第一个数据包序列号为1,序列号不允许重复,因此每个SA所能传递的最大IP报文数为2321,当序列号达到最大时,就需要建立一个新的SA,使用新的密钥。,重放攻击保护,三、VPN技术的实现方式,1、复用技术:时分复用、频分复用、码分 复用、空分复用。 2、隧道技术:使用一种协议封装另一种协 议的技术。(常伴随加密与 认证),帧中继:Frame Relay ATM:永久虚电路 MPLS:多协议标签交换 他们是典型的以时分复用方式形成VPN 的二层与三层VPN技术。多由ISP提供,一 般不使用加密技术。数据安全依赖于对ISP 的信任。,时分复用
7、,码分复用,码分多路复用技术(CDMA)是目前比 较成熟的无线VPN技术。用户通过CDMA网 络来传送数据,通过不同的用户名和密码, 形成各自的私用网络。这种VPN技术会使用 CDMA自身的安全机制如压缩、加密,因此 数据的安全性是有保障的。,单纯隧道技术,1、IP in IP GRE(通用路由封装) 2、PPPoE 在以太网之上直接使用PPP协议进 行拨号认证。(VPDN) L2F (二层转发协议,CISCO) PPTP(点对点隧道协议,微软),L2TP(二层隧道协议,微软CISCO,加密可选),加密隧道技术,1、IPSec VPN 网络层加密隧道技术,因其在网络层加密对上层应用无 任何限制
8、(只能加密单播数据,若要加密组播及广播数 据需要与GRE配合使用)。可形成LANLAN VPN与 SiteLAN VPN(远程访问VPN)。技术成熟的国际标 准。 2、SSL VPN 传输层加密隧道技术,使用安全套接层(SSL)技术进 行加密。多用于形成远程访问VPN,因其不需要安装客 户端软件,故其部署与维护较简单。他对B/S架构应用 支持较好,C/S架构应用实现较为复杂,不如IPSec VPN 技术灵活。,三、IPSec VPN技术体系,1,产生IP Sec 协议的原因:原有的TCP/IP 协议簇无任何安全性保证,无法满足数 据安全对三性的要求,必须使TCP/IP协 议簇满足安全性的要求。
9、,2,IPSec 的内容 各类加密与认证算法 密钥管理协议:IKEISAKMP 隧道封装协议:ESP、AH IP sec由一系列协议组成: RFC2401(规定了IP sec的基本结构) RFC2402(验证头) RFC2406(封装安全载荷) RFC2407(用于ISAKMP安全解释域) RFC2408(ISAKMP) RFC2409(Internet密钥交换,IKE) RFC2411(IP安全文档指南) RFC2412(OAKLEY密钥确定协议)等。,四、密码学的基本概念和理论,1、密码学的定义:研究数据加密与解密的 学问 。 2、四个基本概念:明文(plaintext) 密文(ciphe
10、rtext) 密钥(key) 加解密算法(F(x) CF(P、K),PF(C、K),3、现代密码学中的基本共识:密文和加、 解密算法都可以公开,但密钥必须保密。 4、密码分析中的“三个人”:,Bob,Alice,Eve,5、现代加密算法的三大分类: 对称加密算法:加解密密钥一致。DES、 3DES、AES。 非对称加密算法:加解密密钥不一致,但 相互关联,且不可互相 推导。(RSA) 单向散列函数:一类特殊的加密算法,一 般用来认证。输入变长的 数据可以获得定长的输出。 输入数据发生变化,输出 数据立即变化。(MD5、SHA),两类加密算法的比较,对称加密算法:结构简单,运算速度快, 便于使用
11、硬件实现,适合加密大量数据。 但密钥管理困难。 非对称加密算法:结构复杂,运算速度慢, 很难用硬件实现,只适合加密少量数据。 密钥管理相对简单。,对称加密算法用于加密大量的实际数据, 而非对称加密算法用来加密对称加密算法 的密钥,从而完成对称加密算法的密钥分 发。,两类加密算法的适用范围,6、加密算法的四类形成方法: 移位:不改变明文中的内容,只将组成明 文的字母顺序打乱。 替换:用单个字母或字母的组合替换明文 中的单个字母或字母组合。 混合:综合使用移位与替换。 数学难题:多用于形成非对称加密算法。,7、加密算法简介。 MD5:(Message Digest 5) 消息摘要5。 一种被广泛使
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 技术 原理 课件
限制150内