《信息安全原理与技术 教学课件 ppt 作者 蒋朝惠 武彤 王晓鹏 邓 第5章 网络安全通信》由会员分享,可在线阅读,更多相关《信息安全原理与技术 教学课件 ppt 作者 蒋朝惠 武彤 王晓鹏 邓 第5章 网络安全通信(211页珍藏版)》请在金锄头文库上搜索。
1、信息安全原理与技术 蒋朝惠 武彤 王晓鹏 邓少勋编著 中国铁道出版社 2009.5,第 5 章 网络安全通信,5.1 虚拟专用网 5.1.1 VPN概述 5.1.2 VPN的实现技术 5.1.3 VPN的隧道协议 5.1.4 MPLS VPN技术 5.1.5 VPN应用解决方案 5.2 无线通信安全 5.2.1 无线通信的威胁与防范对策 5.2.2 无线通信的安全机制 5.2.3 无线VPN技术 5.3 网络攻击与防范 5.3.1 网络攻击概念及攻击者简介 5.3.2 网络攻击的目的与步骤 5.3.3 常见的网络攻击与防范方法,第 5 章 网络安全通信,5.4 计算机病毒及防治 5.4.1 计
2、算机病毒概述 5.4.2 计算机病毒原理 5.4.3 计算机病毒防治技术 5.4.4 计算机病毒防范策略 5.4.5 防病毒过滤网关系统,5.1 虚拟专用网,虚拟专用网(Virtual Private Network,简称VPN)指的是在公用网络(Internet)上建立专用网络的技术。虚拟专用网是实现安全传输的重要手段之一,利用它可以在远程用户、公司分支机构、商业合作伙伴与公司的内部网之间建立可信的安全连接,并保护数据的安全传输。同时,通过VPN技术企业不用花费高昂的长途线路租用费,节省了费用。,5.1.1 VPN概述,VPN是依靠ISP(Internet服务提供商)和其他NSP(网络服务提
3、供商),在公共网络中建立专用的数据通信网络的技术。 所谓虚拟,是指用户不再需要拥有实际的长途线路,而是使用Internet公众数据网络的长途数据网络。 所谓专用网,是指用户可以为自己制定一个最符合自己需求的网络。 VPN对用户来说是透明的,用户好像使用一条专用线路在客户计算机和企业服务器之间建立起点对点的连接,进行数据传输。,2VPN的分类,远程访问虚拟网(Access VPN)。又称为拨号VPN,是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网。Access VPN通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。,图5-1 Access VP
4、N结构图,2VPN的分类(续),企业内部虚拟网(Intranet VPN)。即企业的总部与分支机构通过VPN虚拟网进行网络连接。 Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。,图5-2 Intranet VPN结构图,2VPN的分类(续),企业扩展虚拟网(Extranet VPN)。即不同企业网通过公网来构筑的虚拟网。该类型的VPN与Intranet VPN没有本质的区别,但它涉及的是不同公司的网络间的通信,所以它要更多地考虑设备的互联、地址的协调、安全策略的协商等问题。,图5-3 Extranet VPN结构图,3VPN的作用与特点,VPN
5、有以下特点: 费用低 灵活性大 易于管理维护 一个VPN至少要提供数据加密、信息认证和身份认证以及访问权限控制等功能。,5.1.2 VPN的实现技术,1密码技术 VPN利用Internet的基础设施传输企业私有的信息,因此传递的数据必须经过加密,从而确保网络上未授权的用户无法读取该信息,因此可以说密码技术是实现VPN的关键核心技术之一。 对称密钥加密。对称密钥加密的优点是运算量小、速度快,适合于加密大量数据的情况;缺点是密钥的管理比较复杂。 非对称密钥加密。其速度较慢,适合加密大量数据的情况,而是经常用于关键数据的加密。,1密码技术(续),密钥管理技术 在VPN应用中密钥的分发与管理非常重要。
6、密钥的分发有两种方法:一种是通过手工配置的方式,另一种是采用密钥交换协议动态分发。 手工配置的方法只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,保证密钥在公共网络上安全地传输而不被窃取,适合于复杂网络的情况,而且密钥可快速更新,可以显著提高VPN应用的安全性。,2身份认证技术,VPN需要解决的首要问题就是网络上用户与设备的身份认证,如果没有一个万无一失的身份认证方案,不管其他安全设施有多严密,整个VPN的功能都将失效。 从技术上说,身份认证基本上可以分为两类;非PKI体系和PKI体系的身份认证。非PKI体系的身份认证基本上采用的是UID+PASSWORD模式。PKI体系目前常用
7、的方法是依赖于 CA(Certificate Authority,数字证书签发中心)所签发的符合 X 509规范的标准数字证书。,3隧道技术,VPN的核心是被称为“隧道”的技术。隧道技术是一种通过使用互联网的基础设施在网络之间传递数据的方式。 隧道技术通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,隧道协议将在隧道中传递的不同协议的数据帧或包重新封装在新的包头中发送。,3隧道技术(续),图5-4 隧道技术的实现过程,3隧道技术(续),自愿隧道(Voluntary tunnel) 用户或客户端计算机可以通过发送VPN请求配置和创建一条自
8、愿隧道。此时,用户端计算机作为隧道客户方成为隧道的一个端点。 当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器的虚拟连接时建立自愿隧道。自愿隧道需要有一条IP连接(通过局域网或拨号线路)。 自愿隧道技术为每个客户创建独立的隧道。前端处理器(FEP)和隧道服务器之间建立的隧道可以被多个拨号客户共享,而不必为每个客户建立一条新的隧道。,3隧道技术(续),强制隧道(Compulsorytunnel) 由支持VPN的拨号接入服务器配置和创建一条强制隧道。此时,用户端的计算机不作为隧道端点,而是由位于客户计算机和隧道服务器之间的远程接入服务器作为隧道客户端,成为隧道的一个端点。 因为客户只能使用
9、由FEP创建的隧道,所以称为强制隧道。一旦最初的连接成功,所有客户端的数据流将自动的通过隧道发送。可以配置FEP为所有的拨号客户创建到指定隧道服务器的隧道,也可以配置FEP基于不同的用户名或目的地创建不同的隧道。,5.1.3 VPN的隧道协议,表5-1 几种隧道协议VPN位置,1第二层隧道协议,(1)点到点隧道协议(PPTP) PPTP的一个主要优势在于微软平台的支持。PPTP能够提供流量控制,减少拥塞的可能性,降低由包丢失而引发的重传率。 PPTP是PPP协议的扩展,它主要增强了PPP协议的认证、压缩和加密功能。 PPTP的工作过程:PPTP的连接开始于客户端,使用Windows的远程访问服
10、务RAS来建立ISP的PPP连接;当激活PPP连接,服务器连接到Internet并作为RAS服务器之后,客户使用RAS进行第二次拨号。,(1)点到点隧道协议(PPTP)(续),PPTP协议在一个已存在的IP连接上封装PPP会话,只要网络层是连通的,就可以运行PPTP协议。PPTP协议的主要功能是开通VPN隧道,网络连接还是利用原来的PPP协议拨号连接进行的。 PPTP把建立隧道的主动权交给了客户,但客户需要在其主机上配置PPTP,这样做既会增加用户的工作量,又会造成网络的安全隐患。另外PPTP不具有隧道终点的验证功能,需要依赖用户的验证。,(1)点到点隧道协议(PPTP)(续),PPTP协议下
11、的“封装”是使用一般路由封装(GRE)头文件和IP报头数据包装PPP帧(包含一个IP数据包)。,图5-5 PPTP协议的封装,(1)点到点隧道协议(PPTP)(续),PPTP协议下的“加密”是通过使用从PPP协议的MSCHAP或EAP-TLS身份验证过程中生成的密钥;PPP帧以MPPE方式进行加密。为了加密PPP有效载荷,VPN客户机必须使用MSCHAP或EAP-TLS身份验证协议进行验证,但PPTP协议本身不提供“加密”服务,PPTP只是对先前加密了的PPP帧进行封装。,(1)点到点隧道协议(PPTP)(续),PPTP通过TCP控制连接来创建、维护和终止一条隧道。PPTP控制连接建立在PPT
12、P客户机IP地址和PPTP服务器IP地址之间。PPTP控制连接携带 PPTP呼叫控制和管理信息,用于维护PPTP隧道,其中包括周期性地发送回送请求和回送应答消息,以期检测出客户机与服务器之间可能出现的连接中断。,图5-7 PPTP控制连接数据包格式,(2)第2层转发协议(L2F),它将链路层的协议(如 HDLC、PPP等)封装起来传送,因此网络的链路层完全独立于用户的链路层协议。 L2F远端用户能够通过任何拨号方式接入公共IP网络。首先,按常规方式拨号到ISP的接入服务器,建立PPP连接;接入服务器根据用户名等信息发起第二次连接,呼叫用户网络的服务器。这种方式下,隧道的配置和建立对用户是完全透
13、明的。,(2)第2层转发协议(L2F)(续),L2F的主要缺陷是没有把标准加密方法包括在内,因此它基本上已经成为一个过时的隧道协议。 设计L2F协议的初衷是出于对公司职员异地办公的支持。 通过L2F协议,用户可以通过因特网远程拨入总部进行访问,这种虚拟拨入具有如下特性: 无论是远程用户还是位于总部的本地主机都不必因为使用该拨号服务而安装任何特殊软件,只有ISP的NAS和总部的本地网关才安装有L2F服务,而对远程用户和本地主机,拨号的虚拟连接是透明的; 对远程用户的地址分配、身份认证和授权访问等方面对总部而言都与专有拨号一样可控; ISP和用户都能对拨号服务进行记账(如拨号起始时间、关闭时间、通
14、信字节数等),以协调费用支持。,(2)第2层转发协议(L2F)(续),图5-8 网络配置拓扑图,在图5-8中,NAS为用户提供临时、随时的网络服务。NAS具有PPP协议处理模块和L2F协议处理模块。总部网关是L2F隧道的终点,能处理PPP分组和L2F封装。在HGW处,用户的身份被认证,访问被授权。,(3)第2层隧道协议(L2TP),L2TP是PPTP和第二层转发L2F两种技术的结合。 L2TP协议将 PPP帧封装后,可通过IP、X.25、帧中继或 ATM等网络进行传送。目前,仅定义了基于IP网络的L2TP。 因为它具有PPTP协议和L2F协议两者的特点,所以,既支持Client-to-LAN类
15、型的VPN连接,也支持LAN-to-LAN类型的VPN连接。 L2TP的好处在于支持多种协议,还解决了多个PPP链路的捆绑问题 。 L2TP主要由LAC(L2TP Access Concentrator,第2层隧道协议接入集线器)和LNS(L2TP Network Server,第 2层隧道协议网络服务器)构成。,(3)第2层隧道协议(L2TP)(续),对基于 IPSec安全协议的L2TP数据包的封装包含“L2TP封装”和“IPSec封装两层封装”。,图5-9 L2TP协议的封装,图5-10 IPSec协议的封装,(3)第2层隧道协议(L2TP)(续),基于L2TP协议下的“加密”是通过使用在
16、IPSec身份验证过程中生成的密钥,使用IPSec加密机制加密L2TP消息。 要注意的是:可能拥有非基于IPSec(非加密)的L2TP连接,在这种连接中PPP有效负载是以明文方式传送的。,(4)PPTP、L2F与 L2TP比较,对底层传输介质的要求 PPTP协议要求底层传输介质必须为IP网络;而L2F与L2TP协议对底层介质没有特别的要求,只要求底层介质能提供面向分组的点对点连接。 消息的构造方式 PPTP协议采用了固化的消息构造,因此不利于针对不同需要的选择,不具有灵活性;L2F采用了选项构造消息的方式,L2TP采用了用属性构造消息的方式,都能依据不同的需求灵活地选择构造消息,这样也有利于减轻通信的负荷和配置表述。,(4)PPTP、L2F与 L2TP比较(续),端对端身份的认证 PPTP协议的身份认证机制安全依赖于PPP协议的认证过程,而没有自己的认证方案,因此协议独立性不够,而且认证的安全性值得怀疑;而L2TP和L2F都能在隧道建立阶段、会话建立阶段以及通信过程中对端对端身份进行认证。 隧道和会话的维护 PPTP协议和L2TP协议都提供了隧道
