网络安全技术7

菜鸟

七.VPN技术
　　1、 企业对VPN 技术的需求

　　企业总部和各分支机构之间采用internet网络进行连接，由于internet是公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。
　　因为VPN利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet，暴露出两个主要危险：
　　来自internet的未经授权的对企业内部网的存取。
　　当企业通过INTERNET进行通讯时，信息可能受到窃听和非法修改。
　　完整的集成化的企业范围的VPN安全解决方案，提供在INTERNET上安全的双向通讯，以及透明的加密方案以保证数据的完整性和保密性。
　　企业网络的全面安全要求保证：
　　保密-通讯过程不被窃听。
　　通讯主体真实性确认-网络上的计算机不被假冒。
　　2、数字签名
　　数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。
　　并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。
　　通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥，并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
　　类 型 技 术 用 途
　　基本会话密钥 DES 加密通讯
　　加密密钥 Deff-Hellman 生成会话密钥
　　认证密钥 RSA 验证加密密钥
　　基于此种加密模式，需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
　　3、IPSEC
　　IPSec作为在IP v4及IP v6上的加密通讯框架，已为大多数厂商所支持，预计在1998年将确定为IETF标准，是VPN实现的Internet标准。
　　IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式，Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。
　　Ipsec包含两个部分：
　　(1) IP security Protocol proper，定义Ipsec报文格式。
　　(2) ISAKMP/Oakley，负责加密通讯协商。
　　Ipsec提供了两种加密通讯手段：
　　Ipsec Tunnel：整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。
　　Ipsec transport：对IP包内的数据进行加密，使用原来的源地址和目的地址。
　　Ipsec Tunnel不要求修改已配备好的设备和应用，网络黑客户不能看到实际的的通讯源地址和目的地址，并且能够提供专用网络通过Internet加密传输的通道，因此，绝大多数均使用该模式。
　　ISAKMP/Oakley使用X.509数字证书，因此，使VPN能够容易地扩大到企业级。(易于管理)。
　　在为远程拨号服务的Client端，也能够实现Ipsec的客户端，为拨号用户提供加密网络通讯。
　　由于Ipsec即将成为Internet标准，因此不同厂家提供的防火墙(VPN)产品可以实现互通。