设计说明书(PPT)

1、连锁连锁企业基于企业基于IPSEC VPNIPSEC VPN的选择与实现的选择与实现 学生姓名：刘秋月 指导老师：许富强 专业：计算机网络技术 兰州理工大学软件学院结业设计(方案)答辩 20142014年年1111月月2525号星期二号星期二 IPSec VPN VPN概述 VPN技术 数据报文验证 VPN 的定义 VPN 的特点 类型 模式 IPSec VPN 安全体系结构 特点 l VPN VPN（Virtual Private NetworkVirtual Private Network）指在公指在公 共通信基础设施上构建的虚拟专用或私有网，共通信基础设施上构建的虚拟专用或私有网， 可以

2、被认为是一种从公共网络中隔离出来的网可以被认为是一种从公共网络中隔离出来的网 络。络。 l 它与真实物理网络的差别在于它与真实物理网络的差别在于VPNVPN以逻辑以逻辑 隔离方式通过共享的公共通信基础设施，提供隔离方式通过共享的公共通信基础设施，提供 了不与非了不与非VPNVPN通信共享任何相互连接点的排他通信共享任何相互连接点的排他 性通信环境。性通信环境。 VPNVPN的定义的定义 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 4 Internet I love you B A 5 Internet I you love hate 广域网存在各种安全隐患 网上传输的数据有被窃听的风

3、险 网上传输的数据有被篡改的危险 A B 6 Internet I you love hate 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险 B A 7 Internet 广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险 通信双方有被冒充的风险 A B I love you 我是路由器B l虚拟专用网提供了一种在公共网络上实现网络安 全保密通信的方法。通过基于共享的IP网络， VPN为用户远程接入，外部网和内联网连接提供 安全而稳定的通信隧道，而其费用则要比专用租 用线路低得多。VPN通过在共享网络当中开挖一 条保密隧道的

4、技术来仿真一条点对点连接，用于 发送和接收加密的数据。VPN的高级安全特性可 以有效地保护在隧道中传输的数据。 隧道隧道 l 隧道是把一个包封装在另一个新包中，整个 源数据包作为新包的有效载荷部分，并在前面添 加一个新的IP头。新的IP头通常是IPSec防火墙、 安全网关或路由器。 10 Internet VPN建立“保护”网络实体之间的通信 使用加密技术防止数据被窃听 数据完整性验证防止数据被破坏、篡改 通过认证机制确认身份，防止数据被截获、回放 A B vpn隧道 VPNVPN的特点的特点 VPN同现有网络基础设施部件相比，除了安全 特性外，主要有以下几个不同点。 虚拟(Virtual)

5、虚拟意味着网络的基础设施对于VPN连接来说是 透明的。同样底层的物理网络并非是VPN用户拥有 的，而是由很多用户共享的公共网络。而且为了对 上层应用透明，VPN采用协议隧道技术。由于VPN用 户本身并不拥有物理网络，因而网络供应商必须在 应用服务级进行协商以满足VPN的各项需求。 专用(Private) VPN环境下的专用实际上指的是VPN网络中的 通信信息是保密的。因为，VPN的通信流是建立 在公共网络基础之上的，因此对于一条VPN连接 来说，必须采用防范措施来实现特定的安全需 求。这些安全需求包括： 数据加密 数据源认证 密钥的安全产生和及时更新 分组重放攻击和欺骗攻击保护 网络网络(Ne

6、twork)(Network) 虽然物理网络并不存在，但是我们还是应 当把VPN看作是现有企业内部网的扩展，它对于 其它网络或用户来说应当是可用的。这还得借 助于常规的路由和寻址技术来实现。 VPNVPN的类型的类型 站点到站点VPN Internet 14 Internet 远程访问VPN Internet 15 Internet VPNVPN的模式的模式 16 Internet A B 传输模式 封装模式相对简单，传输效率较高 IP包头未被保护 IP包头 有效载荷 IP包头 VPN头 有效载荷 VPN尾 IP包头 VPN头有效载荷 VPN尾IP包头VPN头IP包头有效载荷VPN尾 新IP头

7、 VPN头 IP包头 有效载荷VPN尾新IP头 VPN头 VPNVPN的模式的模式 17 Internet A B 隧道模式 IP包头被保护 IP包头 有效载荷 被保护的 新IP头 VPN头 IP包头 有效载荷VPN尾 VPN尾 VPN VPN技术技术 加密算法 对称加密算法 非对称加密算法 密钥交换 数据报文验证 HMAC MD5和SHA 18 数字签名数字签名 数据数据报文验证报文验证 HMAC 实现数据完整性验证 实现身份验证 Internet A B B 19 +K1加密后的数据加密后的数据 “d” 数字签名数字签名Hash算法 加密后的数据加密后的数据 数字签名数字签名 +K1加密后

8、的数据加密后的数据 Hash算法 是否 相同 如果数据被篡改将无法得到相同的如果数据被篡改将无法得到相同的 数字签名数字签名 加密后的用户加密后的用户 信息信息 身份验证使用用户信息经历相同的身份验证使用用户信息经历相同的 过程过程 MD5 SHA 网际协议网际协议安全安全IPIPSECSEC IPSec概述 l IPSec是由Internet Engineering Task Force (IETF) 设计的作为基于IP通信环境下一 种端到端的保证数据安全的机制。整个IPSec结 构由一系列的RFC文档定义，主要有RFCs 24012412, 1826和1827。 l IPSec协议标准的基本目的是把安全机制引 入到IP协议，通过使用隧道技术和现代密码学 方法支持机密性、完整性和抗重放服务。 IPSec的特点： IPSec可为运行于IP顶部的任何一种协议提 供保护，是目前最易于扩展、最完整的一种网 络安全解决方案。 加密的IP包和普通的IP包一样通过IP网传送， 不要求对中间设备进行任何的改变，知道加密 的只有终端用户。 IPSec在传输层之下，对于应用程序来说是 透明的。 IPSIPSECEC安全体系结构安全体系结构 l IP协议是TCP/IP协议族中最基本的协议之一， 它提供无连接的、不可靠的数据包传送服务。 l IP协议本身不包括任何安全的特性，没有对 IP分组中源地址