HC110311000-HCNA-Security-CBSN-第六章-VPN技术简介V1.0

修订记录课程编码适用产品产品版本课程版本ISSUEHC1103华为防火墙V300R001V1.0开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版本页不打印第六章VPN技术简介目标学完本课程后，您将能够:了解VPN概念了解VPN有哪些关键技术了解VPN分类及应用名目VPN简介VPN技术VPN分类VPN定义VPN

虚拟专用网(VirtualPrivateNetwork)是一种“通过共享的公共网络建立私有的数据通道，将各个需要接入这张虚拟网的网络或终端通过通道连接起来，构成一个专用的、具有确定安全性和效劳质量保证的网络”虚拟 用户不再需要拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有网络专用网络 用户可以为自己制定一个最符合自己需求的网络名目VPN简介VPN技术VPN分类VPN常见技术隧道两端封装、解封装，用以建立数据通道隧道技术加解密技术密钥治理技术数据认证保证数据在网络中传输时不被非法猎取在担忧全的网络中安全地传递密钥数据在网络传输过程中不被非法篡改身份认证保证接入VPN的操作人员的合法性、有效性隧道技术Internet企业总部分支机构SOHO用户出差人员加密技术1.1 什么是加密1.2加密技术分类1.3密钥治理技术信息密码学加密：明文变密文C=En(K,

P)信息明文密钥信息密文密码效劳

保密性加密效劳完整性可用性抗抵赖性加密技术进展史

加密技术进展历程密码机双轨算法凯撒密码Scytale加密技术1.1 什么是加密1.2加密技术分类1.3密钥治理技术依据密钥分类密钥私钥公钥对称加密加密、解密用同一个密钥非对称加密在加密和解密中使用两个不同的密钥，私钥用来疼惜数据，公钥则由同一系统的人公用，用来检验信息及其发送者的真实性和身份。对称加密算法

共享密钥共享密钥abcdef密钥＝1010110101……加密算法解密算法ED*$@g)(!34*^hcftibfabcdef发送者接收者常见的对称加密算法流加密RC4分组加密DES3DESAESIDEARC2，RC5，RC6非对称加密算法

查找公钥库接收者公钥承受者私钥abcdef公钥＝1111010101……加密算法解密算法ED&^(#!b&%2(#c7(*@!Csabcdef发送者接收者私钥＝1010110101……对称与非对称算法比照对称密钥算法优点：加解密速度快缺点：密钥分发问题非对称密钥算法优点：密钥安全性高缺点：加解密对速度敏感密钥交换HuaweiSymantectr09vi16vsk会话密钥明文密文会话密钥接收者的公钥tr09vi16vsk加密加密接收者的私钥解密会话密钥解密明文1234传送发送者接收者HuaweiSymantec散列算法散列算法：把任意长度的输入变换成固定长度的输出h=H(M)常见散列算法MD5SHA-1数字签名

明文发送者接收者

摘要哈希函数tr09vi16vskPGGjx&%9$数字签名明文PGGjx&%9$数字签名明文tr09vi16vsk新摘要哈希函数tr09vi16vsk=？相同1、没有篡改2、发送者发送的1234567发送者的私钥发送者的公钥HuaweiSymantecHuaweiSymantecHuaweiSymantec数字证书公钥的载体数字证书的格式X.509由受信任的机构颁发数字证书的存储持有者：XXX公开密钥:9f0a34...序列号:123465有效期:5/5/2008-5/5/2009颁发者:

根CA签名:CA数字签名证书路径:信任链加密技术1.1 什么是加密1.2加密技术分类1.3密钥治理技术密钥治理技术密钥治理技术密钥产生安排保存更换与销毁密钥治理系统一个完整的密钥治理系统应当做到密钥难以被窃取和复制即使窃取了密钥也没有用，密钥有使用范围和时间的限制密钥的安排和更换过程对用户透亮，用户不愿定要亲自掌管密钥核心密钥确定要承受分割分责的方式保存密钥治理策略一个完整的密钥治理策略应当做到密码策略把握是否允许用户重新使用旧的密码〔强制密码历史〕，在两次更改密码之间的时间〔最大密码寿命以及最小密码寿命〕，最小密码长度以及用户是否必需混合使用大小写字母、数字和特殊字符〔密码必需满足简洁性要求〕。帐户锁定策略确定了在特定时间段内锁定帐户之前，系统能够承受多少次失败的登录尝试法律要求和效劳合同名目VPN简介VPN技术VPN分类VPN分类——按业务用途划分(1)AccessVPN 企业的内部人员移动或有远程办公需要，或者商家要供给B2C的安全访问效劳移动办公人员VPDN网关总部企业数据中心VPN治理系统VPN分类——按业务用途划分(2)IntranetVPN 企业内部各分支机构的互联总部大中型分支机构网关到网关企业数据中心VPN治理系统中小型分支机构网关到网关VPN分类——按业务用途划分(3)ExtranetVPN 供给B2B〔BusinesstoBusiness〕之间的安全访问效劳总部客户企业数据中心VPN治理系统供应商VPN分类——按实现层次划分数据链路层网络层L3VPN:L2VPN:GREIPSecL2TPPPTPL2F总结VPN概念VPN关