修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC1103華為防火墻V300R001V1.0開發(fā)/優(yōu)化者時(shí)間審核人開發(fā)類型（新開發(fā)/優(yōu)化）陳靈光2011.7余雷第一版本頁不打印第六章VPN技術(shù)簡(jiǎn)介目標(biāo)學(xué)完本課程后，您將能夠:了解VPN概念了解VPN有哪些關(guān)鍵技術(shù)了解VPN分類及應(yīng)用名目VPN簡(jiǎn)介VPN技術(shù)VPN分類VPN定義VPN

虛擬專用網(wǎng)(VirtualPrivateNetwork)是一種“通過共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個(gè)需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過通道連接起來，構(gòu)成一個(gè)專用的、具有確定安全性和效勞質(zhì)量保證的網(wǎng)絡(luò)”虛擬 用戶不再需要擁有實(shí)際的專用長(zhǎng)途數(shù)據(jù)線路，而是利用Internet的長(zhǎng)途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)專用網(wǎng)絡(luò) 用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)名目VPN簡(jiǎn)介VPN技術(shù)VPN分類VPN常見技術(shù)隧道兩端封裝、解封裝，用以建立數(shù)據(jù)通道隧道技術(shù)加解密技術(shù)密鑰治理技術(shù)數(shù)據(jù)認(rèn)證保證數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)不被非法獵取在擔(dān)憂全的網(wǎng)絡(luò)中安全地傳遞密鑰數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中不被非法篡改身份認(rèn)證保證接入VPN的操作人員的合法性、有效性隧道技術(shù)Internet企業(yè)總部分支機(jī)構(gòu)SOHO用戶出差人員加密技術(shù)1.1 什么是加密1.2加密技術(shù)分類1.3密鑰治理技術(shù)信息密碼學(xué)加密：明文變密文C=En(K,

P)信息明文密鑰信息密文密碼效勞

保密性加密效勞完整性可用性抗抵賴性加密技術(shù)進(jìn)展史

加密技術(shù)進(jìn)展歷程密碼機(jī)雙軌算法凱撒密碼Scytale加密技術(shù)1.1 什么是加密1.2加密技術(shù)分類1.3密鑰治理技術(shù)依據(jù)密鑰分類密鑰私鑰公鑰對(duì)稱加密加密、解密用同一個(gè)密鑰非對(duì)稱加密在加密和解密中使用兩個(gè)不同的密鑰，私鑰用來疼惜數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來檢驗(yàn)信息及其發(fā)送者的真實(shí)性和身份。對(duì)稱加密算法

共享密鑰共享密鑰abcdef密鑰＝1010110101……加密算法解密算法ED*$@g)(!34*^hcftibfabcdef發(fā)送者接收者常見的對(duì)稱加密算法流加密RC4分組加密DES3DESAESIDEARC2，RC5，RC6非對(duì)稱加密算法

查找公鑰庫(kù)接收者公鑰承受者私鑰abcdef公鑰＝1111010101……加密算法解密算法ED&^(#!b&%2(#c7(*@!Csabcdef發(fā)送者接收者私鑰＝1010110101……對(duì)稱與非對(duì)稱算法比照對(duì)稱密鑰算法優(yōu)點(diǎn)：加解密速度快缺點(diǎn)：密鑰分發(fā)問題非對(duì)稱密鑰算法優(yōu)點(diǎn)：密鑰安全性高缺點(diǎn)：加解密對(duì)速度敏感密鑰交換HuaweiSymantectr09vi16vsk會(huì)話密鑰明文密文會(huì)話密鑰接收者的公鑰tr09vi16vsk加密加密接收者的私鑰解密會(huì)話密鑰解密明文1234傳送發(fā)送者接收者HuaweiSymantec散列算法散列算法：把任意長(zhǎng)度的輸入變換成固定長(zhǎng)度的輸出h=H(M)常見散列算法MD5SHA-1數(shù)字簽名

明文發(fā)送者接收者

摘要哈希函數(shù)tr09vi16vskPGGjx&%9$數(shù)字簽名明文PGGjx&%9$數(shù)字簽名明文tr09vi16vsk新摘要哈希函數(shù)tr09vi16vsk=？相同1、沒有篡改2、發(fā)送者發(fā)送的1234567發(fā)送者的私鑰發(fā)送者的公鑰HuaweiSymantecHuaweiSymantecHuaweiSymantec數(shù)字證書公鑰的載體數(shù)字證書的格式X.509由受信任的機(jī)構(gòu)頒發(fā)數(shù)字證書的存儲(chǔ)持有者：XXX公開密鑰:9f0a34...序列號(hào):123465有效期:5/5/2008-5/5/2009頒發(fā)者:

根CA簽名:CA數(shù)字簽名證書路徑:信任鏈加密技術(shù)1.1 什么是加密1.2加密技術(shù)分類1.3密鑰治理技術(shù)密鑰治理技術(shù)密鑰治理技術(shù)密鑰產(chǎn)生安排保存更換與銷毀密鑰治理系統(tǒng)一個(gè)完整的密鑰治理系統(tǒng)應(yīng)當(dāng)做到密鑰難以被竊取和復(fù)制即使竊取了密鑰也沒有用，密鑰有使用范圍和時(shí)間的限制密鑰的安排和更換過程對(duì)用戶透亮，用戶不愿定要親自掌管密鑰核心密鑰確定要承受分割分責(zé)的方式保存密鑰治理策略一個(gè)完整的密鑰治理策略應(yīng)當(dāng)做到密碼策略把握是否允許用戶重新使用舊的密碼〔強(qiáng)制密碼歷史〕，在兩次更改密碼之間的時(shí)間〔最大密碼壽命以及最小密碼壽命〕，最小密碼長(zhǎng)度以及用戶是否必需混合使用大小寫字母、數(shù)字和特殊字符〔密碼必需滿足簡(jiǎn)潔性要求〕。帳戶鎖定策略確定了在特定時(shí)間段內(nèi)鎖定帳戶之前，系統(tǒng)能夠承受多少次失敗的登錄嘗試法律要求和效勞合同名目VPN簡(jiǎn)介VPN技術(shù)VPN分類VPN分類——按業(yè)務(wù)用途劃分(1)AccessVPN 企業(yè)的內(nèi)部人員移動(dòng)或有遠(yuǎn)程辦公需要，或者商家要供給B2C的安全訪問效勞移動(dòng)辦公人員VPDN網(wǎng)關(guān)總部企業(yè)數(shù)據(jù)中心VPN治理系統(tǒng)VPN分類——按業(yè)務(wù)用途劃分(2)IntranetVPN 企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)總部大中型分支機(jī)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)企業(yè)數(shù)據(jù)中心VPN治理系統(tǒng)中小型分支機(jī)構(gòu)網(wǎng)關(guān)到網(wǎng)關(guān)VPN分類——按業(yè)務(wù)用途劃分(3)ExtranetVPN 供給B2B〔BusinesstoBusiness〕之間的安全訪問效勞總部客戶企業(yè)數(shù)據(jù)中心VPN治理系統(tǒng)供應(yīng)商VPN分類——按實(shí)現(xiàn)層次劃分?jǐn)?shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPN:L2VPN:GREIPSecL2TPPPTPL2F總結(jié)VPN概念VPN關(guān)