课程08虚拟专用网络技术课件

第八章虚拟专用网络技术周苏

教授Zs@QQ:81505050/zhousu58第八章虚拟专用网络技术周苏教授第8章虚拟专用网络技术随着因特网的服务焦点转移到电子商务上，对于那些基于传统信息系统的关键性商务应用及数据，公司希望通过因特网来实现方便快捷的访问。通过安全虚拟专用网络的实现，把公司的业务安全、有效地拓展到世界各地。第8章虚拟专用网络技术随着因特网的服务焦点转移到电子商务第8章虚拟专用网络技术虚拟专用网络(VirtualPrivateNetwork，VPN)被定义为通过一个公用网络(通常是因特网)建立的一个临时的安全连接，是一条穿过公用网络的安全、稳定的隧道。第8章虚拟专用网络技术虚拟专用网络(VirtualP第8章虚拟专用网络技术VPN是企业网在因特网等公共网络上的延伸，它通过安全的数据通道，帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输，构成一个扩展的公司企业网，如图8.1所示。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接，可用于实现企业网站之间安全通信的虚拟专用线路。第8章虚拟专用网络技术VPN是企业网在因特网等公共网络上图8.1虚拟专用网络图8.1虚拟专用网络第8章虚拟专用网络技术说得通俗一点，VPN实际上是“线路中的线路”，类型于城市道路上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来，即是“虚拟”的。不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网络管理员们广泛关注着。第8章虚拟专用网络技术说得通俗一点，VPN实际上是“线路第8章虚拟专用网络技术因特网工程任务小组(IETF)已经开始为VPN技术制订标准，基于这一标准的产品，将使各种应用场合下的VPN有充分的互操作性和可扩展性。第8章虚拟专用网络技术因特网工程任务小组(IETF)第8章虚拟专用网络技术VPN可以实现不同网络组件和资源之间的相互连接，利用因特网或其他公共互连网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。第8章虚拟专用网络技术VPN可以实现不同网络组件和资源之第8章虚拟专用网络技术提高VPN效用的关键问题在于当用户的业务需求发生变化时，用户能很方便地调整他的VPN以适应变化，并且能方便地升级到将来新的TCP/IP技术；而那些提供门类齐全的软、硬件VPN产品的供应商，则能提供一些灵活的选择以满足用户的要求。目前的VPN产品主要运行在IPv4之上，但应当具备升级到IPv6的能力，同时要保持良好的互操作性。第8章虚拟专用网络技术提高VPN效用的关键问题在于当用户第8章虚拟专用网络技术IPv6：现有的互联网是在IPv4协议的基础上运行的。IPv6是下一版本的互联网协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。第8章虚拟专用网络技术IPv6：现有的互联网是在IPv4第8章虚拟专用网络技术IPv4采用32位地址长度，只有大约43亿个地址，估计在2005～2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。除了一劳永逸地解决地址短缺问题以外，IPv6的主要优势还体现在以下几方面：提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。第8章虚拟专用网络技术IPv4采用32位地址长度，只有大8.1VPN的安全性使用虚拟专用网络涉及到一些传统企业内部网络中不存在的安全问题。在虚拟专用网络中，一个典型的端到端的数据通路可能包含：1)数台不在公司控制之下的机器(例如ISP的接入设备和因特网上的路由器)。2)介于内部网(Intranet)和外部网之间的安全网关(可能是防火墙或者是路由器)。8.1VPN的安全性使用虚拟专用网络涉及到一些传统企业内8.1VPN的安全性3)一个包含若干主机和路由器的内部网。其中一些机器可能由恶意攻击者操作，有的机器同时参与公司内部的通信以及与公司外部的通信。4)一个外部公共网络(因特网)上面的数据通信来源不仅限于公司网络。在这样一个开放的复杂环境下，很容易被窃听和篡改数据报文的内容，很容易实施拒绝服务的攻击或者是修改数据报文的目的地址的攻击。8.1VPN的安全性3)一个包含若干主机和路由器的内部8.2因特网的安全协议IPSec实现VPN通常用到的安全协议主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于链路层，IPSec主要应用于网络层，SOCKSv5应用于会话层。为了解决因特网所面临的不安全因素的威胁，实现在不信任通道上的数据安全传输，使安全功能模块能兼容IPv4和下一代网络协议IPv6，IPSec协议将会是主要的实现VPN的协议。8.2因特网的安全协议IPSec实现VPN通常用到的安全8.2因特网的安全协议IPSecIPSec是IP与Security的简写。IPSec结合使用多种安全技术为IP数据包提供保密性、完整性和真实性。IPSec实际上指的是多个相关的协议，它们在RFC2401-2411和RFC2451中定义，规约已经变得相当复杂。8.2因特网的安全协议IPSecIPSec是IP与Sec8.2因特网的安全协议IPSecIPSec的主要设计目标是良好的互操作性。如果得到正确的实现，IPSec对那些不支持它的主机和网络不会产生任何负面影响，IPSec的体系结构独立于当前的密码算法，IPSec对于IPv6是必需的，而对IPv4是可选的。8.2因特网的安全协议IPSecIPSec的主要设计目标8.2.1IPSec的体系结构IPSec框架主要有两个协议：一个是用于认证的认证首部(AuthenticationHeader，AH)协议和一个用于加密数据的安全封装(EncapsulatingSecurityPayload，ESP)协议。这些安全特征都是作为主要的IP报文首部之后的扩展首部来实现的。AH和ESP可以使用两种模式，即传输模式和隧道模式。8.2.1IPSec的体系结构IPSec框架主要有两个协8.2.1IPSec的体系结构(1)IPSec文档IPSec文档被划分成7个组，如图8.2所示。这是由IETF成立的IP安全协议工作组在做了大量的工作之后划分的。8.2.1IPSec的体系结构(1)IPSec文档图8.2IPSec文档图8.2IPSec文档8.2.1IPSec的体系结构体系结构：覆盖了定义IPSec技术的一般性概念、安全需求、定义和机制。ESP协议：覆盖了使用ESP进行分组加密(可选的认证)的格式和一般问题。AH协议：覆盖了使用AH进行分组认证的格式和一般问题。加密算法：描述了怎样将不同的加密算法用于ESP中。8.2.1IPSec的体系结构体系结构：覆盖了定义IPS8.2.1IPSec的体系结构认证算法：描述了怎样将不同的认证算法用于AH和ESP可选的认证选项。解释域(DOI)：包含了其他文档需要的为了彼此间相互联系的一些值。这些值包括经过检验的加密和认证算法的标识以及操作参数，例如密钥的生存期。密钥管理：描述密钥管理机制的文档，其中IKE(因特网密钥交换协议)是默认的密钥自动交换协议。8.2.1IPSec的体系结构认证算法：描述了怎样将不同8.2.1IPSec的体系结构(2)IPSec的服务IPSec在IP层提供下列安全服务：访问控制。无连接的完整性(对IP数据包自身的一种检测方法)。数据源的认证。拒绝重发的数据包(部分序列号完整性的一种形式)。保密性(加密)。有限的通信流保密性。表8.1总结了IPSec提供的服务。8.2.1IPSec的体系结构(2)IPSec的服务8.2.2安全关联安全关联(SecurityAssociation，SA)是在发送者和接收者之间为进出通信量提供安全服务的一种单向的关系，它是IPSec中的一个基本的概念。每一对使用IPSec的主机必须在它们之间建立一个SA。8.2.2安全关联安全关联(SecurityAsso8.2.2安全关联SA数据库定义了与每一个SA相关联的参数，例如，通信使用何种保护类型(是AH还是ESP)、使用的加密算法、密钥、协议方式(隧道或传输)以及该SA的有效期等。SA在发送者和接收者之间建立一种单向的关系。如果需要进行双向通信，则需要第二个SA。8.2.2安全关联SA数据库定义了与每一个SA相关联的参8.2.2安全关联AH协议和ESP协议可以单独使用，也可以组合使用，因为每一种协议都有两种使用模式，这样组合使用就有多种可能的组合方式。但是在这么多可能的组合中只有几个有实际意义的应用。用SA束来实现IPSec的组合，定义了两种组合SA的方式：传输邻接和循环隧道。8.2.2安全关联AH协议和ESP协议可以单独使用，也可8.2.3传输模式与隧道模式IPsec有两种使用模式：传输模式(transportmode)和隧道模式(tunnelmode)。在传输模式中，IPSec头被直接插在IP头的后面。IP头中的Protocol域也被做了修改，以表明有一个IPSec头紧跟在普通IP头的后面(但是在TCP头的前面)。IPsec头包含了安全信息，主要有SA标识符、一个新的序列号，可能还包括净荷数据的完整性检查信息。8.2.3传输模式与隧道模式IPsec有两种使用模式：传8.2.3传输模式与隧道模式在隧道模式中，整个IP分组，连同头部和所有的数据一起被封装到一个新的IP分组中，并且这个新的IP分组有一个全新的IP头。当隧道的终点并不是最终的目标节点时，隧道模式将非常有用。8.2.3传输模式与隧道模式在隧道模式中，整个IP分组，8.2.3传输模式与隧道模式在有些情况下，隧道的终点是一台安全网关机器，例如，公司的一个防火墙。在这种模式中，当分组通过防火墙的时候，防火墙负责封装分组，或者解除封装。由于隧道终止于这台安全的机器上，所以公司LAN上的机器不必知晓IPSec的存在。只有防火墙必须要知道IPSec。8.2.3传输模式与隧道模式在有些情况下，隧道的终点是一8.2.4AH协议AH协议为IP数据包提供了数据完整性服务和认证服务，并使用一个带密钥的哈希函数以实现认证服务。8.2.4AH协议AH协议为IP数据包提供了数据完整性服8.2.4AH协议(1)AH协议的原理AH协议可以保证IP分组的可靠性和数据的完整性。它的原理是发送方将IP分组头、上层数据、共享密钥这3部分通过MD5(或SHA-1)算法进行计算，得出AH首部的认证数据，并将AH首部加入IP分组中。8.2.4AH协议(1)AH协议的原理8.2.4AH协议当数据传输到接收方时，接收方将收到的IP分组头、数据部分和公共密钥用相同的MD5(或SHA-1)算法运算，并把得到的结果和收到的数据分组的AH首部进行比较和认证。但是，AH头并不提供对数据的保密性保护，因此，当数据通过网络时，如果攻击者使用协议分析器照样能窃取敏感数据。8.2.4AH协议当数据传输到接收方时，接收方将收到的I8.2.4AH协议(2)传输与隧道模式AH协议服务可以使用两种模式：传输模式和隧道模式。见图8.3。8.2.4AH协议(2)传输与隧道模式图8.3AH的传输模式和隧道模式图8.3AH的传输模式和隧道模式8.2.4AH协议在传输模式中，AH协议仅仅应用从主机到主机的连接中，并且除了对选定的IP头域之外还对上层协议提供保护。该模式通过传输安全关联(SA)来提供。AH既可以用于主机，也可以用于安全网关。当在一个安全网关中实现AH以保护传输的通信时，必须使用隧道模式。8.2.4AH协议在传输模式中，AH协议仅仅应用从主机到8.2.4AH协议“隧道”技术是VPN的核心，它允许VPN的数据流被路由通过IP网络，而不管生成数据流的是何种类型的网络或设备。隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。8.2.4AH协议“隧道”技术是VPN的核心，它允许VP8.2.5ESP协议ESP协议为通过不可信网络传输的IP数据提供保密性服务。另外，ESP协议还可以提供认证服务。根据所使用的加密类型和方式的不同，ESP的格式也会有所不同。在任何情况下，与加密关联的密钥都是使用SPI(安全参数索引)来选择的。8.2.5ESP协议ESP协议为通过不可信网络传输的IP8.2.5ESP协议(1)ESP协议的加密算法ESP协议兼容多种密码算法。系统必须有使用密码分组链接(CipherBlockChaining，CBC)模式DES算法：对于要求认证的兼容系统则必须含有NULL算法。同时，也定义了ESP服务使用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。8.2.5ESP协议(1)ESP协议的加密算法8.2.5ESP协议(2)传输与隧道模式与AH相同，ESP也可以用于传输模式和隧道模式。这些模式的工作方式与它们在AH中的工作方式类似。但是有一个例外：对ESP，在每一个数据之后将附加一个尾部(trailer)的数据(如图8.4)。ESP传输模式只用于实现主机之间的加密(和可选的认证)服务，为上层协议提供保护而不是IP头本身。8.2.5ESP协议(2)传输与隧道模式图8.4ESP的传输模式和隧道模式图8.4ESP的传输模式和隧道模式8.2.5ESP协议ESP隧道模式既可以用于主机，也可以用于安全网关。当在一个安全网关中实现ESP时(用于保护用户传输通信流)，必须使用隧道模式，如图8.5所示是一个由4个专用网通过因特网互相连接的隧道模式示例。内部网络上的主机使用因特网是为了传输数据，而不是同其他基于因特网的主机进行交互。在每个内部网络上的安全网关用于终止隧道。8.2.5ESP协议ESP隧道模式既可以用于主机，也可以图8.5ESP的隧道模式示例图8.5ESP的隧道模式示例8.2.6安全管理IPSec包含两个指定的数据库：安全策略数据库(SecurityPolicyDatabase，SPD)和安全关联数据库(SecurityAssociationDatabase，SAD)。SPD指定了决定所有输入或者输出的IP通信部署的策略；SAD包含有与当前活动的安全关联相关的参数。8.2.6安全管理IPSec包含两个指定的数据库：安全策8.2.7密钥管理当使用IPSec时，与其他安全协议一样，必须提供密钥管理功能。例如，应提供一种方法，用于与其他人协商协议、加密算法以及在数据交换中使用的密钥。此外，IPSec需要知道实体之间的所有的这样的协定。IETF的IPSec工作组已经指定所有兼容的系统必须同时支持手工和自动的SA和密钥管理。8.2.7密钥管理当使用IPSec时，与其他安全协议一样8.3VPN应用IPSec提供了在局域网、专用和公用的广域网(WAN)和因特网上安全通信的能力。8.3VPN应用IPSec提供了在局域网、专用和公用的广8.3.1通过因特网实现远程用户访问一个系统中配备了IP安全协议的最终用户，可以通过调用本地的因特网服务提供商(ISP)来获得对一个公司网络的安全访问，这为在外出差的雇员和远程的工作者减少了长途通信费用。8.3.1通过因特网实现远程用户访问一个系统中配备了IP8.3.1通过因特网实现远程用户访问客户通过拨号到ISP来连接到因特网，然后和内部网边界上的安全网关建立一个经认证的、加密的安全通道。通过在远程和安全网关之间实行IPSec方式的认证，内部网可以免受那些不必要的或恶意的IP包攻击。通过将远程主机与安全网关之间的数据流进行加密，可以防止窃听。8.3.1通过因特网实现远程用户访问客户通过拨号到ISP8.3.1通过因特网实现远程用户访问虚拟专用网络支持以安全的方式通过公共互连网络远程访问企业资源。与使用专线拨打长途或电话连接企业的网络接入服务器(NAS)不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接，在拨号用户和企业VPN服务器之间，创建一个跨越因特网或其他公共互连网络的虚拟专用网络，如图8.6所示。8.3.1通过因特网实现远程用户访问虚拟专用网络支持以安图8.6远程访问网络图8.6远程访问网络8.3.2通过因特网实现网络互连一个公司可以在因特网或者公用的广域网上建立安全的虚拟私有网络。这可以使企业主要依赖因特网而减少它构造专用网络的需求，节省了费用和网络管理有负担。8.3.2通过因特网实现网络互连一个公司可以在因特网或者8.3.2通过因特网实现网络互连通过因特网实现两个相互信任的内部网络安全连接，在这种情况下，即要防范外部对内部网络的攻击，又要保护在因特网上传输数据的安全。例如，一个公司的两个分公司之间通过因特网建立分支机构的VPN，需要满足公司对通信、安全和成本的需求。8.3.2通过因特网实现网络互连通过因特网实现两个相互信8.3.2通过因特网实现网络互连可以用以下两种方式使用VPN来连接远程局域网络：1)使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通因特网。VPN软件使用与本地ISP建立的连接和因特网，在分支机构和企业端路由器之间创建一个虚拟专用网络。8.3.2通过因特网实现网络互连可以用以下两种方式使用V8.3.2通过因特网实现网络互连2)使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或电话连接企业NAS(网络接入服务器)的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接，在分支机构和企业端路由器之间创建一个跨越因特网的虚拟专用网络，如图8.7所示。8.3.2通过因特网实现网络互连2)使用拨号线路连接分图8.7使用拨号线路连接分支机构和企业局域网图8.7使用拨号线路连接分支机构和企业局域网8.3.2通过因特网实现网络互连在以上两种方式中，都是通过使用本地设备在分支机构和企业部门与因特网之间建立连接。无论是在客户端还是服务器端都是通过拔打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。8.3.2通过因特网实现网络互连在以上两种方式中，都是通8.3.3连接企业内部网络计算机IPSec可以用于与其他组织之间的安全通信保证认证和机密性，并提供密钥交换机制。在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开，形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法连接，造成通信上的困难。8.3.3连接企业内部网络计算机IPSec可以用于与其他8.3.3连接企业内部网络计算机采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互连，但是并不能对流向敏感网络的数据进行限制。8.3.3连接企业内部网络计算机采用VPN方案，通过使用8.3.3连接企业内部网络计算机使用VPN服务器，企业网络管理人员可通过指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。8.3.3连接企业内部网络计算机使用VPN服务器，企业网实训与思考本节“实训与思考”的目的是：(1)熟悉虚拟专用网络技术的基本概念，了解VPN的基本内容。(2)通过因特网搜索与浏览，了解网络环境中主流的虚拟专用网络技术网站，掌握通过专业网站不断丰富VPN技术最新知识的学习方法，尝试通过专业网站的辅助与支持来开展VPN技术应用实践。实训与思考本节“实训与思考”的目的是：第八章虚拟专用网络技术周苏

教授Zs@QQ:81505050/zhousu58第八章虚拟专用网络技术周苏教授第8章虚拟专用网络技术随着因特网的服务焦点转移到电子商务上，对于那些基于传统信息系统的关键性商务应用及数据，公司希望通过因特网来实现方便快捷的访问。通过安全虚拟专用网络的实现，把公司的业务安全、有效地拓展到世界各地。第8章虚拟专用网络技术随着因特网的服务焦点转移到电子商务第8章虚拟专用网络技术虚拟专用网络(VirtualPrivateNetwork，VPN)被定义为通过一个公用网络(通常是因特网)建立的一个临时的安全连接，是一条穿过公用网络的安全、稳定的隧道。第8章虚拟专用网络技术虚拟专用网络(VirtualP第8章虚拟专用网络技术VPN是企业网在因特网等公共网络上的延伸，它通过安全的数据通道，帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输，构成一个扩展的公司企业网，如图8.1所示。VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接，可用于实现企业网站之间安全通信的虚拟专用线路。第8章虚拟专用网络技术VPN是企业网在因特网等公共网络上图8.1虚拟专用网络图8.1虚拟专用网络第8章虚拟专用网络技术说得通俗一点，VPN实际上是“线路中的线路”，类型于城市道路上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来，即是“虚拟”的。不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网络管理员们广泛关注着。第8章虚拟专用网络技术说得通俗一点，VPN实际上是“线路第8章虚拟专用网络技术因特网工程任务小组(IETF)已经开始为VPN技术制订标准，基于这一标准的产品，将使各种应用场合下的VPN有充分的互操作性和可扩展性。第8章虚拟专用网络技术因特网工程任务小组(IETF)第8章虚拟专用网络技术VPN可以实现不同网络组件和资源之间的相互连接，利用因特网或其他公共互连网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。第8章虚拟专用网络技术VPN可以实现不同网络组件和资源之第8章虚拟专用网络技术提高VPN效用的关键问题在于当用户的业务需求发生变化时，用户能很方便地调整他的VPN以适应变化，并且能方便地升级到将来新的TCP/IP技术；而那些提供门类齐全的软、硬件VPN产品的供应商，则能提供一些灵活的选择以满足用户的要求。目前的VPN产品主要运行在IPv4之上，但应当具备升级到IPv6的能力，同时要保持良好的互操作性。第8章虚拟专用网络技术提高VPN效用的关键问题在于当用户第8章虚拟专用网络技术IPv6：现有的互联网是在IPv4协议的基础上运行的。IPv6是下一版本的互联网协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。第8章虚拟专用网络技术IPv6：现有的互联网是在IPv4第8章虚拟专用网络技术IPv4采用32位地址长度，只有大约43亿个地址，估计在2005～2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。除了一劳永逸地解决地址短缺问题以外，IPv6的主要优势还体现在以下几方面：提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。第8章虚拟专用网络技术IPv4采用32位地址长度，只有大8.1VPN的安全性使用虚拟专用网络涉及到一些传统企业内部网络中不存在的安全问题。在虚拟专用网络中，一个典型的端到端的数据通路可能包含：1)数台不在公司控制之下的机器(例如ISP的接入设备和因特网上的路由器)。2)介于内部网(Intranet)和外部网之间的安全网关(可能是防火墙或者是路由器)。8.1VPN的安全性使用虚拟专用网络涉及到一些传统企业内8.1VPN的安全性3)一个包含若干主机和路由器的内部网。其中一些机器可能由恶意攻击者操作，有的机器同时参与公司内部的通信以及与公司外部的通信。4)一个外部公共网络(因特网)上面的数据通信来源不仅限于公司网络。在这样一个开放的复杂环境下，很容易被窃听和篡改数据报文的内容，很容易实施拒绝服务的攻击或者是修改数据报文的目的地址的攻击。8.1VPN的安全性3)一个包含若干主机和路由器的内部8.2因特网的安全协议IPSec实现VPN通常用到的安全协议主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于链路层，IPSec主要应用于网络层，SOCKSv5应用于会话层。为了解决因特网所面临的不安全因素的威胁，实现在不信任通道上的数据安全传输，使安全功能模块能兼容IPv4和下一代网络协议IPv6，IPSec协议将会是主要的实现VPN的协议。8.2因特网的安全协议IPSec实现VPN通常用到的安全8.2因特网的安全协议IPSecIPSec是IP与Security的简写。IPSec结合使用多种安全技术为IP数据包提供保密性、完整性和真实性。IPSec实际上指的是多个相关的协议，它们在RFC2401-2411和RFC2451中定义，规约已经变得相当复杂。8.2因特网的安全协议IPSecIPSec是IP与Sec8.2因特网的安全协议IPSecIPSec的主要设计目标是良好的互操作性。如果得到正确的实现，IPSec对那些不支持它的主机和网络不会产生任何负面影响，IPSec的体系结构独立于当前的密码算法，IPSec对于IPv6是必需的，而对IPv4是可选的。8.2因特网的安全协议IPSecIPSec的主要设计目标8.2.1IPSec的体系结构IPSec框架主要有两个协议：一个是用于认证的认证首部(AuthenticationHeader，AH)协议和一个用于加密数据的安全封装(EncapsulatingSecurityPayload，ESP)协议。这些安全特征都是作为主要的IP报文首部之后的扩展首部来实现的。AH和ESP可以使用两种模式，即传输模式和隧道模式。8.2.1IPSec的体系结构IPSec框架主要有两个协8.2.1IPSec的体系结构(1)IPSec文档IPSec文档被划分成7个组，如图8.2所示。这是由IETF成立的IP安全协议工作组在做了大量的工作之后划分的。8.2.1IPSec的体系结构(1)IPSec文档图8.2IPSec文档图8.2IPSec文档8.2.1IPSec的体系结构体系结构：覆盖了定义IPSec技术的一般性概念、安全需求、定义和机制。ESP协议：覆盖了使用ESP进行分组加密(可选的认证)的格式和一般问题。AH协议：覆盖了使用AH进行分组认证的格式和一般问题。加密算法：描述了怎样将不同的加密算法用于ESP中。8.2.1IPSec的体系结构体系结构：覆盖了定义IPS8.2.1IPSec的体系结构认证算法：描述了怎样将不同的认证算法用于AH和ESP可选的认证选项。解释域(DOI)：包含了其他文档需要的为了彼此间相互联系的一些值。这些值包括经过检验的加密和认证算法的标识以及操作参数，例如密钥的生存期。密钥管理：描述密钥管理机制的文档，其中IKE(因特网密钥交换协议)是默认的密钥自动交换协议。8.2.1IPSec的体系结构认证算法：描述了怎样将不同8.2.1IPSec的体系结构(2)IPSec的服务IPSec在IP层提供下列安全服务：访问控制。无连接的完整性(对IP数据包自身的一种检测方法)。数据源的认证。拒绝重发的数据包(部分序列号完整性的一种形式)。保密性(加密)。有限的通信流保密性。表8.1总结了IPSec提供的服务。8.2.1IPSec的体系结构(2)IPSec的服务8.2.2安全关联安全关联(SecurityAssociation，SA)是在发送者和接收者之间为进出通信量提供安全服务的一种单向的关系，它是IPSec中的一个基本的概念。每一对使用IPSec的主机必须在它们之间建立一个SA。8.2.2安全关联安全关联(SecurityAsso8.2.2安全关联SA数据库定义了与每一个SA相关联的参数，例如，通信使用何种保护类型(是AH还是ESP)、使用的加密算法、密钥、协议方式(隧道或传输)以及该SA的有效期等。SA在发送者和接收者之间建立一种单向的关系。如果需要进行双向通信，则需要第二个SA。8.2.2安全关联SA数据库定义了与每一个SA相关联的参8.2.2安全关联AH协议和ESP协议可以单独使用，也可以组合使用，因为每一种协议都有两种使用模式，这样组合使用就有多种可能的组合方式。但是在这么多可能的组合中只有几个有实际意义的应用。用SA束来实现IPSec的组合，定义了两种组合SA的方式：传输邻接和循环隧道。8.2.2安全关联AH协议和ESP协议可以单独使用，也可8.2.3传输模式与隧道模式IPsec有两种使用模式：传输模式(transportmode)和隧道模式(tunnelmode)。在传输模式中，IPSec头被直接插在IP头的后面。IP头中的Protocol域也被做了修改，以表明有一个IPSec头紧跟在普通IP头的后面(但是在TCP头的前面)。IPsec头包含了安全信息，主要有SA标识符、一个新的序列号，可能还包括净荷数据的完整性检查信息。8.2.3传输模式与隧道模式IPsec有两种使用模式：传8.2.3传输模式与隧道模式在隧道模式中，整个IP分组，连同头部和所有的数据一起被封装到一个新的IP分组中，并且这个新的IP分组有一个全新的IP头。当隧道的终点并不是最终的目标节点时，隧道模式将非常有用。8.2.3传输模式与隧道模式在隧道模式中，整个IP分组，8.2.3传输模式与隧道模式在有些情况下，隧道的终点是一台安全网关机器，例如，公司的一个防火墙。在这种模式中，当分组通过防火墙的时候，防火墙负责封装分组，或者解除封装。由于隧道终止于这台安全的机器上，所以公司LAN上的机器不必知晓IPSec的存在。只有防火墙必须要知道IPSec。8.2.3传输模式与隧道模式在有些情况下，隧道的终点是一8.2.4AH协议AH协议为IP数据包提供了数据完整性服务和认证服务，并使用一个带密钥的哈希函数以实现认证服务。8.2.4AH协议AH协议为IP数据包提供了数据完整性服8.2.4AH协议(1)AH协议的原理AH协议可以保证IP分组的可靠性和数据的完整性。它的原理是发送方将IP分组头、上层数据、共享密钥这3部分通过MD5(或SHA-1)算法进行计算，得出AH首部的认证数据，并将AH首部加入IP分组中。8.2.4AH协议(1)AH协议的原理8.2.4AH协议当数据传输到接收方时，接收方将收到的IP分组头、数据部分和公共密钥用相同的MD5(或SHA-1)算法运算，并把得到的结果和收到的数据分组的AH首部进行比较和认证。但是，AH头并不提供对数据的保密性保护，因此，当数据通过网络时，如果攻击者使用协议分析器照样能窃取敏感数据。8.2.4AH协议当数据传输到接收方时，接收方将收到的I8.2.4AH协议(2)传输与隧道模式AH协议服务可以使用两种模式：传输模式和隧道模式。见图8.3。8.2.4AH协议(2)传输与隧道模式图8.3AH的传输模式和隧道模式图8.3AH的传输模式和隧道模式8.2.4AH协议在传输模式中，AH协议仅仅应用从主机到主机的连接中，并且除了对选定的IP头域之外还对上层协议提供保护。该模式通过传输安全关联(SA)来提供。AH既可以用于主机，也可以用于安全网关。当在一个安全网关中实现AH以保护传输的通信时，必须使用隧道模式。8.2.4AH协议在传输模式中，AH协议仅仅应用从主机到8.2.4AH协议“隧道”技术是VPN的核心，它允许VPN的数据流被路由通过IP网络，而不管生成数据流的是何种类型的网络或设备。隧道内的数据流可以是IP、IPX、AppleTalk或其他类型的数据包。8.2.4AH协议“隧道”技术是VPN的核心，它允许VP8.2.5ESP协议ESP协议为通过不可信网络传输的IP数据提供保密性服务。另外，ESP协议还可以提供认证服务。根据所使用的加密类型和方式的不同，ESP的格式也会有所不同。在任何情况下，与加密关联的密钥都是使用SPI(安全参数索引)来选择的。8.2.5ESP协议ESP协议为通过不可信网络传输的IP8.2.5ESP协议(1)ESP协议的加密算法ESP协议兼容多种密码算法。系统必须有使用密码分组链接(CipherBlockChaining，CBC)模式DES算法：对于要求认证的兼容系统则必须含有NULL算法。同时，也定义了ESP服务使用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。8.2.5ESP协议(1)ESP协议的加密算法8.2.5ESP协议(2)传输与隧道模式与AH相同，ESP也可以用于传输模式和隧道模式。这些模式的工作方式与它们在AH中的工作方式类似。但是有一个例外：对ESP，在每一个数据之后将附加一个尾部(trailer)的数据(如图8.4)。ESP传输模式只用于实现主机之间的加密(和可选的认证)服务，为上层协议提供保护而不是IP头本身。8.2.5ESP协议(2)传输与隧道模式图8.4ESP的传输模式和隧道模式图8.4ESP的传输模式和隧道模式8.2.5ESP协议ESP隧道模式既可以用于主机，也可以用于安全网关。当在一个安全网关中实现ESP时(用于保护用户传输通信流)，必须使用隧道模式，如图8.5所示是一个由4个专用网通过因特网互相连接的隧道模式示例。内部网络上的主机使用因特网是为了传输数据，而不是同其他基于因特网的主机进行交互。在每个内部网络上的安全网关用于终止隧道。8.2.5ESP协议ESP隧道模式既可以用于主机，也可以图8.5ESP的隧道模式示例图8.5ESP的隧道模式示例8.2.6安全管理IPSec包含两个指定的数据库：安全策略数据库(SecurityPolicyDatabase，SPD)和安全关联数据库(SecurityAssociationDatabase，SAD)。SPD指定了决定所有输入或者输出的IP通信部署的策略；SAD包含有与当前活动的安全关联相关的参数。8.2.6安全管理IPSec包含两个指定的数据库：安全策8.2.7密钥管理当使用IPSec时，与其他安全协议一样，必须提供密钥管理功能。例如，应提供一种方法，用于与其他人协商协议、加密算法以及在数据交换中使用的密钥。此外，IPSec需要知道实体之间的所有的这样的协定。IETF的IPSec工作组已经指定所有兼容的系统必须同时支持手工和自动的SA和密钥管理。8.2.7密钥管理当使用IPSec时，与其他安全协议一样8.3VPN应用IPSec提供了在局域网、专用和公用的广域网(WAN)和因特网上安全通信的能力。8.3VPN应用IPSec提供了在局域网、专用和公用的广8.3.1通过因特网实现远程用户访问一个系统中配备了IP安全协议的最终用户，可以通过调用本地的因特网服务提供商(ISP)来获得对一个公司网络的安全访问，这为在外出差的雇员和远程的工作者减少了长途通信费用。8.3.1通过因特网实现远程用户访问一个系统中配备了IP8.3.1通过因特网实现远程用户访问客户通过拨号到ISP来连接到因特网，然后和内部网边界上的安全网关建立一个经认证的、加密的安全通道。通过在远程和安全网关之间实行IPSec方式的认证，内部网可以免受那些不必要的或恶意的IP包攻击。通过将远程主机与安全网关之间的数据流进行加密，可以防止窃听。8.3.1通过因特网实现远程用户访问客户通过拨号到ISP8.3.1通过因特网实现远程用户访问虚拟专用网络支持以安全的方式通