35虚拟专用网络技术

第十章虚拟私用网络技术2020/2/91本章主要内容14.1虚拟专用网络概述14.2Internet的安全协议IPSec14.3VPN应用第十章虚拟私用网络技术2020/2/92本章学习目标通过本章的学习，学生应该掌握以下内容：（1）了解虚拟私用网络的概念和作用；（2）理解IPSec工作原理；（3）理解虚拟私用网络的解决方案；（4）掌握在windows2000中配置VPN连接。第十章虚拟私用网络技术2020/2/9314.1虚拟专用网络概述问题提出：随着Internet的增长，许多公司都开始考虑：“如何充分利用Internet为公司的业务服务?”最初，只是通过方式向用户提供公司的图片、产品及服务。现在的焦点已转移到电子商务，对于那些基于传统信息系统的关键性商务应用及数据，希望能通过无处不及的Internet来实现方便快捷的访问。但对于信息又安全的属于企业。通过安全的虚拟专用网络的实现，可以把公司的业务安全地、有效地拓展到世界各地。第十章虚拟私用网络技术2020/2/94VPN是企业网在Internet等公共网络上的延伸，通过一个专用的通道来创建一个安全的连接。VPN通过安全的数据通道将远程用户、公司分支机构、公司的业务合作伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。Internet服务提供商（ISP）提供高性能、低价位的Internet接人（直接通过线路或本地电话号码），这样公司就可以摆脱以前使用的昂贵的租用线路。虚拟专用网络（VPN-VirtualPrivateNetwork）能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。实现不同网络的组件和资源之间的相互连接。14.1虚拟专用网络概述14.1.1VPN的概念第十章虚拟私用网络技术2020/2/9514.1虚拟专用网络概述VPN与逻辑等同网络VPN虚拟私用网络逻辑等同网络穿越第十章虚拟私用网络技术2020/2/96为了解决Internet所面临的不安全因素的威胁，实现在不信任通道上的数据安全传输，使安全功能模块能兼容Ipv4和下一代网络协议Ipv6，IPSec协议将会是主要实现VPN的协议。SOCKsV5-应用于会话层IPsec-应用于网络层PPTP/L2TP-用于链路层IP级安全问题涉及三个功能领域：认证、保密和密钥管理。14.1虚拟专用网络概述14.1.3实现VPN通常用到的安全协议第十章虚拟私用网络技术2020/2/971994年IAB(InternetArchitectureBoard)发表一份报告“Internet体系结构中的安全性”(RFC1636)保护网络基础设施，防止非授权用户监控网络流量需要认证和加密机制增强用户-用户通信流量。1997年CERT(ComputerEmergencyResponseTeam)年报表明2500安全事故影响了150000站点。IAB决定把认证和加密作为下一代IP（IPv6）的必备安全特性，而IPv4也可以实现这些安全特性。IP安全性概要14.2虚拟专用网络概述14.1.3实现VPN通常用到的安全协议第十章虚拟私用网络技术2020/2/9814.1虚拟专用网络概述IPSec提供对跨越LAN/WAN，Internet的通讯提供安全性分支办公机构通过Internet互连。(SecureVPN)通过Internet的远程访问。与合作伙伴建立extranet与intranet的互连。增强电子商务安全性。IPSec的主要特征是可以支持IP级所有流量的加密和/或认证。因此可以增强所有分布式应用的安全性。IPSec的应用14.1.3实现VPN通常用到的安全协议第十章虚拟私用网络技术2020/2/9914.1虚拟专用网络概述第十章虚拟私用网络技术2020/2/91014.1虚拟专用网络概述IPSec的好处在防火墙或路由器中实现时，可以对所有跨越周界的流量实施强安全性。而公司内部或工作组不必招致与安全相关处理的负担。在防火墙中实现IPSec可以防止IP旁路。IPSec是在传输层(TCP,UDP)之下，因此对应用透明。不必改变用户或服务器系统上的软件。IPSec可以对最终用户透明。无须训练用户。需要时IPSec可以提供个人安全性。这对非现场工作人员以及在一个组织内为一个敏感应用建立一个安全的虚拟子网是有用的。第十章虚拟私用网络技术2020/2/91114.2Internet的安全协议IPSec1.IPSec协议IPSec是Internet的安全协议，是IP与Security的简写。IPSec联合使用多种安全技术来为IP数据包提供保密性、完整性和真实性。IPSec实际上指的是多个相关的协议，它们在RFC2401-2411和RFC2451中定义。规约已经变得相当复杂。IPSec的主要设计目标是良好和互操作性。如果得到正确的实现，IPSec对那些不支持它的主机和网络不会产生任何负面的影响，IPSec的体系结构独立于当前的密码算法，IPSec对于IPv6是必需的，而对IPv4是可选的。IPSec使用当前流行的密码学算法。14.2.1IPSec的体系结构第十章虚拟私用网络技术2020/2/912IETF设立的IP安全协议工作组体系结构（Architecture）封装安全有效载荷（ESP-EncapsulatingSecurityPayload）认证头（AH-AuthenticationHeader）加密算法（EncryptionAlgorithm）认证算法（AuthenticationAlgorithm）密钥管理（KeyManagement）解释域（DOI-DomainofInterpretation）14.2Internet的安全协议IPSec14.2.1IPSec的体系结构第十章虚拟私用网络技术2020/2/913图14.2IPSec文档体系结构ESP协议AH协议加密算法加密算法DOI密钥管理14.2Internet的安全协议IPSec第十章虚拟私用网络技术2020/2/914IPSec的主要目标期望安全的用户能够使用基于密码学的安全机制应能同时适用与IPv4和IPv6算法独立有利于实现不同安全策略对没有采用该机制的的用户不会有副面影响14.2Internet的安全协议IPSec14.2.1IPSec的体系结构第十章虚拟私用网络技术2020/2/9152.IPSec提供的服务IPSec在IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。访问控制连接完整性数据源认证拒绝重放数据包保密性（加密）有限信息流保密性14.2Internet的安全协议IPSec14.2.1IPSec的体系结构第十章虚拟私用网络技术2020/2/9162.IPSec提供的服务14.2Internet的安全协议IPSec14.2.1IPSec的体系结构AHESP(仅加密）ESP(加密+认证)访问控制连接完整性数据源认证拒绝重放包保密性有限保密性第十章虚拟私用网络技术2020/2/91714.2Internet的安全协议IPSec14.2.2认证头协议AH协议为IP数据包提供了数据完整性和认证服务。下一个首部（8比特）载荷长度（8比特）保留（16比特）安全参数索引（SPI）（16比特）序列号（16比特）认证数据（长度可变）图10-3认证协议首部第十章虚拟私用网络技术2020/2/91814.2Internet的安全协议IPSec14.2.2认证头协议1.完整性校验值计算ICV是消息认证码的一种截断版本，仅用HMAC—MD5和HMAC-SHAl的96位。ICV使用下列的域来计算：在传输中不变化的IP头域或者其值在到达使用该AH关联的端点时可以预测的IP头域。为计算需要，将其他置为0。除认证数据域之外头的全部内容。为计算需要，将认证数据域置为0。第十章虚拟私用网络技术2020/2/91914.2Internet的安全协议IPSec14.2.3认证头协议2.传输与隧道模式AH服务可以使用两种模式：传输（transport）模式和隧道（tunnel）模式。AH在IPv4和IPv6数据包的实际位置决定于使用何种模式。初始的IP头TCP数据初始的IP头扩展项头TCP数据IPV4数据包IPV6数据包第十章虚拟私用网络技术2020/2/92014.2Internet的安全协议IPSec14.2.3认证头协议2.传输与隧道模式初始的IP头AHTCP数据初始的IP头跃点数、路由分段目的选项TCP数据AH头AH头IPV4数据包IPV6数据包图10-5AH传输模式在IPv4和IPv6数据包中的位置第十章虚拟私用网络技术2020/2/92114.2Internet的安全协议IPSec14.2.3认证头协议2.传输与隧道模式图10-6AH隧道模式在IPv4和IPv6数据包中的位置新的IP头扩展项头AH扩展项头TCP数据新的IP头AH初始的IP头TCP数据AH头AH头IPV4数据包IPV6数据包第十章虚拟私用网络技术2020/2/92214.2Internet的安全协议IPSec14.2.3数据安全封装协议ESP协议为IP数据提供保密性、提供认证服务。根据使用的加密类型和方式，ESP的格式也会有所不同。加密关联的密钥都是使用SPI来选择的。安全参数索引（SPI）（32比特）序列号（32比特）载荷数据（变长）填充（0-255字节）填充长度（8比特）下一个头（8比特）认证数据（变长）图10-7ESP格式第十章虚拟私用网络技术2020/2/92314.2Internet的安全协议IPSec14.2.3数据安全封装协议1.加密算法IPSecESP使用密码分组链接（CBC-cipherblockchaining）模式DES算法；对于要求认证的兼容系统则必须含有个NULL算法。同时也定义了ESP服务使用的其他加密算法：三重DES、RC5、IDEA、CAST、BLOWFISH、3IDEA第十章虚拟私用网络技术2020/2/92414.2Internet的安全协议IPSec14.2.3数据安全封装协议2.传输与隧道模式ESP可以用于两种模式：传输模式和隧道模式。这些模式的工作方式与它们在AH中的工作方式类似，但是有一例外：对ESP，在每一个数据之后将附加一个尾部（trailer）的数据。第十章虚拟私用网络技术2020/2/92514.2Internet的安全协议IPSec14.2.3数据安全封装协议2.传输与隧道模式初始的IP头ESP头TCP数据ESP尾ESP认证ESP头初始的IP头跃点数、路由分段ESP头ESP尾ESP认证目的选项TCP数据图10-8ESP传输模式在典型IPv4和IPv6数据包中的位置IPV4数据包IPV6数据包第十章虚拟私用网络技术2020/2/92614.2Internet的安全协议IPSec14.2.3数据安全封装协议2.传输与隧道模式图10-11ESP隧道模式在IPv4和IPv6数据包中的位置新的IP头ESP头ESP尾ESP认证初始的IP头TCP数据据新的IP头新的扩展项头ESP头ESP尾ESP认证初始的IP头TCP数据扩展项头IPV4数据包IPV6数据包第十章虚拟私用网络技术2020/2/92714.2Internet的安全协议IPSec14.2.3数据安全封装协议2.传输与隧道模式Internet内部网络内部网络内部网络内部网络图10-10ESP的隧道模式示例第十章虚拟私用网络技术2020/2/92814.2.4安全关联安全关联(SecurityAssociation，SA)是IP认证和保密机制中最关键的概念。一个SA就是发送与接收者之间的一个单向关系。如果需要一个对等关系，即双向安全交换，则需要两个SA。一个SA由一个Internet目的地址和一个安全变量SA索引SPI唯一标识。因此，任何IP包中，SA是由IPv4中的目的地