【正文】 169。 2022工程兵工程學(xué)院 計(jì)算機(jī)教研室 計(jì)算機(jī)網(wǎng)絡(luò)安全 (下 ) 169。 2022工程兵工程學(xué)院 計(jì)算機(jī)教研室 計(jì)算機(jī)網(wǎng)絡(luò)安全 第六章 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 第六章 虛擬專用網(wǎng)絡(luò) ?虛擬專用網(wǎng)絡(luò)概述； ?點(diǎn)對(duì)點(diǎn) IP隧道； ?虛擬接入網(wǎng)絡(luò)； ?虛擬專用局域網(wǎng)服務(wù)。 專用網(wǎng)絡(luò)指由專用點(diǎn)對(duì)點(diǎn)鏈路互連物理上分散的多個(gè)子網(wǎng)的內(nèi)部網(wǎng)絡(luò)，它的特點(diǎn)是使用本地地址、獨(dú)占網(wǎng)絡(luò)資源，信息在封閉的內(nèi)部網(wǎng)絡(luò)內(nèi)傳輸。虛擬專用網(wǎng)絡(luò)指由公共分組交換網(wǎng)絡(luò)互連物理上分散的多個(gè)子網(wǎng)的內(nèi)部網(wǎng)絡(luò)，但和采用專用點(diǎn)對(duì)點(diǎn)鏈路互連的專用網(wǎng)絡(luò)具有相同安全和使用本地地址的特性。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 虛擬專用網(wǎng)絡(luò)概述 ?VPN發(fā)展過(guò)程； ?VPN安全機(jī)制。 一個(gè)大型企業(yè)的企業(yè)內(nèi)部網(wǎng)絡(luò)往往由物理上分散的多個(gè)子網(wǎng)組成，實(shí)現(xiàn)各個(gè)子網(wǎng)互連的基本原則是安全、方便和節(jié)省，虛擬專用網(wǎng)絡(luò)（ VPN）技術(shù)就是一種安全、方便和節(jié)省地實(shí)現(xiàn)物理上分散的多個(gè)子網(wǎng)互連的技術(shù)。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 VPN發(fā)展過(guò)程 ? 使用本地地址； ? 專用點(diǎn)對(duì)點(diǎn)鏈路互連； ? 數(shù)據(jù)在內(nèi)部網(wǎng)絡(luò)內(nèi)傳輸； ? 分組交換結(jié)點(diǎn)完全屬于內(nèi)部網(wǎng)絡(luò)； ? 網(wǎng)絡(luò)資源由單一單位管理。 SD H ST M 4 SD H ST M 4 SD H ST M 4 R1 R2 R3 L A N 1 L A N 2 L A N 3 專用網(wǎng)絡(luò)結(jié)構(gòu) 缺點(diǎn)：互連子網(wǎng)的專用點(diǎn)對(duì)點(diǎn)物理鏈路的低效率、高費(fèi)用和不方便。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 由于虛電路經(jīng)過(guò)分組交換結(jié)點(diǎn)，數(shù)據(jù)傳輸?shù)陌踩詿o(wú)法保證； ? 建立虛電路時(shí)，可以為虛電路預(yù)留資源，如物理鏈路帶寬，因此，子網(wǎng)間傳輸帶寬有基本保證； ? 由于虛電路采用分組交換方式，每一條虛電路的通信費(fèi)用比點(diǎn)對(duì)點(diǎn)專用鏈路便宜； ? 對(duì)于 IP網(wǎng)絡(luò)，虛電路屬于鏈路層，因此，不影響使用本地地址； ? 提供虛電路服務(wù)的城市受到限制，因此，子網(wǎng)所在地域也受到限制，方便性受到影響。 VPN發(fā)展過(guò)程 R1 L A N 1 VC R2 R3 A T M 或幀中繼 L A N 2 L A N 3 VC VC 基于虛電路的 VPN結(jié)構(gòu) 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? IP隧道是基于 IP網(wǎng)絡(luò)的虛擬點(diǎn)對(duì)點(diǎn)鏈路，用于傳輸用本地地址封裝的 IP分組； ? 由于 IP隧道和其他端到端傳輸路徑共享分組交換結(jié)點(diǎn)和物理鏈路，因此，傳輸安全性不能保證； ? IP網(wǎng)絡(luò)是盡力而為網(wǎng)絡(luò)，不能保證子網(wǎng)間傳輸質(zhì)量（帶寬、傳輸時(shí)延、時(shí)延抖動(dòng)等不能確定）； ? IP網(wǎng)絡(luò)的廣泛性使得子網(wǎng)間互連不僅便宜，而且方便。 VPN發(fā)展過(guò)程 R1 L A N 1 隧道 R2 R3 IP 網(wǎng)絡(luò) L A N 2 L A N 3 隧道 隧道 用 IP隧道互連子網(wǎng)的 VPN結(jié)構(gòu) 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 正常的撥號(hào)接入需要建立遠(yuǎn)程接入用戶和路由器之間的點(diǎn)對(duì)點(diǎn)語(yǔ)音信道，如果兩者相距甚遠(yuǎn)，通信費(fèi)用很貴； ? 終端接入 Inter，路由器也接入 Inter，終端和路由器之間建立基于 IP網(wǎng)絡(luò)的第 2層隧道，該隧道等同于語(yǔ)音信道這樣的點(diǎn)對(duì)點(diǎn)鏈路； ? 由于遠(yuǎn)程接入用戶接入內(nèi)部網(wǎng)絡(luò)時(shí)，需要由路由器通過(guò) PPP完成遠(yuǎn)程接入用戶身份認(rèn)證、內(nèi)部網(wǎng)絡(luò)本地地址分配等接入控制功能，第 2層隧道提供 PPP要求的點(diǎn)對(duì)點(diǎn)傳輸服務(wù)。 VPN發(fā)展過(guò)程 ISP 接入服務(wù)器 內(nèi)部網(wǎng)絡(luò) 企業(yè)內(nèi)部網(wǎng) PS T N Int er Modem PP P 連接 認(rèn)證接入用戶、分配全球 IP 地址 第 2 層隧道 PP P 連接 認(rèn)證遠(yuǎn)程接入用戶、分配內(nèi)部網(wǎng)絡(luò)本地 IP 地址 路由器 L N S 遠(yuǎn)程接入用戶 虛擬接入網(wǎng)絡(luò)（１）－自愿隧道 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 自愿隧道是終端先接入 Inter，然后建立基于 IP網(wǎng)絡(luò)的終端和內(nèi)部網(wǎng)絡(luò)路由器之間的第 2層隧道，最后，通過(guò)第 2層隧道提供的等同于語(yǔ)音信道的傳輸服務(wù)，路由器通過(guò) PPP完成終端接入內(nèi)部網(wǎng)絡(luò)所要求的接入控制過(guò)程； ? 當(dāng)終端建立和 LAC之間的語(yǔ)音信道，并確定遠(yuǎn)程接入用戶要求接入內(nèi)部網(wǎng)絡(luò)，由 LAC建立和路由器之間的第 2層隧道，并在遠(yuǎn)程接入用戶和路由器之間完成PPP幀的中繼過(guò)程，對(duì)于 LAC和路由器之間的第 2層隧道，遠(yuǎn)程接入用戶是透明的。 VPN發(fā)展過(guò)程 ISP 接入服務(wù)器 L A C 內(nèi)部網(wǎng)絡(luò) 企業(yè)內(nèi)部網(wǎng) PS T N Int er Modem PP P 連接 第 2 層隧道 PP P 連接 認(rèn)證遠(yuǎn)程接入用戶、分配本地 IP 地址 路由器 L N S 遠(yuǎn)程接入用戶 虛擬接入網(wǎng)絡(luò)（１）－強(qiáng)制隧道 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 多個(gè)以太網(wǎng)通過(guò)邊緣路由器（ CE）接入 Inter，但這幾個(gè)以太網(wǎng)不是由路由器互連的獨(dú)立的網(wǎng)絡(luò)，而是能夠提供單個(gè)以太網(wǎng)服務(wù)的虛擬專用局域網(wǎng)； ? 這里的關(guān)鍵點(diǎn)是 CE和 CE之間的第 2層隧道，對(duì)于 IP網(wǎng)絡(luò)， CE是路由器，用于轉(zhuǎn)發(fā)第 2層隧道格式的 IP分組，對(duì)于物理上分散的多個(gè)以太網(wǎng)， CE是網(wǎng)橋，一端連接本地以太網(wǎng)，另一端通過(guò)等同于虛擬線路的第 2層隧道連接其他以太網(wǎng)； ? 終端 A、 B和 C是連接在同一個(gè)以太網(wǎng)上三個(gè)終端，分配網(wǎng)絡(luò)地址相同的 IP地址。 VPN發(fā)展過(guò)程 IP 網(wǎng)絡(luò) PE1 PE2 PE3 第 2 層隧道 第 2 層隧道 S1 S2 S3 終端 A 終端 B 終端 C C E 1 C E 2 C E 3 VPLS網(wǎng)絡(luò)結(jié)構(gòu) 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 VPN安全機(jī)制 ? 用 IP網(wǎng)絡(luò)實(shí)現(xiàn)互連的 VPN一般采用隧道機(jī)制； ? 建立隧道時(shí)，對(duì)隧道兩端進(jìn)行認(rèn)證，并約定類似加密算法、完整性檢測(cè)算法、密鑰等安全參數(shù)； ? 經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密運(yùn)算，接收端進(jìn)行完整性檢測(cè)和發(fā)送端認(rèn)證。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 點(diǎn)對(duì)點(diǎn) IP隧道 ?網(wǎng)絡(luò)結(jié)構(gòu)； ?IP分組傳輸機(jī)制； ?安全機(jī)制。 多個(gè)子網(wǎng)通過(guò)點(diǎn)對(duì)點(diǎn) IP隧道實(shí)現(xiàn)互連，由于這些子網(wǎng)使用本地地址，因此，必須先封裝成以隧道兩端全球 IP地址為源和目的地址的隧道格式，為了安全傳輸，隧道兩端建立雙向的安全關(guān)聯(lián)，經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)，采用 IPSec隧道模式，通過(guò)加密和完整性檢測(cè)實(shí)現(xiàn)數(shù)據(jù)經(jīng)過(guò)隧道的安全傳輸。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 網(wǎng)絡(luò)結(jié)構(gòu) ? 三個(gè)子網(wǎng) LAN LAN2和 LAN3使用本地地址； ? 路由器 R R2和 R3是邊緣路由器，一端連接本地子網(wǎng)，一端連接 Inter； ? 建立邊緣路由器之間的 IP隧道，隧道兩端是邊緣路由器連接 Inter端口； ? 邊緣路由器其中一個(gè)子網(wǎng)是直接連接，另兩個(gè)子網(wǎng)通過(guò)隧道連接下一跳，由于隧道等同于點(diǎn)對(duì)點(diǎn)鏈路，無(wú)需給出下一跳 IP地址。對(duì)于隧道格式，目的地址對(duì)應(yīng)的下一跳是 Inter中連接邊緣路由器的路由器。 .1 終端 A .1 服務(wù)器 B .5 L A N 1 L A N 2 L A N 3 .0/ 24 .0/ 24 .0/ 24 R1 R2 R3 .254 193. .254 .254 .2 .1 .2 .1 .2 隧道 Int er 1 2 1 2 1 2 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 IP分組傳輸機(jī)制 ? 當(dāng)終端 A向服務(wù)器 B發(fā)送 IP分組時(shí)，終端 A構(gòu)建以終端 A和服務(wù)器 B本地地址為源和目的 IP地址的 IP分組，根據(jù)終端 A配置默認(rèn)網(wǎng)關(guān)，將 IP分組發(fā)送給 R1； ? R1根據(jù)服務(wù)器 BIP地址確定通過(guò)隧道 1將 IP分組傳輸給下一跳； ? IP分組被封裝為以隧道 1兩端全球 IP地址為源和目的地址的隧道格式，經(jīng)過(guò) IP網(wǎng)絡(luò)，將隧道格式傳輸給 R2； ? R2從隧道格式中分離出 IP分組，根據(jù)服務(wù)器 B地址，確定服務(wù)器 B直接連接 R2端口 2連接的本地網(wǎng)絡(luò)上，通過(guò)端口 2轉(zhuǎn)發(fā) IP分組。 目的網(wǎng)絡(luò) 輸出端口 下一跳 目的網(wǎng)絡(luò) 輸出端口 下一跳 R1 R2 協(xié)議 19 3. 1. 2 .5 19 3. 1. 1 .1 數(shù)據(jù) 隧道 20 0. 1. 1 .1 20 0. 1. 2 .1 協(xié)議 19 3. 1. 2 .5 19 3. 1. 1 .1 數(shù)據(jù) 協(xié)議 19 3. 1. 2 .5 19 3. 1. 1 .1 數(shù)據(jù) 隧道 1 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 安全機(jī)制 ? 認(rèn)證發(fā)送端身份的過(guò)程如下：用證書(shū)證明用戶名 R1和公鑰 PKR1的綁定，然后，證實(shí)自己擁有公鑰 PKR1和對(duì)應(yīng)的私鑰 SKR1，以此證實(shí)自己就是 R1； ? 發(fā)送者將明文 P的報(bào)文摘要用私鑰解密運(yùn)算后生成數(shù)字簽名； ? 如果接收者用公鑰 PKR1加密數(shù)字簽名后得到的結(jié)果和接收者對(duì)明文 P報(bào)文摘要運(yùn)算后得到的結(jié)果相同，針織證實(shí)發(fā)送者就是 R1。 證書(shū) 路由器 R2 的 公鑰是 PK R 2 。 C A 證書(shū) 路由器 R1 的 公鑰是 PK R 1 。 C A SK R 1 P MD D 數(shù)字 簽名 P PKR 1 MD E 數(shù)字 簽名 P 相等，認(rèn)證和完 整性檢測(cè)成功 不相等，認(rèn)證和 完整性檢測(cè)失敗 R1 R2 數(shù)字簽名認(rèn)證身份過(guò)程 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 為了安全傳輸建立安全關(guān)聯(lián)時(shí)相互交換的信息，需要事先建立安全傳輸通道，建立安全傳輸通道的過(guò)程就是雙方約定安全參數(shù)的過(guò)程； ? 這里，雙方約定用 DES作為加密解密算法，用數(shù)字簽名技術(shù)實(shí)現(xiàn)發(fā)送者身份認(rèn)證和消息完整性檢測(cè)， 通過(guò) DiffieHellman密鑰交換算法生成密鑰，交換公鑰時(shí)，用數(shù)字簽名技術(shù)進(jìn)行發(fā)送者身份認(rèn)證和消息完整性檢測(cè)。 安全機(jī)制 Y R 1 、 Y R 2 、 N R 1 、 N R 2 、數(shù)字簽名 D E S 、 數(shù)字簽名、 D H 2 D E S 、數(shù)字簽名、 D H 2 Y R 1 、 N R 1 、數(shù)字簽名 R1 R2 雙方協(xié)商加密算法、認(rèn)證機(jī)制和完整性檢測(cè)機(jī)制。 雙方根據(jù) DiffieHellman密鑰交換算法生成密鑰，用數(shù)字簽名技術(shù)實(shí)現(xiàn)發(fā)送者身份認(rèn)證和消息完整性檢測(cè)。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 建立安全關(guān)聯(lián)過(guò)程就是完成雙方身份認(rèn)證、約定安全傳輸數(shù)據(jù)相關(guān)的安全參數(shù)的過(guò)程； ? 由于建立安全傳輸通道時(shí)已經(jīng)完成了雙方身份認(rèn)證，并且可以對(duì)經(jīng)過(guò)安全傳輸通道傳輸?shù)臄?shù)據(jù)進(jìn)行加密、發(fā)送者身份認(rèn)證和完整性檢測(cè)； ? 為建立的安全關(guān)聯(lián)約定的安全參數(shù)是： AES加密解密算法、 HMACMD596完整性檢測(cè)機(jī)制、 ESP安全協(xié)議和目的端選擇的 SPI。 安全機(jī)制 R1 、 Y R 1 1 、 N R 1 1 、數(shù)字簽名 R1 、 R2 、 Y R 1 1 、 Y R 2 1 、 N R 1 1 、 N R 21 、數(shù)字簽名 ES P 、 A ES 、 H M A C M D 5 96 、 D H 2 、數(shù)字簽名 ES P 、 A ES 、 H M A C M D 5 96 、 D H 2 、 SPI 、數(shù)字簽名 R1 R2 雙方協(xié)商加密算法、完整性檢測(cè)機(jī)制、安全協(xié)議和目的端選擇的 SPI。 雙方根據(jù) DiffieHellman密鑰交換算法生成密鑰。 虛擬專用網(wǎng)絡(luò) 計(jì)算機(jī)網(wǎng)絡(luò)安全 ? 建立 R1至 R2的安全關(guān)聯(lián)后， R1傳輸給 R2的數(shù)據(jù)進(jìn)行安全處理； ? 由于 R1至 R2的安全關(guān)聯(lián)采用隧道模式，整個(gè)內(nèi)層 IP分組作為 ESP凈荷； ? 根據(jù) ESP操作過(guò)程，先對(duì) ESP凈荷和尾部進(jìn)行加密，然后對(duì) ESP首部和成為密文的 ESP凈荷和尾部計(jì)算消息認(rèn)證碼； ? 整個(gè) ESP報(bào)文作為隧道格式的凈荷，外層 IP首部中的源和目的 IP地址是隧道兩端的 IP地址。 安全機(jī)制 .1 .5 E S P 首部 E S P 尾部 E S P 凈荷 AE S E S P 尾部 密文 E S P 首部 E S P 凈荷 密文 H MA C M D 5 K1 K2 96 位 E S P 首部 E