【文章內(nèi)容簡介】 術(shù)等VPN技術(shù)構(gòu)成組織機(jī)構(gòu)“內(nèi)部”的虛擬專用網(wǎng)絡(luò)，當(dāng)其將公司所有權(quán)的VPN設(shè)備配置在各個(gè)公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時(shí)，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用VPN組建的內(nèi)聯(lián)網(wǎng)也叫Intranet VPNIntranet VPN是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。 為解決企事業(yè)單位通過公共通信網(wǎng)絡(luò)與合作伙伴和有共同利益的外部內(nèi)聯(lián)網(wǎng)實(shí)現(xiàn)互通互聯(lián)和信息交換而提出的外聯(lián)網(wǎng)（Extranet）概念。使用虛擬專用網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略、資源共享約定規(guī)則實(shí)施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價(jià)值。這樣組建的外聯(lián)網(wǎng)也叫Extranet VPN。Extranet VPN是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)VPN的連接和傳輸中使用了加密技術(shù)，必須解決其中的密碼分發(fā)、管理的一致性問題。第3章 vpn技術(shù)相關(guān)協(xié)議 PPTP協(xié)議與L2TP 協(xié)議 PPTP協(xié)議1996年，Microsoft和Ascend等在PPP 協(xié)議的基礎(chǔ)上開發(fā)了PPTP ，它集成于Windows NT ，Windows NT Workstation 和Windows 。PPP支持多種網(wǎng)絡(luò)協(xié)議，可把IP 、IPX、AppleTalk或NetBEUI的數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸。PPTP提供流量控制，減少擁塞的可能性，避免由于包丟棄而引發(fā)包重傳的數(shù)量。PPTP的加密方法采用Microsoft點(diǎn)對點(diǎn)加密(MPPE: Microsoft Pointto Point) 算法，可以選用較弱的40位密鑰或強(qiáng)度較大的128位密鑰。1996年Cisco提出L2F(Layer 2 Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于Cisco的路由器和撥號訪問服務(wù)器。 L2TP 協(xié)議1997年底Microsoft 和Cisco公司把PPTP 協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議。L2TP支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝PPP幀可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容。這類服務(wù)不單支持已注冊的IP地址，也支持私有的IP地址，以及IPX、。這類新型的服務(wù)為撥號用戶和ISP都代來了極大的好處。因?yàn)檫@類服務(wù)支持已耗費(fèi)了大量資金建成的傳統(tǒng)非IP網(wǎng)，或允許共同因特網(wǎng)巨大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。L2TP正是這類服務(wù)中的典型代表。L2TP將PPP分組進(jìn)行隧道封裝并在不同傳輸媒體上傳輸，使用PPP可靠性發(fā)送(RFC 1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP隧道在兩端的VPN服務(wù)器之間采用口令握手協(xié)議CHAP來驗(yàn)證對方的身份，這使得現(xiàn)如今的異地辦公更加方便和安全。 Ipsec協(xié)議IPSec(IP Securty)是IETF IPSec 工作組為了在IP層提供通信安全而制定的一套協(xié)議族。它包括安全協(xié)議部分和密鑰協(xié)商部分。安全協(xié)議部分定義了對通信的各種保護(hù)方；密鑰協(xié)商部分定義了如何為安全協(xié)議商保護(hù)參數(shù)以及如何對通信實(shí)體的身份進(jìn)行鑒別。IPSec安全協(xié)議給出了兩種通信保護(hù)機(jī)制：封裝安全載荷（Encapsuation Security Payload,以下簡稱ESP）和鑒別頭（Authentication Header，以下簡稱AH）。其中ESP機(jī)制為通信提供機(jī)密性、完整性保護(hù)；AH機(jī)制為通信提供完整性保護(hù)。ESP和AH機(jī)制都能為通信提供抗重放(Antireplay)攻擊。Ipsec協(xié)議使用IKE（Internet Key Exchange）協(xié)議實(shí)現(xiàn)安全協(xié)議自動安全參數(shù)協(xié)商。IKE協(xié)商的安全參數(shù)包括加密及鑒別密鑰、通信的保護(hù)模式（隧道或傳輸模式）、密鑰的生存期等。IKE將這些安全參數(shù)構(gòu)成的安全參數(shù)背景稱為安全關(guān)聯(lián)（Security Association,以下簡稱SA）。IKE還負(fù)責(zé)這些安全參數(shù)的刷新。 設(shè)計(jì)Ipsec的目的 以TCP/IP協(xié)議簇的設(shè)計(jì)初衷及其使用環(huán)境基本未考慮互連技術(shù)造成的安全隱患和固有的漏洞，這是因?yàn)門CP/IP協(xié)議族的主要協(xié)議以及因特網(wǎng)原始主干均源于美國國防部的研究計(jì)劃和項(xiàng)目應(yīng)用，它運(yùn)行于國防部內(nèi)部封閉的網(wǎng)絡(luò)。網(wǎng)絡(luò)內(nèi)的用戶和設(shè)備在嚴(yán)密的管理的管理制度約束和高強(qiáng)度的安全觀念培訓(xùn)機(jī)制下，其運(yùn)行環(huán)境是安全的。美國軍方將這一技術(shù)和主干網(wǎng)移交給社會使用時(shí)，已將原始主干網(wǎng)絡(luò)分成無物理連接的兩個(gè)部分。由于TCP/IP協(xié)議簇的運(yùn)行環(huán)境發(fā)生了變化，再也沒有人們想象中的那么安全。如今因特網(wǎng)中的攻擊方式層出不窮，人們因?yàn)樯虡I(yè)的、政治的或個(gè)人目的互相偷聽、攻擊和破壞。為了抵御這些攻擊，IETF設(shè)計(jì)了IPSec 協(xié)議。IPSec 協(xié)議利用預(yù)享密鑰、數(shù)字簽名或公鑰加密實(shí)現(xiàn)強(qiáng)的通信實(shí)體身份相互鑒別，并對通信提供基于預(yù)享密鑰的分組級源鑒別；IPSec 協(xié)議通過ESP機(jī)制為通信提供機(jī)密性保護(hù)；IPSec 協(xié)議通過AH和ESP機(jī)制能夠?yàn)橥ㄐ盘峁┩暾员Ｗo(hù)；IPSec 協(xié)議通過AH和ESP機(jī)制能夠?yàn)橥ㄐ盘峁┛怪胤殴簟?Ipsec的組成部分 安全體系結(jié)構(gòu) ESPA H 加密算法鑒別算法DOI 密鑰管理協(xié)議 在協(xié)議協(xié)議族里，給出了IPSec 協(xié)議體系結(jié)構(gòu)。體系結(jié)構(gòu)定義了主機(jī)和網(wǎng)關(guān)應(yīng)提供的各種保護(hù)功能。體系規(guī)定了IPSec 協(xié)議提供的兩種安全保護(hù)機(jī)制：AH和ESP機(jī)制。ESP機(jī)制為通信提供機(jī)密性保護(hù)和完整性保護(hù)；AH機(jī)制對通信提供完整性保護(hù)。這兩種機(jī)制為IPSec協(xié)議族提供安全服務(wù)。通信雙方何時(shí)應(yīng)實(shí)現(xiàn)ESP或AH保護(hù)、保護(hù)什么樣的通信、保護(hù)的強(qiáng)度如何以及何時(shí)應(yīng)實(shí)現(xiàn)密鑰協(xié)商等，都受到實(shí)施IPSec的安全策略的控制。IPSec協(xié)議通過安全策略的配置和實(shí)施表達(dá)用戶對通信的保護(hù)意圖，因此表示IPSec各組件的關(guān)系如圖31所示。 圖　31 IPSec各組件的關(guān)系 ESP機(jī)制 ESP機(jī)制主要是為通信提供機(jī)密性保護(hù)。依據(jù)建立安全關(guān)聯(lián)時(shí)的選擇，它也能為通信提供鑒別保護(hù)。因?yàn)镋SP封裝的載荷內(nèi)容不同，可將ESP分為兩種模式： ?隧道模式：將整個(gè)IP分組封裝到ESP載荷之中。?傳輸模式：將上層協(xié)議部分封裝到ESP載荷之中。 ESP 封裝技術(shù)的隧道模式ESP機(jī)制通過將整個(gè)IP分組或上層協(xié)議部分（即傳輸層協(xié)議數(shù)據(jù)，如TCP、UDP或ICMP協(xié)議數(shù)據(jù))封裝到一個(gè)ESP載荷中，然后對此荷載進(jìn)行相應(yīng)的安全處理，如加密處理、鑒別處理等，實(shí)現(xiàn)對通信的機(jī)密性或完整性保護(hù)，對于隧道模式，有如下典型實(shí)現(xiàn)模型如圖32所示。安全網(wǎng)關(guān)1安全網(wǎng)關(guān)2 ESPESP 主機(jī)11ESP隧道主機(jī)21............圖　32 ESP隧道模式即在ESP隧道的實(shí)施模型中，IPSec處理模塊安裝于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2，由它們來實(shí)現(xiàn)ESP處理。位于安全網(wǎng)關(guān)1和安全網(wǎng)關(guān)2之后的子網(wǎng)被認(rèn)為是內(nèi)部可信的，因此分別稱其為網(wǎng)關(guān)1和網(wǎng)關(guān)2的保護(hù)子網(wǎng)。保護(hù)子網(wǎng)內(nèi)的通信都是以文明方式進(jìn)行。但當(dāng)兩個(gè)子網(wǎng)之間的分組流經(jīng)網(wǎng)關(guān)1和網(wǎng)關(guān)2之間的公網(wǎng)時(shí)，將受到ESP機(jī)制的安全保護(hù)。這種模式有如下優(yōu)點(diǎn)：?保護(hù)子網(wǎng)中的所有用戶都可以透明地享受由安全網(wǎng)關(guān)提供的安全保護(hù)。?子網(wǎng)內(nèi)部可以使用私有IP地址，無須公有IP地址資源。?子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)被保護(hù)。這種模式的缺點(diǎn)則為：?增大了網(wǎng)關(guān)內(nèi)部的處理負(fù)荷，容易形成通信瓶頸。?對內(nèi)部的諸多安全問題將不可控。 ESP 封裝技術(shù)的傳輸模式對于傳輸模式，有如下典型實(shí)現(xiàn)模型：如圖33所示。............ ESPESP主機(jī)11ESP隧道主機(jī)21 圖　33傳輸模式的ESP的實(shí)現(xiàn)其中，IPSec模塊被安裝于兩端主機(jī)。主機(jī)11發(fā)送到主機(jī)21的IP分組將受到ESP提供的安全保護(hù)。這種模式有如下優(yōu)點(diǎn)：?即使內(nèi)網(wǎng)中的其他用戶，也不能理解傳輸于主機(jī)11和主機(jī)21之間的數(shù)據(jù)內(nèi)容。?分擔(dān)了IPSec處理負(fù)荷，避免了IPSec處理的瓶頸問題。這種模式的缺點(diǎn)則為：?由于每一個(gè)希望實(shí)現(xiàn)傳輸模式的主機(jī)都必須安裝并實(shí)現(xiàn)ESP協(xié)議，因此不能實(shí)現(xiàn)端用戶的透明服務(wù)。?不能使用私有IP地址，必須使用公有地址資源。?暴露了子網(wǎng)內(nèi)部拓?fù)洹? 事實(shí)上，IPSec的傳輸模式和隧道模式分別類似于其它隧道協(xié)議的自愿模式和強(qiáng)制模式，即一個(gè)基于用戶的實(shí)施，一個(gè)是基于網(wǎng)絡(luò)的實(shí)施。 AH 機(jī)制AH機(jī)制主要用于為通信提供完整性服務(wù)。AH還能為通信提供抗重放攻擊等服務(wù)。按照AH協(xié)議的規(guī)定，可以按AH封裝的協(xié)議數(shù)據(jù)不同，將AH封裝劃分為兩種模式：隧道模式和傳輸模式。 AH 封裝技術(shù)的隧道模式如果將AH頭插入原IP分組的IP頭之前，并在AH頭之前插入新的IP頭，則稱此模型的封裝為隧道封裝；對于隧道模式，有如下典型實(shí)現(xiàn)模型：如圖34所示。............ AHAH 主機(jī)11AH隧道主機(jī)21安全網(wǎng)關(guān)2安全網(wǎng)關(guān)1 　　圖 34 隧道模式的AH實(shí)現(xiàn)即在AH隧道的實(shí)施模型中，IPSec處理模塊安裝于安全路由器1和安全路由器2，由它們來實(shí)現(xiàn)AH處理。位于安全網(wǎng)關(guān)1