【文章內(nèi)容簡介】 篡改 ?VPN的目的是保護從信道的一個端點到另一端點傳輸?shù)男畔⒘?，信道的端點之前和之后， VPN不提供任何的數(shù)據(jù)包保護 40 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN系統(tǒng)組成 41 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN系統(tǒng)組成 ?VPN服務(wù)器：接受來自 VPN客戶機的連接請求； ?VPN客戶機：可以是終端計算機，也可以是路由器； ?隧道：數(shù)據(jù)傳輸通道，在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過封裝； ?VPN連接：在 VPN連接中，數(shù)據(jù)必須經(jīng)過加密； ?隧道協(xié)議：封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn) ?傳輸數(shù)據(jù)：經(jīng)過封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)； ?公共網(wǎng)絡(luò)：如 Inter，也可以是其他共享型網(wǎng)絡(luò) 42 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN關(guān)鍵技術(shù) ?RFC（ Request For Comments）： ―請求注解 ‖，包含了關(guān)于 Inter的幾乎所有重要的文字資料。RFC享有網(wǎng)絡(luò)知識圣經(jīng)之美譽。 ?RFC 2194：第一個 VPN RFC， 1997年 9月 14日發(fā)布。 ?自 1999年 4月 17日之后，有 10個 RFC直接涉及VPN，如 RFC 2401 2411和 RFC2451。 ?有 80多個 RFC涉及隧道。 43 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN關(guān)鍵技術(shù) ?隧道技術(shù)： VPN的基本技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。 ?隧道由隧道協(xié)議形成，常用的有第 3層隧道協(xié)議。 ?密碼技術(shù)： ?加解密技術(shù)：在 VPN應(yīng)用中將認(rèn)證信息、通信數(shù)據(jù)等由明文轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加解密的算法及強度。 ?身份認(rèn)證技術(shù)：在正式的隧道連接開始之前需要確認(rèn)用戶的身份，以便系統(tǒng)進一步實施資源訪問控制或用戶授權(quán)。 ?密鑰管理技術(shù)：如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。 ?QoS技術(shù)：保證 VPN的性能穩(wěn)定，在管理上滿足企業(yè)的要求。 44 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN的隧道技術(shù) ?對通過隧道的數(shù)據(jù)進行處理的兩個基本過程：加密和封裝。 ?加密： ?保證 VPN的“私有性”； ?通信雙方數(shù)據(jù)的加密涉及到：加密方法的選擇、密鑰的交換、密鑰的管理等。 ?封裝： ?構(gòu)建隧道的基本手段； ?使得隧道能夠?qū)崿F(xiàn)信息的隱蔽和信息的抽象。 ?將一種協(xié)議封裝在另一種協(xié)議中傳輸，從而實現(xiàn)被封裝協(xié)議對封裝協(xié)議的透明性，保持被封裝協(xié)議的安全特性。 45 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN的隧道技術(shù) ?安全協(xié)議：就是構(gòu)建隧道的“隧道協(xié)議”。 ?IP隧道協(xié)議：使用 IP協(xié)議作為封裝協(xié)議的隧道協(xié)議。 ?第二層隧道協(xié)議：首先把各種網(wǎng)絡(luò)協(xié)議封裝到數(shù)據(jù)鏈路層的 PPP幀中，再把整個 PPP幀裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包依靠第二層協(xié)議進行傳輸。如： PPTP（點到點隧道協(xié)議， PointtoPoint Tunneling Protocol）、 L2F（第二層轉(zhuǎn)發(fā)協(xié)議， Layer Two Forwarding）和 L2TP（第二層隧道協(xié)議， Layer Two Tunneling Protocol）等； 46 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN的隧道技術(shù) ?第三層隧道協(xié)議：把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，封裝的是網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)包。如： GRE（通用路由封裝協(xié)議， Generic Routing Encapsulation）和 IPSec（ IP層安全協(xié)議， Inter Protocol Security） ?IPSec的應(yīng)用最為廣泛，是事實上的網(wǎng)絡(luò)層安全標(biāo)準(zhǔn)。 ?不同協(xié)議層次的隧道協(xié)議各有優(yōu)缺點，可考慮將其結(jié)合以構(gòu)建虛擬專用網(wǎng)的完整解決方案。 47 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IPSec架構(gòu) ?IPSec是提供網(wǎng)絡(luò)層通信安全的一套協(xié)議簇 ?IPSec只是一個開放的結(jié)構(gòu)，通過在主 IP報頭后面接續(xù)擴展報頭，為目前流行的數(shù)據(jù)加密或認(rèn)證算法的實現(xiàn)提供統(tǒng)一的數(shù)據(jù)結(jié)構(gòu) ?需求：身份認(rèn)證、數(shù)據(jù)完整性和保密性 ?IPSec在 IPv6中是強制的，在 IPv4中是可選的 48 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IPSec發(fā)展歷史 ?1994年 IETF專門成立 IP安全協(xié)議工作組，來制定和推動一套稱為IPSec的 IP安全協(xié)議標(biāo)準(zhǔn)。 ?1995年 8月公布了一系列關(guān)于 IPSec的建議標(biāo)準(zhǔn)。 ?1996年， IETF公布下一代 IP的標(biāo)準(zhǔn) IPv6，把鑒別和加密作為必要的特征， IPSec成為其必要的組成部分。 ?1999年底， IETF安全工作組完成了 IPSec的擴展，在 IPSec協(xié)議中加上 ISAKMP（因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議）， IKE（密鑰交換協(xié)議）、 Oakley（密鑰確定協(xié)議）。 ?ISAKMP/IKE/Oakley支持自動建立加密、鑒別信道，以及密鑰的自動安全分發(fā)和更新。 ?幸運的是， IPv4也可以實現(xiàn)這些安全特性。 49 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IPSec的應(yīng)用方式 ?端到端（ end－ end）：主機到主機的安全通信 ?端到路由（ end－ router）：主機到路由設(shè)備之間的安全通信 ?路由到路由（ router－ router）：路由設(shè)備之間的安全通信，常用于在兩個網(wǎng)絡(luò)之間建立虛擬專用網(wǎng) 50 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IPSec的內(nèi)容 ?協(xié)議部分，分為： ?AH（認(rèn)證頭， Authentication Header）： 提供完整性保護和抗重放攻擊； ?ESP（封裝安全載荷， Encapsulating Security Payload） ：提供機密性、完整性保護和抗重放攻擊； ?密鑰管理（ Key Management） ?SA（ Security Association） ?ISAKMP定義了密鑰管理框架 ?IKE是目前正式確定用于 IPSec的密鑰交換協(xié)議 51 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 VPN概述 ?IPSEC的優(yōu)點 ?在防火墻或路由器中實現(xiàn)時，可以對所有通過其邊界的流量實施強安全性，而公司內(nèi)部或工作組內(nèi)部的通信不會招致與安全處理相關(guān)的開銷 ?防火墻內(nèi)的 IPSec能在所有外部流量均使用 IP時阻止旁路 ?IPSec在傳輸層以下，對所有應(yīng)用透明，因此在防火墻或路由器使用 IPSec時，不需要對用戶系統(tǒng)或服務(wù)系統(tǒng)做任何改變 ?IPSec可以對最終用戶透明 ?IPSec 可以為單個用戶提供安全性 52 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IPSec安全體系結(jié)構(gòu) 53 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IP安全體系結(jié)構(gòu) ?IPSEC文檔 ?體系結(jié)構(gòu) ( Architecture)：定義 IPSec技術(shù)的一般性概念、需求和機制 ?封裝安全有效載荷（ ESP Encapsulating Security Payload） ?認(rèn)證頭（ AH Authentication Header ） ?加密算法（ Encryption Algorithm） ?認(rèn)證算法（ Authentication Algorithm） ?密鑰管理（ Key Management）： ISAKMP ?解釋域（ DOI Domain of Interpretation）：其他文檔需要的為了彼此間互相聯(lián)系的一些值，包括經(jīng)過檢驗的加密和認(rèn)證算法的標(biāo)識以及操作參數(shù)，比如密鑰的生存期 54 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IP安全體系結(jié)構(gòu) ?IPSEC協(xié)議框架： 綜合了密碼技術(shù)和協(xié)議安全機制，IPSec協(xié)議的設(shè)計目標(biāo)是在 IPV4和 IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù)。 ?IPSEC文檔 ?RFC 2401: An overview of security architecture ?RFC 2402: Description of a packet encryption extension to IPv4 and IPv6 ?RFC 2406: Description of a packet emcryption extension to IPv4 and IPv6 ?RFC 2408: Specification of key managament capabilities 55 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IP安全體系結(jié)構(gòu) ? IPSec在 IP層提供安全服務(wù)，系統(tǒng)可以選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需加密密鑰。 ?訪問控制 ?無連接完整性 ?數(shù)據(jù)源認(rèn)證 ?拒絕重放數(shù)據(jù)包 ?保密性（加密） ?有限的信息流保密性 56 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IP安全體系結(jié)構(gòu) AH ESP(只加密 ) ESP(加密并認(rèn)證 ) 訪問控制 √ √ √ 無連接的完整性 √ √ 數(shù)據(jù)源發(fā)認(rèn)證 √ √ 檢測重放攻擊 √ √ √ 機密性 √ √ 有限的通信流保密 √ √ 57 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點實驗室 IP安全體系結(jié)構(gòu) ?安全關(guān)聯(lián) ( Security Association)是兩個通信實體經(jīng)過協(xié)商建立起來的一種協(xié)定，他們決定了用來保護數(shù)據(jù)包安