【文章內(nèi)容簡(jiǎn)介】 篡改 ?VPN的目的是保護(hù)從信道的一個(gè)端點(diǎn)到另一端點(diǎn)傳輸?shù)男畔⒘?，信道的端點(diǎn)之前和之后， VPN不提供任何的數(shù)據(jù)包保護(hù) 40 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN系統(tǒng)組成 41 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN系統(tǒng)組成 ?VPN服務(wù)器：接受來(lái)自 VPN客戶機(jī)的連接請(qǐng)求； ?VPN客戶機(jī)：可以是終端計(jì)算機(jī)，也可以是路由器； ?隧道：數(shù)據(jù)傳輸通道，在其中傳輸?shù)臄?shù)據(jù)必須經(jīng)過(guò)封裝； ?VPN連接：在 VPN連接中，數(shù)據(jù)必須經(jīng)過(guò)加密； ?隧道協(xié)議：封裝數(shù)據(jù)、管理隧道的通信標(biāo)準(zhǔn) ?傳輸數(shù)據(jù)：經(jīng)過(guò)封裝、加密后在隧道上傳輸?shù)臄?shù)據(jù)； ?公共網(wǎng)絡(luò)：如 Inter，也可以是其他共享型網(wǎng)絡(luò) 42 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN關(guān)鍵技術(shù) ?RFC（ Request For Comments）： ―請(qǐng)求注解 ‖，包含了關(guān)于 Inter的幾乎所有重要的文字資料。RFC享有網(wǎng)絡(luò)知識(shí)圣經(jīng)之美譽(yù)。 ?RFC 2194：第一個(gè) VPN RFC， 1997年 9月 14日發(fā)布。 ?自 1999年 4月 17日之后，有 10個(gè) RFC直接涉及VPN，如 RFC 2401 2411和 RFC2451。 ?有 80多個(gè) RFC涉及隧道。 43 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN關(guān)鍵技術(shù) ?隧道技術(shù)： VPN的基本技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。 ?隧道由隧道協(xié)議形成，常用的有第 3層隧道協(xié)議。 ?密碼技術(shù)： ?加解密技術(shù)：在 VPN應(yīng)用中將認(rèn)證信息、通信數(shù)據(jù)等由明文轉(zhuǎn)換為密文的相關(guān)技術(shù)，其可靠性主要取決于加解密的算法及強(qiáng)度。 ?身份認(rèn)證技術(shù)：在正式的隧道連接開(kāi)始之前需要確認(rèn)用戶的身份，以便系統(tǒng)進(jìn)一步實(shí)施資源訪問(wèn)控制或用戶授權(quán)。 ?密鑰管理技術(shù)：如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。 ?QoS技術(shù)：保證 VPN的性能穩(wěn)定，在管理上滿足企業(yè)的要求。 44 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN的隧道技術(shù) ?對(duì)通過(guò)隧道的數(shù)據(jù)進(jìn)行處理的兩個(gè)基本過(guò)程：加密和封裝。 ?加密： ?保證 VPN的“私有性”； ?通信雙方數(shù)據(jù)的加密涉及到：加密方法的選擇、密鑰的交換、密鑰的管理等。 ?封裝： ?構(gòu)建隧道的基本手段； ?使得隧道能夠?qū)崿F(xiàn)信息的隱蔽和信息的抽象。 ?將一種協(xié)議封裝在另一種協(xié)議中傳輸，從而實(shí)現(xiàn)被封裝協(xié)議對(duì)封裝協(xié)議的透明性，保持被封裝協(xié)議的安全特性。 45 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN的隧道技術(shù) ?安全協(xié)議：就是構(gòu)建隧道的“隧道協(xié)議”。 ?IP隧道協(xié)議：使用 IP協(xié)議作為封裝協(xié)議的隧道協(xié)議。 ?第二層隧道協(xié)議：首先把各種網(wǎng)絡(luò)協(xié)議封裝到數(shù)據(jù)鏈路層的 PPP幀中，再把整個(gè) PPP幀裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包依靠第二層協(xié)議進(jìn)行傳輸。如： PPTP（點(diǎn)到點(diǎn)隧道協(xié)議， PointtoPoint Tunneling Protocol）、 L2F（第二層轉(zhuǎn)發(fā)協(xié)議， Layer Two Forwarding）和 L2TP（第二層隧道協(xié)議， Layer Two Tunneling Protocol）等； 46 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN的隧道技術(shù) ?第三層隧道協(xié)議：把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，封裝的是網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)包。如： GRE（通用路由封裝協(xié)議， Generic Routing Encapsulation）和 IPSec（ IP層安全協(xié)議， Inter Protocol Security） ?IPSec的應(yīng)用最為廣泛，是事實(shí)上的網(wǎng)絡(luò)層安全標(biāo)準(zhǔn)。 ?不同協(xié)議層次的隧道協(xié)議各有優(yōu)缺點(diǎn)，可考慮將其結(jié)合以構(gòu)建虛擬專用網(wǎng)的完整解決方案。 47 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IPSec架構(gòu) ?IPSec是提供網(wǎng)絡(luò)層通信安全的一套協(xié)議簇 ?IPSec只是一個(gè)開(kāi)放的結(jié)構(gòu)，通過(guò)在主 IP報(bào)頭后面接續(xù)擴(kuò)展報(bào)頭，為目前流行的數(shù)據(jù)加密或認(rèn)證算法的實(shí)現(xiàn)提供統(tǒng)一的數(shù)據(jù)結(jié)構(gòu) ?需求：身份認(rèn)證、數(shù)據(jù)完整性和保密性 ?IPSec在 IPv6中是強(qiáng)制的，在 IPv4中是可選的 48 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IPSec發(fā)展歷史 ?1994年 IETF專門成立 IP安全協(xié)議工作組，來(lái)制定和推動(dòng)一套稱為IPSec的 IP安全協(xié)議標(biāo)準(zhǔn)。 ?1995年 8月公布了一系列關(guān)于 IPSec的建議標(biāo)準(zhǔn)。 ?1996年， IETF公布下一代 IP的標(biāo)準(zhǔn) IPv6，把鑒別和加密作為必要的特征， IPSec成為其必要的組成部分。 ?1999年底， IETF安全工作組完成了 IPSec的擴(kuò)展，在 IPSec協(xié)議中加上 ISAKMP（因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議）， IKE（密鑰交換協(xié)議）、 Oakley（密鑰確定協(xié)議）。 ?ISAKMP/IKE/Oakley支持自動(dòng)建立加密、鑒別信道，以及密鑰的自動(dòng)安全分發(fā)和更新。 ?幸運(yùn)的是， IPv4也可以實(shí)現(xiàn)這些安全特性。 49 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IPSec的應(yīng)用方式 ?端到端（ end－ end）：主機(jī)到主機(jī)的安全通信 ?端到路由（ end－ router）：主機(jī)到路由設(shè)備之間的安全通信 ?路由到路由（ router－ router）：路由設(shè)備之間的安全通信，常用于在兩個(gè)網(wǎng)絡(luò)之間建立虛擬專用網(wǎng) 50 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IPSec的內(nèi)容 ?協(xié)議部分，分為： ?AH（認(rèn)證頭， Authentication Header）： 提供完整性保護(hù)和抗重放攻擊； ?ESP（封裝安全載荷， Encapsulating Security Payload） ：提供機(jī)密性、完整性保護(hù)和抗重放攻擊； ?密鑰管理（ Key Management） ?SA（ Security Association） ?ISAKMP定義了密鑰管理框架 ?IKE是目前正式確定用于 IPSec的密鑰交換協(xié)議 51 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 VPN概述 ?IPSEC的優(yōu)點(diǎn) ?在防火墻或路由器中實(shí)現(xiàn)時(shí)，可以對(duì)所有通過(guò)其邊界的流量實(shí)施強(qiáng)安全性，而公司內(nèi)部或工作組內(nèi)部的通信不會(huì)招致與安全處理相關(guān)的開(kāi)銷 ?防火墻內(nèi)的 IPSec能在所有外部流量均使用 IP時(shí)阻止旁路 ?IPSec在傳輸層以下，對(duì)所有應(yīng)用透明，因此在防火墻或路由器使用 IPSec時(shí)，不需要對(duì)用戶系統(tǒng)或服務(wù)系統(tǒng)做任何改變 ?IPSec可以對(duì)最終用戶透明 ?IPSec 可以為單個(gè)用戶提供安全性 52 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IPSec安全體系結(jié)構(gòu) 53 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IP安全體系結(jié)構(gòu) ?IPSEC文檔 ?體系結(jié)構(gòu) ( Architecture)：定義 IPSec技術(shù)的一般性概念、需求和機(jī)制 ?封裝安全有效載荷（ ESP Encapsulating Security Payload） ?認(rèn)證頭（ AH Authentication Header ） ?加密算法（ Encryption Algorithm） ?認(rèn)證算法（ Authentication Algorithm） ?密鑰管理（ Key Management）： ISAKMP ?解釋域（ DOI Domain of Interpretation）：其他文檔需要的為了彼此間互相聯(lián)系的一些值，包括經(jīng)過(guò)檢驗(yàn)的加密和認(rèn)證算法的標(biāo)識(shí)以及操作參數(shù)，比如密鑰的生存期 54 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IP安全體系結(jié)構(gòu) ?IPSEC協(xié)議框架： 綜合了密碼技術(shù)和協(xié)議安全機(jī)制，IPSec協(xié)議的設(shè)計(jì)目標(biāo)是在 IPV4和 IPV6環(huán)境中為網(wǎng)絡(luò)層流量提供靈活的安全服務(wù)。 ?IPSEC文檔 ?RFC 2401: An overview of security architecture ?RFC 2402: Description of a packet encryption extension to IPv4 and IPv6 ?RFC 2406: Description of a packet emcryption extension to IPv4 and IPv6 ?RFC 2408: Specification of key managament capabilities 55 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IP安全體系結(jié)構(gòu) ? IPSec在 IP層提供安全服務(wù)，系統(tǒng)可以選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需加密密鑰。 ?訪問(wèn)控制 ?無(wú)連接完整性 ?數(shù)據(jù)源認(rèn)證 ?拒絕重放數(shù)據(jù)包 ?保密性（加密） ?有限的信息流保密性 56 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IP安全體系結(jié)構(gòu) AH ESP(只加密 ) ESP(加密并認(rèn)證 ) 訪問(wèn)控制 √ √ √ 無(wú)連接的完整性 √ √ 數(shù)據(jù)源發(fā)認(rèn)證 √ √ 檢測(cè)重放攻擊 √ √ √ 機(jī)密性 √ √ 有限的通信流保密 √ √ 57 | 1/20/2023 Sun Yatsen University 169。 廣東省信息安全技術(shù)重點(diǎn)實(shí)驗(yàn)室 IP安全體系結(jié)構(gòu) ?安全關(guān)聯(lián) ( Security Association)是兩個(gè)通信實(shí)體經(jīng)過(guò)協(xié)商建立起來(lái)的一種協(xié)定，他們決定了用來(lái)保護(hù)數(shù)據(jù)包安