【正文】 出后續(xù)使用的加密密鑰，認(rèn)證密鑰等。雙方收到報(bào)文后用共享秘密解密，取得對(duì)方的標(biāo)識(shí)，根據(jù)標(biāo)識(shí)找到對(duì)方的公鑰 e，利用已知公鑰解密摘要信息。第三步雙方都向?qū)Ψ桨l(fā)送采用共享秘密衍生的密鑰加密的一個(gè)數(shù)據(jù)報(bào)，數(shù)據(jù)報(bào)中有本方的標(biāo)識(shí)和一個(gè)數(shù)字簽名。協(xié)商成功后，由交換發(fā)起方發(fā)送密鑰信息和一個(gè)隨機(jī)數(shù)，響應(yīng)方作同樣的操作。密鑰交換的前提是雙方都擁有一對(duì)不對(duì)稱密鑰對(duì)（ e,d） ,同時(shí)又都擁有對(duì)方的公鑰 e?，F(xiàn)舉 IPSec中的密鑰交換協(xié)議 IKE的一種情況作簡(jiǎn)單介紹。 目前主要的密鑰交換與管理標(biāo)準(zhǔn)有 IKE（ Inter Key Exchange） 、 SKIP（ Simple KeyManagement for Inter Protocol） 和 OAKLEY Key Determination Protocol。 手工配置的方法由于密鑰更新困難，只適合于簡(jiǎn)單網(wǎng)絡(luò)的情況。 密鑰交換和管理 VPN中無(wú)論是認(rèn)證還是加密都需要秘密信息 ，因而密鑰 的分發(fā)與 管理顯得非常重要。 5) ESP還有一個(gè)認(rèn)證尾部，功能類似于 AH。加密算法可能是 DESCBC， 3DESCBC。 2) 加入填充數(shù)據(jù)。 加密過(guò)程 ： 1) 封裝數(shù)據(jù)。上層協(xié)議的數(shù)據(jù)將被加密，算法的初始化向量（ IV）不被加密，有些算法的初始化向量在 Payload Data的開(kāi)始位置，有些算法的初始數(shù)據(jù)由算法隱式指定。 ? AES： Rijndial 加密算法 不對(duì)稱加密算法： ? RSA ? 橢圓曲線制算法 IPsec 中的加密 協(xié)議 ESP 下圖是 ESP的頭部格式。 目前， 常用的 數(shù)據(jù)加密算法有： 對(duì)稱加密算法： ? 國(guó)際數(shù)據(jù)加密算法（ IDEA： International Data Encryption Algorithm）： 128位長(zhǎng)密鑰，把 64位的明文塊加密成 64位的密文塊。 由于不對(duì)稱加密運(yùn)算量大，一般用于加密 對(duì)稱加密算法 中使用的密鑰。 使用不 對(duì)稱加密 算法加密時(shí) ，通訊各方使用兩個(gè)不同的密鑰 ,一個(gè)是只有發(fā) 送方知道的私有 密鑰 d，另一個(gè)則是對(duì)應(yīng)的公 開(kāi) 密鑰 e，任何人都可以獲得公 開(kāi) 密鑰 e。 在現(xiàn)代密碼學(xué)中， 加密算法 被 分為對(duì)稱加密算法和非對(duì)稱加密算法。 加密技術(shù)簡(jiǎn)介 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 11 在 VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時(shí)不被他人竊取 ,采用了加密機(jī)制。 HASH算法可以保證如果不知道認(rèn)證密鑰，要偽造與認(rèn)證數(shù)據(jù)匹配的認(rèn)證碼是困難的，又由于認(rèn)證數(shù)據(jù)中包含有 IP協(xié)議頭部的源 IP地址 ，所以只要保證認(rèn)證密鑰的秘密性就可以有效的區(qū)別偽裝 IP地址的欺騙數(shù)據(jù)包?？梢允鞘止し职l(fā)的，也可以是后面將介紹的密鑰管理協(xié)議動(dòng)態(tài)分發(fā)。認(rèn)證碼計(jì)算方法為 HASH（認(rèn)證密鑰，認(rèn)證數(shù)據(jù) ） 。 6） Authentication Data：對(duì)指定的數(shù)據(jù)的認(rèn)證碼，如 HMACMD596。 5） Sequence Number Field：用于防止重放攻擊，采用類似于 TCP協(xié)議中的窗口機(jī)制。 3） RESERVED：全 0。協(xié)議頭格式如下： 圖 18 AH協(xié)議頭格式 1） Next Header：下一個(gè)頭部的協(xié)議類型。 常用的 HASH函數(shù)有 MD5， SHA1等。該功能實(shí)際上是上一種功能的延伸。由于在報(bào)文摘要的計(jì)算過(guò)程中一般是將一個(gè)雙方共享的秘密信息連接上實(shí)際報(bào)文一同參與摘要的計(jì)算，不知道秘密信息將很難偽 造一個(gè)匹配的摘要，從而保證了接收方可以辨認(rèn)出偽造或篡改過(guò)的報(bào)文。該特性使得摘要技術(shù)在 VPN中有兩個(gè)用途： A. 驗(yàn)證數(shù)據(jù)的完整性。摘要技術(shù)主要是采用HASH函數(shù)將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換，映射為一段短的報(bào)文即摘要。 這對(duì) 于網(wǎng)絡(luò)數(shù)據(jù)傳輸 ,特別是電子商務(wù)是極其重要的 。通常由加密、認(rèn)證及密鑰 交換與 管理組成了 VPN 的安全機(jī)制。 IPSec 協(xié)議族在使用 IPIP 隧道時(shí)就可能插入另外兩個(gè)協(xié)議頭： AH、 ESP。 IPIP 協(xié)議在具體的使用中要考慮如何建立外部 IP 協(xié)議頭的內(nèi)容，要考慮內(nèi)部 IP 協(xié)議頭中的某些內(nèi)容如服務(wù)質(zhì)量參數(shù)，是否要拷貝到外部協(xié)議頭中。一個(gè) IP 包源為 A， A 所在的局網(wǎng)與 Inter 的接口為 B，目的地為遠(yuǎn)地的 D， D 所在的局網(wǎng)與 Inter 的接口為 C， IP 包要穿過(guò) Inter 到達(dá) D，可在 B 作如下圖 16 的封裝，數(shù)據(jù)包在 Inter 上可以按照路由到達(dá) C，在 C 處解封裝去掉外 圖 16 IPIP 封裝 部 IP 協(xié)議頭，將內(nèi)部 IP 包在局網(wǎng)上發(fā)送。下圖 14 是該過(guò)程的示意 . 圖 14 IPsec 中的 隧道協(xié)議 IPIP TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 9 IPIP 數(shù)據(jù)報(bào)格式 如下圖 15： 圖 15 IPIP 數(shù)據(jù)報(bào)格式 從圖中可以看出， IPIP 協(xié)議是將一個(gè) IP 包作為另一個(gè) IP 的負(fù)載來(lái)處理。 被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過(guò)公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。隧道技術(shù)的基本過(guò)程是在源 局域網(wǎng)與公用網(wǎng)的接口處將局域網(wǎng)發(fā)送的數(shù)據(jù) (可以是 ISO 七層模型中的數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層數(shù)據(jù) )作為負(fù)載封裝在一種可以在公用網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公用網(wǎng)的接口處將公用網(wǎng)的數(shù)據(jù)解封裝后，取出負(fù)載即源局域網(wǎng)發(fā)送的數(shù)據(jù)向目的局域網(wǎng)傳輸。下面結(jié)合 IPsec 協(xié)議族作介紹。 IPSec 可確保運(yùn)行在 TCP/IP 協(xié)議上的 VPN 之間的互操作性。 IPSec 支持一系列加密算法如 DES、 3DES、 IDEA。ISAKMP/IKE/Oakley 支持自動(dòng)建立加密 、認(rèn)證 信道，以及密鑰的自動(dòng)安全分發(fā)和更新。隧道模式是最安全的，但會(huì)帶來(lái)較大的系統(tǒng)開(kāi)銷。在隧道模式下， IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 包 中 。 IPSec 用密碼技術(shù) 提供以下 安全 服務(wù)：接入控制，無(wú)連接完整性，數(shù)據(jù)源認(rèn)證，防重放，加密，防傳輸流分析 。 OSI 七層模型 安全技術(shù) 安全協(xié)議 應(yīng)用層 表示層 應(yīng)用代理 會(huì)話層 傳輸層 會(huì)話層代理 SOCKSv5/SSL 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 包過(guò)濾 IPSec PPTP/L2F/L2TP 表 11 IPSec 協(xié)議 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 8 IPSec 協(xié)議是一個(gè) 應(yīng)用 廣泛，開(kāi)放的 VPN 安全協(xié)議。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性。 利用 VPN 技術(shù)可以組建安全 的 Extra，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。示例如圖 12： TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 7 圖 12 ? Extra VPN（擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra 相對(duì)應(yīng)。 IntraVPN 通過(guò)一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。利用 VPN 特性可以在 Inter 上組建世界范圍內(nèi)的 IntraVPN。該方式也能提供傳輸?shù)耐该餍?，但是它與 VPN 技術(shù)在安全性上有根本的差異。 ? Intra VPN（企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)內(nèi)部的 Intra 相對(duì)應(yīng)。出差員工 撥號(hào)接入到用戶本地的 ISP， 就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。 在該方式下遠(yuǎn)端用戶不再是如傳統(tǒng)的遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)那樣，通過(guò)長(zhǎng)途電話 撥號(hào)到公司遠(yuǎn)程接入端口，而是撥號(hào)接入到用戶本地的 ISP，利用 VPN 系統(tǒng)在公眾網(wǎng)上建立一個(gè)從客戶端到網(wǎng)關(guān)的安全傳輸通道。 ? 投資保護(hù) VPN基于 IPSEC 實(shí)現(xiàn)， IPSEC逐漸被大家接受 ，用戶網(wǎng)絡(luò)的改造和擴(kuò)展有很好的保護(hù)。 ? 使用和管理方便 VPN產(chǎn)品可以在網(wǎng)絡(luò)連接中透明地配置，而不需要修改網(wǎng)絡(luò)或客戶端的配置 ，非常方便使用 。 ? 全方位的安全保護(hù) VPN不僅能在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立專用通道，保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩夷茉谄髽I(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、移動(dòng)辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安全通道，建立全方位的安全保護(hù)，保證網(wǎng)絡(luò)的安全。如果用戶 利用 ISP的設(shè)施和服務(wù)，那么用戶 同時(shí)又完全掌握著自己網(wǎng)絡(luò)的控制權(quán)。在遠(yuǎn)程辦公室增加 VPN也很簡(jiǎn)單 ，只需 通過(guò) 作適當(dāng)?shù)脑O(shè)備 配置 即可。之所以采用虛擬專用網(wǎng)是因?yàn)?VPN有以下幾方面 優(yōu)點(diǎn) ： TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 5 ? 降低成本 通過(guò)公用網(wǎng) 來(lái)建立 VPN與建立 DDN、 PSTN等專線方式相比， 可以節(jié)省大量的費(fèi)用 開(kāi)支 。在該網(wǎng)中的主機(jī)將不會(huì)覺(jué)察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。 虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。于是，虛擬專用網(wǎng) VPN（ Virtual Private Network）的概念與市場(chǎng)隨之出現(xiàn)。對(duì)于移動(dòng)用戶與遠(yuǎn)端用戶而言，只能通過(guò)撥號(hào)線路進(jìn)入企業(yè)各自獨(dú)立的 局域網(wǎng) 。在這樣的背景下，這些在家辦公或下班后繼續(xù)工作的人員和移動(dòng)辦公人員 ， 遠(yuǎn)程辦公室 ，公司各分支機(jī)構(gòu) ,公司與合作伙伴、供應(yīng)商 ,公司與 客戶之間 都可能 建立連接通道 以進(jìn)行信息傳送。 2020 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 All rights reserved. 天融信 VPN整體 解決方案白皮書(shū) 本資料將定期更新，如欲獲取最新相關(guān)信息，請(qǐng)?jiān)L問(wèn)天融信網(wǎng)站， ，您的意見(jiàn)和建議請(qǐng)發(fā)送至： 市場(chǎng)部 電子信箱 : 北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 Beijing Topsec Network Security Technology Co., Ltd 北京市海淀區(qū)學(xué)院路 40 號(hào)研 7A 樓， 100083 Bldg 7A Yan, No 40, RD Xue yuan, Hai dian District, Beijing 電話 (TEL)： 01062304680255 傳真（ FAX）： 01062304552 TOPSEC VPN Solution White Book 安 全 推 進(jìn) 應(yīng) 用 2 目 錄 第一章 虛擬專用網(wǎng) (VPN)簡(jiǎn)介 ................................................................... 4 VPN 的概念 ......................................................................................... 4 VPN 的類型與標(biāo)準(zhǔn) ............................................................................... 6 VPN 技術(shù) ............................................................................................. 8 隧道技術(shù) ............................................................................................................. 8 隧道技術(shù)簡(jiǎn)介 .............................................................................................. 8 IPsec 中的隧道協(xié)議 IPIP ............................................................................... 8 VPN 的安全機(jī)制 .........................................