【正文】 個(gè)任務(wù)必須完成 : ⑴ 、 協(xié)商一系列算法和參數(shù) (這些算法和參數(shù)用于保護(hù)隧道建立過(guò)程中的數(shù)據(jù) )。 通道模式下，除了源主機(jī)和目的地主機(jī)之外，特殊的網(wǎng)關(guān)也將執(zhí)行密碼操作。 圖 3– 1|傳輸模式 8 通道模式 通道模式可以在兩個(gè) Security Gateway 間建立一個(gè)安全 隧道 ，經(jīng)由這兩個(gè)Gateway Proxy 的傳送均在這個(gè)通道中進(jìn)行。加密數(shù)據(jù)是通過(guò)使用 L2TP（第二層隧道協(xié)議）而生成的單一隧道來(lái)發(fā)送的。 IPSec的兩種模式 傳送模式 傳送模式加密的部份較少，沒(méi)有額外的 IP 報(bào)頭，工作效率相對(duì)更好，但安全性相對(duì)于隧道模式會(huì)有所降低。 [4] IKE（ Inter 密鑰交換） Inter 密鑰交換協(xié)議 (IKE)是用于交換和管理在 VPN 中使用的加密密鑰的 ， IKE屬于一種混合型協(xié)議，由 Inter 安全關(guān)聯(lián)和密鑰管理協(xié)議（ ISAKMP）和兩種密鑰交換協(xié)議 OAKLEY 與 SKEME 組成。之后需要重新進(jìn)行 SA協(xié)商。允許建立的第二階段 SA 的個(gè)數(shù)由 IPSec策略屬性 決定。 第一階段 SA 建立起安全通信信道后保存在高速緩存中，在此基礎(chǔ)上可以建立多個(gè)第二階段 SA 協(xié)商，從而提高整個(gè)建立 SA 過(guò)程的速度。 ③ SA 和密鑰連同 SPI，遞交給 IPSec 驅(qū)動(dòng)程序。如果不做特殊 要求，只需要刷新 材料 后，生成新密鑰即可。 ② 會(huì)話(huà)密鑰 材料 刷新或交換 在這一步中，將生成加密 IP 數(shù)據(jù)包的 會(huì)話(huà)密鑰 。第二階段協(xié)商消息受第一階段 SA 保護(hù)，任何沒(méi)有第一階段 SA 保護(hù)的消息將被拒收。在這一步中，整個(gè)待認(rèn)證的實(shí)體載荷，包括實(shí)體類(lèi)型、端口號(hào)和協(xié)議，均由前一步生成的 “ 主密鑰 ” 提供機(jī)密性和完整性保證。 ③ 認(rèn)證 DH 交換需要得到進(jìn)一步認(rèn)證，如果認(rèn)證不成功，通信將無(wú)法繼續(xù)下去。DH交換， 可以是公開(kāi)的，也可以受保護(hù)。分兩個(gè)階段來(lái)完成這些服務(wù)有助于提高密鑰交換的速度。 （ 2） 第一階段 SA（主模式 SA，為建立信道而進(jìn)行的安全關(guān)聯(lián)） IKE 建立 SA 分兩個(gè)階段。若某臺(tái)主機(jī)，如文件服務(wù)器或遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器，需要同時(shí)與多臺(tái)客戶(hù)機(jī)通信，則該服務(wù)器需要與每臺(tái)客戶(hù)機(jī)分別建立不同的 SA。它由下列元素組成： ① 安全參數(shù)索引 SPI； ② IP 目的地址； ③ 安全協(xié)議。 SA（安全聯(lián) 盟） SA是一種安全關(guān)聯(lián)， SA 對(duì)兩臺(tái)計(jì)算機(jī)之間的策略協(xié)議進(jìn)行編碼，指定它們將使用哪些算法和什么樣的密鑰長(zhǎng)度，以及實(shí)際的密鑰本身。由于不需要填充和一個(gè)填充長(zhǎng)度指示器，因此也不存在尾。 AH和 ESP 保護(hù)的數(shù)據(jù)相同時(shí)， AH 頭會(huì)一直插在 ESP 頭之后。如果 AH6 頭之前有擴(kuò)展頭，緊靠在 AH 頭前面的擴(kuò)展頭中的下一個(gè)頭字段就會(huì)被設(shè)成 51。在 IPv6 的情況下，下一個(gè)頭字段的值由擴(kuò)展頭的存在來(lái)決定。 [3] AH（驗(yàn)證頭） 驗(yàn)證頭（ AH）協(xié)議用于為 IP 數(shù)據(jù)包提供數(shù)據(jù)完整性、數(shù)據(jù)包源地址驗(yàn)證和一些有限的抗重播服務(wù)， AH 不提供對(duì)通信數(shù)據(jù)的加密服務(wù)，與 ESP 協(xié)議相比， AH 不提供對(duì)通信數(shù)據(jù)的加密服務(wù)，但能比 ESP 提供更加廣的數(shù)據(jù)驗(yàn)證服務(wù)。數(shù)據(jù)源驗(yàn)證和無(wú)連接的完整性是相互關(guān)聯(lián)的服務(wù)，它們作為一個(gè)選項(xiàng)與機(jī)密性 （可選擇的）結(jié)合提供給用戶(hù)。所提供服務(wù)集由安全連接（ SA）建立時(shí)選擇的選項(xiàng)和實(shí)施的布置來(lái)決定，機(jī)密性的選擇與所有其他服務(wù)相獨(dú) 立。該加密數(shù)據(jù)既包括了受保護(hù)的 ESP 頭字段也包括了受保護(hù)的用戶(hù)數(shù)據(jù)，這個(gè)用戶(hù)數(shù)據(jù)可以是整個(gè) IP 數(shù)據(jù)報(bào)，也可以是 IP的上層協(xié)議幀（如： TCP 或 UDP）。 IANA 分配給 ESP 一個(gè)協(xié)議數(shù)值 50， 在 ESP 頭前的協(xié)議頭總是在 “ next head” 字段（ IPv6）或 “ 協(xié)議 ” （ IP v4）字段里包含該值 50。封裝受保護(hù)數(shù)據(jù)是非常必要的，這樣就可以為整個(gè)原始數(shù)據(jù)報(bào)提供機(jī)密性。 IPSec ESP 通過(guò)加密需要保護(hù)的數(shù)據(jù)以及在 IPSec ESP 的數(shù)據(jù)部分放置這些加密的數(shù)據(jù)來(lái)提供機(jī)密性和完整性。然而， VPN 需要的是網(wǎng)絡(luò)級(jí)的功能，這也正是 IPSec 所提供的。實(shí)際上，現(xiàn)在發(fā)行的許多 Inter 應(yīng)用軟件中已包含了安全特征。討論的話(huà)題之一就是安全是否在恰當(dāng)?shù)膮f(xié)議層上被使用。已經(jīng)有一些機(jī)構(gòu)部分或全部執(zhí)行了 IPSec。如果需要的話(huà)， IPSec 可以為個(gè)體用戶(hù)提供安全保障，這樣做就可以保護(hù)企業(yè)內(nèi)部的敏感信息。即使在終端系統(tǒng)中執(zhí)行 IPSec，應(yīng)用程序一類(lèi)的上層軟件也不會(huì)被影響。 IPSec 在傳輸層之下，對(duì)于應(yīng)用程序來(lái)說(shuō)是透明的。在 Windows XP 和 Windows Server 20xx 家族中， IPSec 提供了一種能力，以保護(hù)工作組、局域網(wǎng)計(jì)算機(jī)、域客戶(hù)端和服務(wù)器、分支機(jī)構(gòu)（物理上為遠(yuǎn)程機(jī)構(gòu)）、 Extra 以及漫游客戶(hù)端之間的通信。它通過(guò)端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)以防止專(zhuān)用網(wǎng)絡(luò)與 Inter 的攻擊。reg； 20xx 、 Windows XP 和 Windows Server 20xx 家族實(shí)施 IPSec是基于“ Inter 工程任務(wù)組 (IETF)” IPSec 工作組開(kāi)發(fā)的標(biāo)準(zhǔn)。reg。 [2] 3. IPSec 技術(shù) IPSec簡(jiǎn)介 “ Inter 協(xié)議安全性 （ IPSec）” 是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保在 Inter 協(xié)議 (IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊 。 （ 3）易于管理：用專(zhuān)線(xiàn)將企業(yè)的各個(gè)子網(wǎng)連接 起來(lái)時(shí)，隨著子網(wǎng)數(shù)量的增加，需要的專(zhuān)線(xiàn)數(shù)以幾何級(jí)數(shù)增長(zhǎng)。當(dāng)增加新的用戶(hù)或者子網(wǎng)時(shí)，只需修改已有網(wǎng)絡(luò)軟件配置，在新增客戶(hù)機(jī)或者網(wǎng)關(guān)上安裝相應(yīng)軟件并接入 Inter 后，新的 VPn 即可工作，對(duì)于最終用戶(hù)來(lái)說(shuō)完全感覺(jué)不到任何變化。 [1] 4 VPN 的特點(diǎn) VPN 技術(shù)除了可以節(jié)省費(fèi)用外，還具有其它特點(diǎn)： （ 1）伸縮性：能夠隨著 網(wǎng)絡(luò)的擴(kuò)張，很靈活的加以擴(kuò)展。 Extra VPN 通過(guò)一個(gè)使用專(zhuān)用連接的共享基礎(chǔ)設(shè)施，將客戶(hù)、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。 Inter 為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ)，而如何利用 Inter 進(jìn)行有效的信息管理，是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。隨著信息時(shí)代的到來(lái)，各個(gè)企業(yè)越來(lái)越重視各種信息的處理。企業(yè)擁有與專(zhuān)用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量 (QoS)、可管理性和可靠性。利用 Inter 的線(xiàn)路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN 特性可以保證信息在整個(gè) Intra VPN 上安全傳輸。顯然，在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。 Intra VPN(企業(yè)內(nèi)部虛擬專(zhuān)用網(wǎng) ) 如果要進(jìn)行企業(yè)內(nèi)部各分支機(jī)構(gòu)的互聯(lián)，使用 Intra VPN 是很好的方式。 它包括模擬、撥號(hào)、 ISDN、數(shù)字用戶(hù)線(xiàn)路 (XDSL)、移動(dòng) IP 和電纜技術(shù)，可以安全地連接移動(dòng)用戶(hù)、遠(yuǎn)程工作者或分支機(jī)構(gòu)。 VPN 技術(shù)原是路由器具有的重要技術(shù)之一，在交換機(jī) ，防火墻設(shè)備或 Windows 20xx/20xx/20xx 等軟件里也都支持 VPN 功能，一句話(huà)， VPN 的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。 VPN 可以通過(guò)特殊的加密的通訊協(xié)議在連接在 Inter 上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專(zhuān)有的通訊線(xiàn)路，就好比是架設(shè)了一條專(zhuān)線(xiàn)一樣，但是它并不需要真正的去鋪設(shè)光纜之類(lèi)的物理線(xiàn)路。虛擬局域網(wǎng)提供了一個(gè)經(jīng)濟(jì)有效的手段來(lái)解決通過(guò)公用網(wǎng)絡(luò)安全的交換私有信息。但在 VPN 中，用安全機(jī)制來(lái)保障機(jī)密性，真實(shí)可靠性、完整性嚴(yán)格的訪(fǎng)問(wèn)控制 。 VPN 這個(gè)概念的引進(jìn)就是用來(lái)解決這個(gè)問(wèn)題。 研究?jī)?nèi)容 (1)IPSec體系結(jié)構(gòu) : 包括 ESP(封裝安全載荷 )、 AH(驗(yàn)證頭 )、 SA(安全聯(lián)盟 )、 IKE(Inter 密鑰交換 ) (2) IPSec 的兩種模式 : 包括 傳送模式 和 通道模式 (3) IPSec 包的處理過(guò)程 : 包括 外出處理 和進(jìn)入處理 (4)VPN 的類(lèi)型 包括 Access VPN(遠(yuǎn)程訪(fǎng)問(wèn)虛擬專(zhuān)用網(wǎng) )、 Inter VPN(企業(yè)內(nèi)部虛擬專(zhuān)用網(wǎng) )、Extra VPN(外連虛擬專(zhuān)用網(wǎng) ) (5)IPSec的 組件的設(shè)計(jì) 包括 IPSec 基本協(xié)議 、 SPD 和 SADB、 IKE (6) VPN 使用的安全協(xié)議 包括 SOCKSv5 協(xié)議 、 IPSec 協(xié)議 、 PPTP/L2TP 協(xié)議 (7) 基于 IPSec 的 VPN 設(shè)計(jì)與實(shí)現(xiàn) 包括 企業(yè)原網(wǎng)絡(luò)分析 、 企業(yè)對(duì)網(wǎng)絡(luò)的新需求 、 企業(yè)新網(wǎng)絡(luò)設(shè)計(jì)原則 、 企業(yè)新網(wǎng)絡(luò)實(shí)現(xiàn)方案 (8) IPSec VPN 的測(cè)試 包括 IKE 方式建立 IPSec 隧道 、 預(yù)共享方式建立隧道 、 數(shù)字證書(shū)方式建立隧道 、 IKE自動(dòng)協(xié)商 、 VPN 備份隧道功能 、 VPN 客戶(hù)端測(cè)試 2. 虛擬專(zhuān)用網(wǎng) VPN 概述 為了使遠(yuǎn)程的企業(yè)員工可以與總部實(shí)時(shí)的交換數(shù)據(jù)信息，企業(yè)得向 ISP 租用網(wǎng)絡(luò)提供服務(wù)。另外，隨著企業(yè)規(guī)模日益擴(kuò)大，客戶(hù)分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)基于固定地點(diǎn)的專(zhuān)線(xiàn)連接方式，已難以適應(yīng)現(xiàn)代企業(yè)的需求，虛擬專(zhuān)用網(wǎng)（ VPN）滿(mǎn)足了企業(yè)對(duì)于網(wǎng)絡(luò)的靈活性，安全性，經(jīng)濟(jì)型，擴(kuò)展性 等多方面的要求，贏得了越來(lái)越多企業(yè)的青睞，使企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與維護(hù)，更多地致力于企業(yè)商業(yè)目標(biāo)的實(shí)現(xiàn)。尤其是互聯(lián)網(wǎng)的應(yīng)用變得越來(lái)越廣泛，在帶來(lái)了前所未有的海量信息的同時(shí)，網(wǎng)絡(luò)的開(kāi)放性和自由性也產(chǎn)生了私有信息和數(shù)據(jù)被破壞或侵犯的可能性，網(wǎng)絡(luò)信息的安全性變得日益重要起來(lái)，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。 VPN 在國(guó)內(nèi)外的發(fā)展 計(jì)算機(jī)的廣泛應(yīng)用把人類(lèi)帶入了一個(gè)全新的時(shí)代，特別是計(jì)算機(jī)網(wǎng)絡(luò)的社會(huì)化，已經(jīng)成為信息時(shí)代的主要推動(dòng)力。同時(shí)，伴隨著筆記本電腦的逐漸普及，大量的出差員工，移動(dòng)辦公人員，合作伙伴等迫切需要通過(guò)無(wú)處不在的 Inter 網(wǎng)絡(luò)，安全，方便地介入公司內(nèi)部網(wǎng)絡(luò)，使用各項(xiàng)應(yīng)用系統(tǒng)。 VPN 技術(shù)發(fā)展的前提和背景 目前稍具規(guī)模的企業(yè)都不會(huì)只有一個(gè)辦公場(chǎng)所，而是具有總部，分公司，辦事處，工廠等多個(gè)業(yè)務(wù)點(diǎn)。 Virtual Network的含義有兩個(gè)，一是 VPN 是建立在現(xiàn)有物理網(wǎng)絡(luò)之上，與物理網(wǎng)絡(luò)具體的網(wǎng)絡(luò)結(jié)構(gòu)無(wú)關(guān)，用戶(hù)一般無(wú)需關(guān)心物理網(wǎng)絡(luò)和設(shè)備；二是 VPN 用戶(hù)使用 VPN 時(shí)看到的是一個(gè)可預(yù)先設(shè)定義的動(dòng)態(tài)的網(wǎng)絡(luò)。 IPSec (IP Security)is a core technology that provides this protection。 achieve medium and small enterprises are necessary to concern the issue of data security as VPN is based on unreliable Inter connection。VPN build a tunn