第8章-VPN技術(shù)應(yīng)用

第8章VPN技術(shù)應(yīng)用蘇州市職業(yè)大學(xué)計(jì)算機(jī)工程系主要內(nèi)容8.1VPN的基本原理

18.2實(shí)現(xiàn)VPN的隧道協(xié)議

28.3MLPSVPN技術(shù)

3http://jsj.jssvc.edu.cn2網(wǎng)絡(luò)安全技術(shù)使用教程8.1.1VPN簡(jiǎn)介

VPN(VirtualPrivateNetwork，虛擬專用網(wǎng))是利用公網(wǎng)(如因特網(wǎng)或網(wǎng)絡(luò)服務(wù)提供商的IP骨干網(wǎng))或?qū)＞W(wǎng)(局域網(wǎng))來(lái)構(gòu)件的虛擬專用網(wǎng)，是通過(guò)特殊設(shè)計(jì)的硬件和軟件，直接通過(guò)共享的IP網(wǎng)建立的隧道來(lái)完成的。通過(guò)VPN可以實(shí)現(xiàn)遠(yuǎn)程網(wǎng)絡(luò)之間的安全、點(diǎn)對(duì)點(diǎn)的連接。VPN是專用網(wǎng)的延伸，它的基本特點(diǎn)是化公為私，使每個(gè)企業(yè)可以臨時(shí)占用公用網(wǎng)的一部分共自己專用。

VPN以其更低的網(wǎng)絡(luò)運(yùn)營(yíng)成本實(shí)現(xiàn)更加靈活、更加自由的局域網(wǎng)延伸，它與租用專線網(wǎng)絡(luò)方式相比，無(wú)論是從營(yíng)運(yùn)成本上，還是從其性能上來(lái)說(shuō)都具有無(wú)可替代的優(yōu)勢(shì)。隨著VPN技術(shù)的日益完善，目前VPN網(wǎng)絡(luò)的安全性能也完全可以與物理專線網(wǎng)絡(luò)方式相媲美，正贏得越來(lái)越多企業(yè)用戶的青睞。http://jsj.jssvc.edu.cn3網(wǎng)絡(luò)安全技術(shù)使用教程8.1.2VPN安全技術(shù)1.基于公鑰基礎(chǔ)設(shè)施(PKI)的用戶授權(quán)體系

PKI是一個(gè)包含數(shù)字證書、管理機(jī)構(gòu)、證書管理、目錄服務(wù)的安全系統(tǒng)。PKI采用標(biāo)準(zhǔn)的X.509v3證書，將用戶身份和用戶公鑰綁定在一起。通過(guò)PKI技術(shù)和數(shù)字證書技術(shù)，可以有效的判別用戶身份。http://jsj.jssvc.edu.cn4網(wǎng)絡(luò)安全技術(shù)使用教程8.1.2VPN安全技術(shù)2.身份驗(yàn)證和數(shù)據(jù)加密

VPN客戶端采用基于PKI的數(shù)字證書技術(shù)，來(lái)完成VPN網(wǎng)關(guān)服務(wù)器和用戶身份的雙向認(rèn)證。 (1)當(dāng)用戶通過(guò)VPN客戶端訪問(wèn)VPN網(wǎng)關(guān)時(shí)，首先對(duì)用戶的數(shù)字證書和相應(yīng)的口令進(jìn)行驗(yàn)證； (2)驗(yàn)證通過(guò)，VPN網(wǎng)關(guān)服務(wù)器則會(huì)產(chǎn)生對(duì)稱會(huì)話密鑰KS，并分發(fā)給用戶； (3)在此之后，用戶與VPN網(wǎng)關(guān)服務(wù)器的所有通信數(shù)據(jù)都采用KS進(jìn)行加密傳輸。http://jsj.jssvc.edu.cn5網(wǎng)絡(luò)安全技術(shù)使用教程8.1.2VPN安全技術(shù)3.數(shù)據(jù)完整性保護(hù)

完善的VPN系統(tǒng)不僅需要認(rèn)證用戶的身份，還需要認(rèn)證系統(tǒng)中傳輸?shù)臄?shù)據(jù)，要確保傳輸過(guò)程中數(shù)據(jù)未被篡改。 (1)在發(fā)送方VPN系統(tǒng)對(duì)所有傳輸?shù)臄?shù)據(jù)進(jìn)行HASH運(yùn)算得到消息摘要，對(duì)消息摘要進(jìn)行加密生成認(rèn)證碼； (2)在通信目的地，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行與發(fā)送方相同的HASH運(yùn)算得到新的摘要； (3)對(duì)認(rèn)證碼進(jìn)行解密得到發(fā)送方生成的原始摘要，將兩個(gè)摘要進(jìn)行比對(duì)；若完全一致，則通過(guò)完整性認(rèn)證；若不一致，則表示完整性認(rèn)證失敗。http://jsj.jssvc.edu.cn6網(wǎng)絡(luò)安全技術(shù)使用教程8.1.2VPN安全技術(shù)4.訪問(wèn)權(quán)限控制

當(dāng)某個(gè)企業(yè)網(wǎng)絡(luò)利用VPN進(jìn)行擴(kuò)展后，信息交換的范圍隨之?dāng)U大，安全問(wèn)題自然增多，這就要求VPN系統(tǒng)具有嚴(yán)格的訪問(wèn)控制能力。VPN技術(shù)采用細(xì)粒度的訪問(wèn)權(quán)限列表(ACL，AccessControlList)，這使得網(wǎng)絡(luò)管理員可方便地為每個(gè)VPN用戶分配不同的訪問(wèn)權(quán)限。VPN系統(tǒng)的ACL是基于用戶身份特征的，其管理與VPN系統(tǒng)的技術(shù)維護(hù)無(wú)關(guān)，制定和管理ACL工作可由其他部門(如交行政部門執(zhí)行)，方便管理。http://jsj.jssvc.edu.cn7網(wǎng)絡(luò)安全技術(shù)使用教程8.1.3VPN的優(yōu)勢(shì)

VPN作為遠(yuǎn)程網(wǎng)絡(luò)技術(shù)，以眾多的優(yōu)勢(shì)，目前正被越來(lái)越多的企業(yè)接受。VPN的優(yōu)勢(shì)主要包括以下方面： (1)節(jié)約成本：與傳統(tǒng)的專線網(wǎng)絡(luò)相比，構(gòu)建VPN，以較小的成本課可實(shí)現(xiàn)較好的性能，具有比較高的性價(jià)比； (2)增強(qiáng)的安全性：VPN采用隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)和身份驗(yàn)證技術(shù)在多個(gè)方面共同保證通信安全； (3)支持眾多網(wǎng)絡(luò)協(xié)議：VPN支持常用的網(wǎng)絡(luò)協(xié)議及局域網(wǎng)協(xié)議； (4)易擴(kuò)展性：企業(yè)擴(kuò)大VPN的容量和覆蓋范圍，可以交由專門的NSP來(lái)負(fù)責(zé)，企業(yè)不需要對(duì)自身的網(wǎng)絡(luò)做修改。 (5)企業(yè)網(wǎng)絡(luò)信息的隱藏：VPN的隧道和加密技術(shù)，可以隱藏IP地址等網(wǎng)絡(luò)信息。http://jsj.jssvc.edu.cn8網(wǎng)絡(luò)安全技術(shù)使用教程8.1.4VPN的應(yīng)用領(lǐng)域1.AccessVPN

AccessVPN又稱為撥號(hào)VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機(jī)構(gòu)通過(guò)公共網(wǎng)絡(luò)撥號(hào)的方式構(gòu)筑的虛擬網(wǎng)。AccessVPN包括模擬、撥號(hào)、ISDN、數(shù)字用戶線路(XDSL)、移動(dòng)IP和電纜技術(shù)，可以安全地連接移動(dòng)用戶、遠(yuǎn)程工作者或分支機(jī)構(gòu)，適合于內(nèi)部有人員移動(dòng)或遠(yuǎn)程辦公需要的企業(yè)。http://jsj.jssvc.edu.cn9網(wǎng)絡(luò)安全技術(shù)使用教程8.1.4VPN的應(yīng)用領(lǐng)域2.IntranetVPN

IntranetVPN即企業(yè)的總部與分支機(jī)構(gòu)通過(guò)VPN機(jī)進(jìn)行網(wǎng)絡(luò)連接。隨著企業(yè)的跨地區(qū)、國(guó)際化經(jīng)營(yíng)，這是大多數(shù)大、中企業(yè)所必需的。進(jìn)去企業(yè)內(nèi)部分支機(jī)構(gòu)的互聯(lián)，IntranetVPN是最合適的，IntranetVPN通過(guò)公用因特網(wǎng)或者第三方專用網(wǎng)進(jìn)行連接，容易建立連接，連接速度快，能夠?yàn)榉种C(jī)構(gòu)提供整個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。http://jsj.jssvc.edu.cn10網(wǎng)絡(luò)安全技術(shù)使用教程8.1.4VPN的應(yīng)用領(lǐng)域3.ExtranetVPN

ExtranetVPN即企業(yè)見(jiàn)發(fā)生收購(gòu)、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過(guò)公網(wǎng)來(lái)構(gòu)筑的虛擬網(wǎng)。利用VPN組建Intranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)安全。外部網(wǎng)的用戶被許可只有一次機(jī)會(huì)連接到其合作人的網(wǎng)絡(luò)，并且只擁有部分網(wǎng)絡(luò)資源訪問(wèn)權(quán)限。http://jsj.jssvc.edu.cn11網(wǎng)絡(luò)安全技術(shù)使用教程8.2.1隧道技術(shù)

VPN技術(shù)的核心是隧道(Tunneling)技術(shù)。隧道技術(shù)就是利用隧道協(xié)議對(duì)隧道兩端的數(shù)據(jù)進(jìn)行封裝的技術(shù)，隧道協(xié)議通常分別是第2層或第3層隧道協(xié)議。隧道允許VPN的數(shù)據(jù)流被路由通過(guò)IP網(wǎng)絡(luò)，而不管生成該數(shù)據(jù)流的是何種類型的網(wǎng)絡(luò)或設(shè)備。下圖為VPN隧道。 自愿隧道(主動(dòng)隧道)是由客戶端計(jì)算機(jī)通過(guò)發(fā)送VPN請(qǐng)求來(lái)創(chuàng)建的。在這種隧道中，雙方用戶端計(jì)算機(jī)作為隧道的端點(diǎn)。 強(qiáng)制隧道是由支持VPN的撥號(hào)接入服務(wù)器來(lái)創(chuàng)建和配置的。此時(shí)，雙方用戶端的計(jì)算機(jī)不作為隧道的端點(diǎn)，而是由位于用戶和隧道服務(wù)器之間的遠(yuǎn)程接入服務(wù)器作為隧道的客戶端，成為隧道的端點(diǎn)。

http://jsj.jssvc.edu.cn12網(wǎng)絡(luò)安全技術(shù)使用教程8.2.2隧道協(xié)議分類1.二層隧道協(xié)議

第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議主要有以下三種： (1)由微軟、Ascend、3COM等公司支持的PPTP(PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議)，在WindowsNT4.0以上版本中即有支持。 (2)Cisco、北方電信等公司支持的L2F(Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議)，在Cisco路由器中有支持。 (3)由IETF起草，微軟、Ascend、Cisco、3COM等公司參與的L2TP(Layer2TunnelingProtocol，二層隧道協(xié)議)結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)，L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。http://jsj.jssvc.edu.cn13網(wǎng)絡(luò)安全技術(shù)使用教程8.2.2隧道協(xié)議分類2.三層隧道協(xié)議

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC1701GenericRoutingEncapsulation(GRE)協(xié)議就是個(gè)三層隧道協(xié)議。此外，IETF制定的IPSec協(xié)議也是個(gè)三層隧道協(xié)議。http://jsj.jssvc.edu.cn14網(wǎng)絡(luò)安全技術(shù)使用教程8.2.3PPTP協(xié)議1.PPP協(xié)議概述

PPP(PointtoPointProtocol，點(diǎn)對(duì)點(diǎn)通信協(xié)議)作為一種工業(yè)標(biāo)準(zhǔn)，在撥號(hào)網(wǎng)絡(luò)中得到廣泛應(yīng)用。PPP支持遠(yuǎn)程訪問(wèn)客戶機(jī)支持IPX、TCP/IP、NetBEUI和AppleTalk的任何協(xié)議組合。 當(dāng)與遠(yuǎn)程計(jì)算機(jī)連接時(shí)，PPP需要與遠(yuǎn)程計(jì)算機(jī)一起按以下步驟協(xié)商完成工作： (1)在遠(yuǎn)程計(jì)算機(jī)和服務(wù)器之間建立幀傳輸規(guī)則，通過(guò)該規(guī)則的建立，才允許進(jìn)行連續(xù)的通信(通常稱為“幀傳輸”) (2)遠(yuǎn)程訪問(wèn)服務(wù)器通過(guò)使用PPP協(xié)議中的身份驗(yàn)證協(xié)議(如：MS-CHAP、EAP、CHAP、SPAP、PAP等)，來(lái)驗(yàn)證遠(yuǎn)程用戶的身份。具體調(diào)用那個(gè)驗(yàn)證協(xié)議，取決于遠(yuǎn)程客戶機(jī)和服務(wù)器的安全配置情況。 (3)身份驗(yàn)證完畢后，如果用戶啟用了回?fù)?，則遠(yuǎn)程訪問(wèn)服務(wù)器將掛斷并呼叫遠(yuǎn)程訪問(wèn)客戶機(jī)，實(shí)現(xiàn)服務(wù)器的回?fù)堋? (4)NCP(網(wǎng)絡(luò)控制協(xié)議)啟用并配置遠(yuǎn)程客戶機(jī)，是的所用的LAN協(xié)議與服務(wù)器端進(jìn)行PPP通信連接。http://jsj.jssvc.edu.cn15網(wǎng)絡(luò)安全技術(shù)使用教程8.2.3PPTP協(xié)議2.PPTP協(xié)議概述

由3Com公司和Microsoft公司合作開發(fā)的PPTP(Point-to-PointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議)是第一個(gè)廣泛使用建立VPN的協(xié)議。PPTP協(xié)議主要增強(qiáng)了PPP協(xié)議的認(rèn)證、壓縮和加密功能。PPTP協(xié)議可以支持多種主流協(xié)議包括IP、IPX、NetBEUI等等。http://jsj.jssvc.edu.cn16網(wǎng)絡(luò)安全技術(shù)使用教程8.2.3PPTP協(xié)議3.PPTPVPN提供的主要服務(wù)

PPTPVPN提供的兩個(gè)主要服務(wù)——封裝和加密。 PPTP協(xié)議下的封裝是使用一般路由封裝(GRE)頭文件和IP報(bào)頭數(shù)據(jù)包裝PPP幀(包含一個(gè)IP數(shù)據(jù)包或一個(gè)IPX數(shù)據(jù)包)。IP報(bào)頭文件是用來(lái)標(biāo)識(shí)與VPN客戶機(jī)和VPN服務(wù)器對(duì)應(yīng)的源和目標(biāo)IP地址等路由信息頭。PPTP的封裝如圖所示：

PPTP協(xié)議下的“加密”是通過(guò)使用從PPP協(xié)議的MS-CHAP或EAP-TLS身份驗(yàn)證過(guò)程中生成的密鑰，PPP幀以MPPE方式進(jìn)行加密。為了加密PPP有效載荷，VPN客戶機(jī)必須使用MS-CHAP或EAP-TLS身份驗(yàn)證協(xié)議進(jìn)行驗(yàn)證，但PPTP協(xié)議本身不提供“加密”服務(wù)，PPTP指示對(duì)先前加密了的PPP幀進(jìn)行封裝。http://jsj.jssvc.edu.cn17網(wǎng)絡(luò)安全技術(shù)使用教程8.2.3PPTP協(xié)議4.PPTPVPN建立過(guò)程

PPTP作為“主動(dòng)”隧道模型允許終端系統(tǒng)進(jìn)行配置，與任意位置的PPTP服務(wù)器建立一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道。并且，PPTP協(xié)商和隧道建立過(guò)程都沒(méi)有中間媒介NAS的參與。NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。PPTP建立過(guò)程如下： (1)用戶通過(guò)串口以撥號(hào)IP訪問(wèn)的方式與NAS建立連接取得網(wǎng)絡(luò)服務(wù)； (2)用戶通過(guò)路由信息定位PPTP接入服務(wù)器； (3)用戶形成一個(gè)PPTP虛擬接口； (4)戶通過(guò)該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證建立一條PPP訪問(wèn)服務(wù)隧道； (5)用戶通過(guò)該隧道獲得VPN服務(wù)。http://jsj.jssvc.edu.cn18網(wǎng)絡(luò)安全技術(shù)使用教程8.2.4L2TP協(xié)議1.L2TP協(xié)議概述

盡管技術(shù)上是相同的，但廠商和用戶都會(huì)察覺(jué)PPTP和L2F有明顯的不同。PPTP受到Microsoft的關(guān)愛(ài)，它擁有世界上絕大多數(shù)的桌面電腦，而L2F受到Cisco的關(guān)注，它主要用于Internet。盡管PPTP和L2F都使用封裝和加密，但它們互相不兼容。IETF建議將PPTP和L2F的最優(yōu)秀的部分組成一個(gè)工業(yè)標(biāo)準(zhǔn)，并稱為第2層隧道協(xié)議(L2TP)。 L2TP是連接型的隧道封裝協(xié)議，適用于通過(guò)Internet接納遠(yuǎn)程用戶的遠(yuǎn)程訪問(wèn)型VPN。L2TP的特點(diǎn)有 (1)接納移動(dòng)用戶(指拔號(hào)上網(wǎng))，每次連接都進(jìn)行用戶認(rèn)證； (2)支持多協(xié)議(因?yàn)長(zhǎng)2TP協(xié)議對(duì)PPP封裝，PPP具有支持多種網(wǎng)絡(luò)協(xié)議的功能)。 L2TP主要由兩部分組成： (1)LAC：L2TP接入集中器(L2TPAccessConcentrator)，是接在公網(wǎng)上的用戶拔號(hào)設(shè)備，通常配置在ISP接入點(diǎn)的接入服務(wù)器具有LAC功能； (2)LNS：L2TP網(wǎng)絡(luò)服務(wù)器(L2TPNetworkServer)，管理隧道，通常安裝在企業(yè)網(wǎng)內(nèi)。http://jsj.jssvc.edu.cn19網(wǎng)絡(luò)安全技術(shù)使用教程8.2.4L2TP協(xié)議2.L2TPVPN提供的主要服務(wù)

L2TPVPN提供的兩個(gè)主要服務(wù)也是“封裝”和“加密”。 L2TP常和IPSec的ESP結(jié)合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPSec的ESP封裝對(duì)數(shù)據(jù)進(jìn)行加密和提供完整性保護(hù)，由此保證通信數(shù)據(jù)安全傳送到目的地。http://jsj.jssvc.edu.cn20網(wǎng)絡(luò)安全技術(shù)使用教程8.2.4L2TP協(xié)議3.L2TPVPN建立過(guò)程

L2TP作為“強(qiáng)制”隧道模型是讓撥號(hào)用戶與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過(guò)程如下： (1)用戶通過(guò)Modem與NAS建立連接； (2)用戶通過(guò)NAS的L2TP接入服務(wù)器身份認(rèn)證； (3)在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道； (4)用戶與L2TP接入服務(wù)器之間建立一條點(diǎn)到點(diǎn)協(xié)議(PointtoPointProtocol，PPP)訪問(wèn)服務(wù)隧道； (5)用戶通過(guò)該隧道獲得VPN服務(wù)。http://jsj.jssvc.edu.cn21網(wǎng)絡(luò)安全技術(shù)使用教程8.2.4GRE協(xié)議

GRE主要用于源路由和終路由之間所形成的隧道。例如，將通過(guò)隧道的報(bào)文用一個(gè)新的報(bào)文頭(GRE報(bào)文頭)進(jìn)行封裝然后帶著隧道終點(diǎn)地址放入隧道中。當(dāng)報(bào)文到達(dá)隧道終點(diǎn)時(shí)，GRE報(bào)文頭被剝掉，繼續(xù)原始報(bào)文的目標(biāo)地址進(jìn)行尋址。GRE隧道通常是點(diǎn)到點(diǎn)的，即隧道只有一個(gè)源地址和一個(gè)終地址。然而也有一些實(shí)現(xiàn)允許點(diǎn)到多點(diǎn)，即一個(gè)源地址對(duì)多個(gè)終地址。這時(shí)候就要和下一跳路由協(xié)議(Next-HopRoutingProtocol，NHRP)結(jié)合使用。NHRP主要是為了在路由之間建立捷徑。 GRE隧道技術(shù)是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求。但是在遠(yuǎn)程訪問(wèn)VPN中，多數(shù)用戶是采用撥號(hào)上網(wǎng)。這時(shí)可以通過(guò)L2TP和PPTP來(lái)加以解決。http://jsj.jssvc.edu.cn22網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議1.IPSec協(xié)議概述

IPSec提供了在LAN、專用和公用WAN以及互聯(lián)網(wǎng)中安全通信的性能。IPSec能在IP層上對(duì)所有的流量進(jìn)行加密、認(rèn)證處理。這樣能保護(hù)所有的分布式應(yīng)用，包括遠(yuǎn)程登錄、客戶端/服務(wù)器、電子郵件、文件傳輸、Web訪問(wèn)等。IPSec位于傳輸層之下，對(duì)所有的應(yīng)用都是透明的。因此，當(dāng)部署IPSecVPN時(shí)，無(wú)須對(duì)用戶系統(tǒng)和服務(wù)器系統(tǒng)的軟件做任何改變。同時(shí)，IPSec對(duì)終端用戶也是透明的。不需要對(duì)用戶進(jìn)行安全機(jī)制的培訓(xùn)，如分發(fā)基于每個(gè)用戶的密鑰資料，或在用戶離開組織時(shí)撤銷密鑰資料。安全通道的建立、密鑰算法、密鑰等的協(xié)商和處理都由IPSec完成，無(wú)須用戶關(guān)心。http://jsj.jssvc.edu.cn23網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議2.IPSec協(xié)議體系

IETF的IPSec工作組定義了12個(gè)RFC，IPSec是一系列規(guī)范的集合，由安全聯(lián)盟SA(SecurityAssociation)，安全協(xié)議包括認(rèn)證頭(AH，AuthenticationHeader)、封裝安全載荷(ESP，EncapsulatingSecurityPayload)、密鑰管理(IKE，InternetKeyManagement)認(rèn)證和加密算法構(gòu)成一個(gè)完整的安全體系。http://jsj.jssvc.edu.cn24網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議3.安全關(guān)聯(lián)和安全策略

安全關(guān)聯(lián)是IPSec的基礎(chǔ)，它決定通信中采用的IPSec安全協(xié)議、散列函數(shù)、加密算法和密鑰等安全參數(shù)。SA通常以一個(gè)三元組(安全參數(shù)索引、目的IP地址和安全協(xié)議)唯一表示。SA在一個(gè)傳輸方向上保護(hù)通信，對(duì)于通信雙方，SA總是成對(duì)出現(xiàn)，對(duì)等存在于通信實(shí)體的兩端。SA是通信雙方協(xié)商產(chǎn)生的，存在在雙方各自的安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SAD，SecurityAssociationDatabase)中。 安全策略指定對(duì)數(shù)據(jù)包的具體處理——丟棄、旁路或應(yīng)用安全保護(hù)。安全策略被存放安全策略數(shù)據(jù)庫(kù)(SPD，SecurityPolicyDatabase)中。每個(gè)應(yīng)用IPSec的網(wǎng)絡(luò)接口都擁有SAD和SPD，安全關(guān)聯(lián)和安全策略協(xié)同處理進(jìn)出的IP信包。http://jsj.jssvc.edu.cn25網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議4.認(rèn)證頭AH協(xié)議

AH協(xié)議用于提供IP信包的完整性和認(rèn)證。AH協(xié)議格式如下圖(1)下一報(bào)文頭：標(biāo)識(shí)認(rèn)證頭后面的下面一個(gè)協(xié)議，8比特長(zhǎng)。(2)凈荷長(zhǎng)度：以32比特為計(jì)算單得到的AH頭部長(zhǎng)度減2，8比特長(zhǎng)。(3)保留字段：留做將來(lái)可能出現(xiàn)的新用途，現(xiàn)在總是被置0，16比特長(zhǎng)。(4)安全參數(shù)索引(SPI)：32比特長(zhǎng)。(5)序列號(hào)：用于抗重播服務(wù)，32比特長(zhǎng)。(6)認(rèn)證數(shù)據(jù)：變長(zhǎng)字段，也被叫做完整性校驗(yàn)值(IntegrityCheckValue,ICV)。ICV由SA中指定的算法計(jì)算得到，用于保證完整性和認(rèn)證檢驗(yàn)。http://jsj.jssvc.edu.cn26網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議

AH的使用有兩種模式：傳輸模式和隧道模式。

http://jsj.jssvc.edu.cn27網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議5.安全封裝載荷ESP協(xié)議

http://jsj.jssvc.edu.cn28網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議下面這些字段是ESP報(bào)文的一部分： (1)安全參數(shù)索引(SPI)：32比特長(zhǎng)。 (2)序列號(hào)：意義同AH中的“序列號(hào)”。 (3)凈荷數(shù)據(jù)：負(fù)載數(shù)據(jù)字段是必須的，它包含了由下一報(bào)文頭字段給出的變長(zhǎng)的數(shù)據(jù)。負(fù)載數(shù)據(jù)由SA建立時(shí)所選的密碼學(xué)算法加密。如果所選的算法需要初始化向量，那么初始化向量也被放在負(fù)載數(shù)據(jù)字段中。 (4)填充字段：大多數(shù)加密算法要求輸入數(shù)據(jù)包含整數(shù)個(gè)分組，同時(shí)密文結(jié)果(包括填充、填充長(zhǎng)度和下一報(bào)文頭字段)的長(zhǎng)度必須是4字節(jié)的整數(shù)倍，以便下一報(bào)文頭字段是右對(duì)齊。這就是為什么需要一個(gè)長(zhǎng)度字段，它可以用來(lái)隱藏原始報(bào)文的長(zhǎng)度。不過(guò)使用填充對(duì)有效帶寬是一種浪費(fèi)。填充字段是可選的。 (5)填充長(zhǎng)度：8比特長(zhǎng)，記錄填充字段的長(zhǎng)度，總是出現(xiàn)在報(bào)文中，置0表示沒(méi)有填充。 (6)下一報(bào)文頭：意義同AH中的“下一報(bào)文頭”。 (7)認(rèn)證數(shù)據(jù)：這個(gè)字段的長(zhǎng)度是可變的，包含了為ESP報(bào)文從SPI字段到下一報(bào)文頭字段而計(jì)算的ICV值。認(rèn)證數(shù)據(jù)字段是可選的。http://jsj.jssvc.edu.cn29網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議

ESP的使用有兩種模式：傳輸模式和隧道模式。http://jsj.jssvc.edu.cn30網(wǎng)絡(luò)安全技術(shù)使用教程8.2.5IPSec協(xié)議6.密鑰交換IKE

進(jìn)行IPSec通信前必須在通信雙方建立SA，IKE用于動(dòng)態(tài)建立SA。IKE是一種混合協(xié)議，它沿用了ISAKMP(InternetSecurityAssociationandKeyManagementProtocol)的框架、Oakley的模式和SKEME(SecureKeyExchangeMachanism)的共享和密鑰更新技術(shù)，組合成自身的驗(yàn)證加密材料生成技術(shù)和協(xié)商共享策略。 IKE使用ISAKMP兩個(gè)階段協(xié)商機(jī)制。在第一階段，通信各方彼此間建立一個(gè)已通過(guò)身份驗(yàn)證和安全保護(hù)的通道，即ISAKMPSA。在第二階段，利用第一階段創(chuàng)建的SA，為IPSec協(xié)商具體的SA。

http://jsj.jssvc.edu.cn31網(wǎng)絡(luò)安全技術(shù)使用教程8.3.1MPLS技術(shù)原理1.概述

MPLS(Multi-protocolLabelSwitching,多協(xié)議標(biāo)記交換)屬于第三代網(wǎng)絡(luò)架構(gòu)，是新一代的IP高速骨干網(wǎng)絡(luò)交換標(biāo)準(zhǔn)，由IETF所提出，由Cisco、ASCEND、3Com等網(wǎng)絡(luò)設(shè)備公司所主導(dǎo)。它吸收了ATM的VPI/VCI交換的一些思想，無(wú)縫地集成了IP路由技術(shù)的靈活性和二層交換的簡(jiǎn)捷性，在面向無(wú)連接的IP網(wǎng)絡(luò)中增加了MPLS面向連接的屬性。

MPLS運(yùn)作的原理是為每個(gè)IP數(shù)據(jù)包提高一個(gè)標(biāo)記，并由此標(biāo)記決定數(shù)據(jù)包的路徑及優(yōu)先級(jí)。與MPLS兼容的路由器在將數(shù)據(jù)包轉(zhuǎn)發(fā)前，無(wú)須讀取每個(gè)數(shù)據(jù)包的IP地址，僅讀取數(shù)據(jù)包標(biāo)記，然后將所傳送的數(shù)據(jù)包置于FrameRelay或ATM的虛擬電路上，并迅速將數(shù)據(jù)包傳送至終點(diǎn)路由器。MPLS可減少對(duì)數(shù)據(jù)包的延遲，提高網(wǎng)絡(luò)速度；同時(shí)，有FrameRelay及ATM交換機(jī)所提供的QoS對(duì)所傳送的數(shù)據(jù)包加以分級(jí)，可大幅度提高網(wǎng)絡(luò)服務(wù)質(zhì)量。http://jsj.jssvc.edu.cn32網(wǎng)絡(luò)安全技術(shù)使用教程8.3.1MPLS技術(shù)原理2.MPLS頭格式與協(xié)議結(jié)構(gòu)

MPLS位于二層協(xié)議和三層協(xié)議之間，MPLS承載的報(bào)文通常是IP數(shù)據(jù)包，在二層上承載MPLS的協(xié)議可以有PPP、以太網(wǎng)協(xié)議、ATM和幀中繼等。http://jsj.jssvc.edu.cn33網(wǎng)絡(luò)安全技術(shù)使用教程8.3.1MPLS技術(shù)原理1)MPLS頭中的字段

(1)標(biāo)記(Label)：20bit，Label值傳送標(biāo)簽實(shí)際值。當(dāng)接收到一個(gè)標(biāo)簽數(shù)據(jù)包時(shí)，可以查出棧頂部的標(biāo)簽值，并且系統(tǒng)知道：A、數(shù)據(jù)包將被轉(zhuǎn)發(fā)的下一跳；B、在轉(zhuǎn)發(fā)之前標(biāo)簽棧上可能執(zhí)行的操作，如返回到標(biāo)簽進(jìn)棧頂入口同時(shí)將一個(gè)標(biāo)簽壓出棧；或返回到標(biāo)簽進(jìn)棧頂入口然后將一個(gè)或多個(gè)標(biāo)簽推進(jìn)棧。 (2)擴(kuò)展(Exp)：3bit，預(yù)留以備擴(kuò)展。 (3)S：1bit，棧底標(biāo)識(shí)。標(biāo)簽棧中最后進(jìn)入的標(biāo)簽位置，該值為0，提供所有其它標(biāo)簽入棧。 (4)生存期(TTL)：8bit。2)MPLS協(xié)議結(jié)構(gòu)中的字段

(1)MPLS相關(guān)信令協(xié)議，如OSPF、BGP、ATMPNNI等。 (2)LDP：標(biāo)簽分發(fā)協(xié)議(LabelDistributionProtocol) (3)CR-LDP：基于路由受限標(biāo)簽分發(fā)協(xié)議(Constraint-BasedLDP) (4)RSVP-TE：基于流量工程擴(kuò)展的資源預(yù)留協(xié)議(ResourceReservationProtocol-TrafficEngineering)http://jsj.jssvc.edu.cn34網(wǎng)絡(luò)安全技術(shù)使用教程8.3.1MPLS技術(shù)原理3.MPLS網(wǎng)絡(luò)的組成