linux系統(tǒng)下vpn技術(shù)分析畢業(yè)論文（含外文翻譯）

1、<p><b>　　畢業(yè)設(shè)計(jì)（論文）</b></p><p>　　填表時(shí)間：2012年6月</p><p>　設(shè)計(jì)（論文）題目：Linux系統(tǒng)下VPN技術(shù)分析</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)的規(guī)模越來越大。從局域網(wǎng)、廣域網(wǎng)到全球最大

2、的互聯(lián)網(wǎng)，從封閉式的、自成體系的網(wǎng)絡(luò)系統(tǒng)環(huán)境到開放式的網(wǎng)絡(luò)系統(tǒng)環(huán)境，這一切無(wú)不說明人們?cè)诿媾R著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的同時(shí)，也面臨著對(duì)網(wǎng)絡(luò)建設(shè)的挑戰(zhàn)。如何根據(jù)自身需求規(guī)劃、設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)，選擇什么樣的網(wǎng)絡(luò)系統(tǒng)、拓?fù)浣Y(jié)構(gòu)、服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫(kù)軟件，由哪些供應(yīng)商提供以上所說的網(wǎng)絡(luò)系統(tǒng)的軟硬件支持，如何開發(fā)網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)，使其充分發(fā)揮網(wǎng)絡(luò)系統(tǒng)的作用，取得應(yīng)有的經(jīng)濟(jì)效益，這已不僅涉及簡(jiǎn)單的部件組合，而且需要技術(shù)和管理知識(shí)有機(jī)結(jié)合起來，

3、其已成為當(dāng)前網(wǎng)絡(luò)建設(shè)中亟待解決的問題。</p><p>　　本文主要為深入分析IPsec協(xié)議體系，研究IPsec的工作原理和工作的流程。并且將進(jìn)一步研究IPsec在Linux環(huán)境中的實(shí)現(xiàn)機(jī)制，在linux的環(huán)境下搭建一個(gè)簡(jiǎn)單高效的基于IPsec的VPN連接。</p><p>　　【關(guān)鍵詞】 虛擬專用網(wǎng)VPN IPsec Linux OpenSWAN 安全證書</p>

4、<p><b>　　ABSTRACT</b></p><p>　　With the development of network technology, the scale of network is more and more large. The advance from LAN, WAN to the world's largest Internet and the

5、 improvement of the open network environment give us all kinds of knowledge,at the same time,which led people faced with more challenge.According to our own requirements for network,we choose a kind of network system, to

6、pology structure, server, client, network operating system and database software.In addition,what kind of suppliers also need </p><p>　　This paper mainly analyse the IPsec agreement system:study the work pri

7、nciple and procedure of IPsec; research in the realization mechanism of IPsec in Linux; build a simple and efficient connection of VPN based on IPsec in Linux. </p><p>　　【Key words】VPN Ipsec Linux OpenSWA

8、N Certificate</p><p><b>　　目 錄</b></p><p><b>　　前 言1</b></p><p>　　第一章 VPN概述3</p><p>　　第一節(jié) VPN的定義3</p><p>　　一、VPN的優(yōu)缺點(diǎn)分析3</

9、p><p>　　第二節(jié) VPN分類5</p><p>　　一、按接入方式分5</p><p>　　二、按協(xié)議實(shí)現(xiàn)類型分5</p><p>　　三、按VPN發(fā)起方式分6</p><p>　　四、按VPN服務(wù)類型分7</p><p>　　五、按承載主體分8</p><p

10、>　　第三節(jié) VPN的連接方式9</p><p><b>　　一、傳輸模式9</b></p><p><b>　　二、隧道模式9</b></p><p>　　第四節(jié) VPN關(guān)鍵技術(shù)10</p><p><b>　　一、隧道技術(shù)10</b></p>

11、<p>　　二、加解密技術(shù)10</p><p>　　三、密鑰管理技術(shù)10</p><p>　　四、身份認(rèn)證技術(shù)11</p><p>　　第五節(jié) 本章小結(jié)11</p><p>　　第二章 IPsec概述12</p><p>　　第一節(jié)IPsec簡(jiǎn)介12</p><p>　

12、　一、IPsec提供的服務(wù)12</p><p>　　二、IPsec具有以下特點(diǎn)：13</p><p><b>　　三、封裝模式13</b></p><p>　　四、IPsec優(yōu)缺點(diǎn)14</p><p>　　第二節(jié) IPsec協(xié)議體系15</p><p>　　一、IPsec基本工作原理1

13、6</p><p><b>　　二、安全關(guān)聯(lián)18</b></p><p>　　三、AH頭認(rèn)證20</p><p>　　四、ESP簡(jiǎn)介23</p><p>　　第三節(jié) 因特網(wǎng)密鑰交換IKE25</p><p>　　一、IKE定義25</p><p>　　二、IKE

14、的消息格式26</p><p>　　第四節(jié) 本章小結(jié)29</p><p>　　第三章Linux下基于IPsec的VPN實(shí)施30</p><p>　　第一節(jié) 設(shè)計(jì)目標(biāo)30</p><p><b>　　一、目標(biāo)30</b></p><p>　　二、平臺(tái)選擇以及工具使用30</p>

15、;<p>　　三、基于IPsec支持的linux內(nèi)核編譯33</p><p>　　第二節(jié) 認(rèn)證與配置網(wǎng)絡(luò)模型為40</p><p>　　一、設(shè)計(jì)的網(wǎng)絡(luò)模型40</p><p>　　二、RSA Signature（RSA數(shù)字簽名）認(rèn)證的配制41</p><p>　　三、x.50Array證書認(rèn)證的配置44</p&g

16、t;<p>　　第三節(jié) 本章小結(jié)49</p><p><b>　　結(jié) 論50</b></p><p><b>　　致 謝51</b></p><p><b>　　參考文獻(xiàn)52</b></p><p><b>　　附 錄53</b&

17、gt;</p><p><b>　　一、英文原文53</b></p><p><b>　　二、英文翻譯58</b></p><p><b>　　前 言</b></p><p>　　隨著當(dāng)今社會(huì)的不斷發(fā)展，網(wǎng)絡(luò)技術(shù)可謂無(wú)所不在，信息技術(shù)的高速發(fā)展和信息量的飛速膨脹，讓誕生于

18、70年代的Internet得以快速的發(fā)展。到現(xiàn)在無(wú)論是公司還是個(gè)人辦公，都越來越離不開網(wǎng)絡(luò)，許多企業(yè)和政府機(jī)構(gòu)紛紛將自己的局域網(wǎng)連入Internet，然而，擴(kuò)大的網(wǎng)絡(luò)環(huán)境也帶來了一系列的問題：隨著企業(yè)的不斷擴(kuò)大，分支機(jī)構(gòu)越來越多，合作伙伴越來越多，公司的移動(dòng)用戶也越來越多，企業(yè)希望能通過無(wú)處不在的因特網(wǎng)來實(shí)現(xiàn)方便快捷的訪問企業(yè)的內(nèi)部網(wǎng)絡(luò)，更好的處理辦公。此時(shí)，經(jīng)濟(jì)又安全的企業(yè)間的互聯(lián)的VPN便脫穎而出托。它恰好能很好的適應(yīng)企業(yè)的需求，又

19、在安全性有很好的加密算法。</p><p>　　目前，國(guó)內(nèi)企業(yè)內(nèi)部的信息化程度都越來越高，很多公司都建有自己的局域網(wǎng)，并且部署了例如財(cái)務(wù)系統(tǒng)、ERP系統(tǒng)和OA系統(tǒng)等等，可是建設(shè)和維護(hù)一個(gè)提供遠(yuǎn)程基礎(chǔ)數(shù)據(jù)傳輸所需的昂貴費(fèi)用卻使絕大多數(shù)企業(yè)望而卻步，如果采用DDN（Digital Data Network，數(shù)字?jǐn)?shù)據(jù)網(wǎng))專線方式，昂貴的網(wǎng)絡(luò)運(yùn)營(yíng)費(fèi)用將給企業(yè)帶來沉重的思想負(fù)擔(dān)。它們只能通過遠(yuǎn)程撥號(hào)訪問或簡(jiǎn)單的FTP傳輸?shù)?/p>

20、手段來維系不同地域信息系統(tǒng)之間數(shù)據(jù)交換的最低要求，這些都嚴(yán)重制約了信息系統(tǒng)整體效能的發(fā)揮。雖然Internet為企業(yè)實(shí)現(xiàn)數(shù)據(jù)訪問提供了方便，但它的高度開放性和松散管理結(jié)構(gòu)也讓企業(yè)面臨嚴(yán)重的網(wǎng)絡(luò)安全問題。當(dāng)下，企業(yè)迫切需要一種低成本的網(wǎng)絡(luò)互聯(lián)解決方案，以提供企業(yè)的異地分支機(jī)構(gòu)和合作伙伴或移動(dòng)用戶與公司總部之間暢通、安全地交換或共享業(yè)務(wù)數(shù)據(jù)。</p><p>　　當(dāng)代，網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)的規(guī)模也越來越大。從最小的

21、局域網(wǎng)、廣域網(wǎng)到全球最大的互聯(lián)網(wǎng)Internet，從封閉式的、自成體系的網(wǎng)絡(luò)系統(tǒng)環(huán)境到開放式的網(wǎng)絡(luò)系統(tǒng)環(huán)境，這一切無(wú)不都在說明人們?cè)诿媾R著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展的同時(shí)，也面臨著一個(gè)對(duì)網(wǎng)絡(luò)建設(shè)的挑戰(zhàn)。如何根據(jù)自身需求規(guī)劃、設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)，選擇什么樣的網(wǎng)絡(luò)系統(tǒng)、拓?fù)浣Y(jié)構(gòu)、服務(wù)器、客戶機(jī)、網(wǎng)絡(luò)操作系統(tǒng)和數(shù)據(jù)庫(kù)軟件，由哪些供應(yīng)商提供以上所說的網(wǎng)絡(luò)系統(tǒng)的軟硬件支持，如何開發(fā)網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)，使其充分發(fā)揮網(wǎng)絡(luò)系統(tǒng)的作用，取得最好的經(jīng)濟(jì)效益，這已不僅涉及簡(jiǎn)單

22、的部件組合，而且需要技術(shù)和管理知識(shí)有機(jī)結(jié)合起來，已成為當(dāng)前網(wǎng)絡(luò)建設(shè)中亟待解決的問題。</p><p>　　DDN技術(shù)雖然可以實(shí)現(xiàn)企業(yè)間互連，但租金昂貴；ADSL寬帶雖然價(jià)格低廉，但其只能應(yīng)用于企業(yè)接入Internet ，不能實(shí)現(xiàn)企業(yè)之間的互聯(lián)。由于安全意識(shí)淡薄，同時(shí)又缺乏應(yīng)有的安全防范措施，使得公司網(wǎng)絡(luò)被非法入侵、數(shù)據(jù)被篡改和竊聽等事件時(shí)常發(fā)生。雖然一些企業(yè)采取了一些相應(yīng)的安全措施如建立自己的防火墻等，但是據(jù)報(bào)道

23、有1/3的防火墻已被黑客攻破，許多安全措施也形同虛設(shè)。為了防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)對(duì)數(shù)據(jù)進(jìn)行存取和竊聽，必須認(rèn)真解決驗(yàn)證對(duì)方身份、防止抵賴、確保數(shù)據(jù)的真實(shí)性和完整性等安全問題。</p><p>　　那么，有沒有一種接入方式既可以訪問Internet，又可以實(shí)現(xiàn)企業(yè)互連，同時(shí)接入費(fèi)用低廉的方式呢？</p><p>　　為此，各種的網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品應(yīng)運(yùn)而生，其中VPN（Virtual Pri

24、vate Network，虛擬專用網(wǎng)）及其相關(guān)技術(shù)經(jīng)過多年的實(shí)踐、發(fā)展和完善，最終憑借它的方便性、安全性、標(biāo)準(zhǔn)化、成本低等優(yōu)勢(shì)脫穎而出，逐步成為現(xiàn)代企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)跨地域安全互聯(lián)的主要技術(shù)手段，是目前和今后一段時(shí)間內(nèi)企業(yè)構(gòu)建廣域網(wǎng)絡(luò)的發(fā)展趨勢(shì)，據(jù)有關(guān)研究機(jī)構(gòu)統(tǒng)計(jì)，企業(yè)通過使用VPN的費(fèi)用能比專用網(wǎng)節(jié)省60％的資金。</p><p>　　虛擬專用網(wǎng)VPN 技術(shù)早在1993年，歐洲虛擬專用網(wǎng)聯(lián)盟（EVUA ）就成立了，當(dāng)

25、時(shí)并力圖在全歐洲范圍內(nèi)推廣VPN 。Internet 的迅猛發(fā)展為VPN 提供了技術(shù)基礎(chǔ)，為全球化的企業(yè)提供了VPN市場(chǎng)，這些都使得VPN開始遍布全世界。特別是最近幾年，VPN以迅猛發(fā)展之勢(shì)博得了眾多用戶的喜愛和好評(píng)。</p><p>　　企業(yè)實(shí)際構(gòu)建虛擬專用網(wǎng)絡(luò)需要對(duì)一系列與互通和安全相關(guān)的問題作出決策，如VPN技術(shù)和產(chǎn)品的選用、用戶認(rèn)證、私有IP地址的分配和傳送、NAT、流量控制等等。</p>

26、<p>　　本文的第一章對(duì)VPN（虛擬局域網(wǎng)）做了一些基本概念和實(shí)際應(yīng)用中的介紹。第二章深入研究和闡述了IPsec協(xié)議的體系結(jié)構(gòu)，包括安全協(xié)議AH和ESP，IKE（密鑰管理協(xié)議）和安全關(guān)聯(lián)SA等。第三章著重介紹了在Linux環(huán)境下部署基于IPsec的Net-to-Net的VPN，并詳細(xì)的描述了IPsec的配置和安全證書的創(chuàng)建，配置和管理。</p><p>　　第一章 VPN概述</p>

27、<p>　　第一節(jié) VPN的定義</p><p>　　VPN(Virtual Private Network)，即虛擬專用網(wǎng)絡(luò)?！疤摂M”的概念是相對(duì)傳統(tǒng)私有網(wǎng)絡(luò)的構(gòu)建方式而言的，“虛擬”的含義是指在開放，不安全的網(wǎng)絡(luò)環(huán)境中利用加密，認(rèn)證等安全技術(shù)構(gòu)建專用，安全的通信信道，從而模擬出一個(gè)“私用”的網(wǎng)絡(luò)[1]。</p><p>　　VPN的定義為，VPN是一種運(yùn)載加密或認(rèn)證的可通信

28、的網(wǎng)絡(luò)，數(shù)據(jù)在VPN中的傳輸是安全的，起安全性由加密，認(rèn)證等安全技術(shù)來保證，起傳輸這是通過開放的，非安全的公用網(wǎng)絡(luò)。</p><p>　　VPN的作用：企業(yè)通過公網(wǎng)實(shí)現(xiàn)跨地域的系統(tǒng)互聯(lián)必然面臨安全問題。使用公用網(wǎng)絡(luò)會(huì)導(dǎo)致機(jī)構(gòu)間的傳輸信息容易被竊取，同時(shí)攻擊者有可能通過公網(wǎng)對(duì)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊，因此需要在企業(yè)間建立安全的數(shù)據(jù)通道，該通道應(yīng)具備以下的基本安全要素：保證數(shù)據(jù)真實(shí)性；保證數(shù)據(jù)完整性；保證數(shù)據(jù)的機(jī)密性；

29、提供動(dòng)態(tài)密鑰交換功能和集中安全管理服務(wù)；提供安全防護(hù)措施和訪問控制等。VPN即能有效解決這些安全問題。</p><p>　　一、VPN的優(yōu)缺點(diǎn)分析</p><p><b>　　1、VPN的優(yōu)缺點(diǎn)</b></p><p>　　幾年前，很多人都認(rèn)為VPN將逐漸被一些更高級(jí)的網(wǎng)絡(luò)安全技術(shù)和價(jià)格更便宜的廣域網(wǎng)取代，并將隨著技術(shù)更新而逐漸淘汰。但是，就目

30、前市場(chǎng)調(diào)查來看，VPN技術(shù)強(qiáng)大的安全性，高可靠與低成本卻一直在今天吸引著企業(yè)的目光，越來越多的企業(yè)開始重新評(píng)估VPN服務(wù)。下面就VPN的優(yōu)缺點(diǎn)進(jìn)行簡(jiǎn)單的分析。</p><p>　?。?）、VPN的優(yōu)點(diǎn)：</p><p><b>　?、俟?jié)約成本</b></p><p>　　通過公用網(wǎng)來建立VPN 與建立DDN 、PSTN 等專線方式相比，可以節(jié)省

31、大量的費(fèi)用開支。VPN的最大吸引力是價(jià)格。相對(duì)于傳統(tǒng)的廣域網(wǎng)而言，VPN能夠在現(xiàn)有的公網(wǎng)中直接實(shí)現(xiàn)連接，比傳統(tǒng)廣域網(wǎng)連接遠(yuǎn)程用戶更加便捷，且運(yùn)營(yíng)成本幾乎為零。有調(diào)查指出，如果VPN產(chǎn)品替代傳統(tǒng)的組網(wǎng)方式，可以節(jié)約大量的運(yùn)營(yíng)成本，甚至?xí)_(dá)到60%到80%。這是由于VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購(gòu)買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)

32、用，也節(jié)省了長(zhǎng)途電話費(fèi)，故VPN價(jià)格更低廉。 ②高安全性</p><p>　　VPN能夠提高水平的安全，私用身份識(shí)別和加密協(xié)議避免數(shù)據(jù)受到劫持和修改，能夠很好的阻止數(shù)據(jù)竊取和替他非授權(quán)用戶接觸這些數(shù)據(jù)，所以VPN能夠保證內(nèi)部機(jī)密數(shù)據(jù)的安全性，保證不同用戶使用權(quán)限的可控性，能夠保證用戶信息交換的安全和可靠。使用VPN之后，內(nèi)部網(wǎng)絡(luò)的重要數(shù)據(jù)可以在不被侵?jǐn)_的情況下經(jīng)過加密后進(jìn)行路線傳輸并安全的存儲(chǔ)。同時(shí)還可以

33、有效的對(duì)內(nèi)部資源的使用者進(jìn)行權(quán)限控制管理。并記錄所有的重要的通信過程</p><p><b>　?、鄹咚?lt;/b></p><p>　　VPN能夠讓公司遠(yuǎn)程員工，合作伙伴或者其他授權(quán)的用戶利用本地的高速寬帶連接鏈接到企業(yè)的內(nèi)部網(wǎng)絡(luò)中。</p><p><b>　?、芨哽`活性</b></p><p>　

34、　現(xiàn)代企業(yè)的組織結(jié)構(gòu)和商業(yè)活動(dòng)非常靈活，用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有VPN，雙方的信息技術(shù)部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了VPN 之后，只需雙方配置安全連接信息即可；當(dāng)不再需要聯(lián)網(wǎng)時(shí)，也很方便拆除連接。使用VPN可以保持企業(yè)工作人員在任何情況下都能夠快速的和安全的完成信息內(nèi)部的交換，并且能夠根據(jù)企業(yè)不斷發(fā)展的網(wǎng)絡(luò)規(guī)模迅速的擴(kuò)展自己。</p><p><b>　　⑤完全控制

35、主動(dòng)配置</b></p><p>　　企業(yè)可以利用公網(wǎng)或在網(wǎng)絡(luò)內(nèi)部自己組建管理VPN，由自己負(fù)責(zé)用戶的查驗(yàn)、訪問權(quán)、網(wǎng)絡(luò)地址配置、安全性和網(wǎng)絡(luò)變化管理等重要工作。</p><p>　?。?）、VPN的缺點(diǎn)：</p><p><b>　?、俜侵苯涌煽?lt;/b></p><p>　　由于VPN是基于互聯(lián)網(wǎng)的，企業(yè)不

36、能直接控制它的可靠性和性能，并且多數(shù)企業(yè)需要依靠提供VPN服務(wù)的互聯(lián)網(wǎng)服務(wù)提供商品保證服務(wù)運(yùn)行</p><p><b>　?、诮ㄔO(shè)難度高</b></p><p>　　目前，多數(shù)企業(yè)選擇有互聯(lián)網(wǎng)服務(wù)提供商負(fù)責(zé)運(yùn)行維護(hù)的VPN，而非自己創(chuàng)建和部署。主要原因是VPN網(wǎng)絡(luò)建設(shè)需要高水平的理解網(wǎng)絡(luò)和安全問題，需要認(rèn)真的規(guī)劃和配置。</p><p><

37、;b>　?、墼O(shè)備兼容性差</b></p><p>　　多數(shù)廠商不愿意或者不能遵守VPN技術(shù)標(biāo)準(zhǔn)，不同廠商的VPN產(chǎn)品和解決方案通常是不兼容的，混合使用不同廠商的產(chǎn)品可能會(huì)出現(xiàn)技術(shù)問題，由此可能導(dǎo)致增加企業(yè)成本。</p><p><b>　　④管理復(fù)雜</b></p><p>　　VPN組網(wǎng)以后，隨著企業(yè)內(nèi)部網(wǎng)絡(luò)范圍擴(kuò)大了，管理

38、問題會(huì)比較多。</p><p>　　第二節(jié) VPN分類</p><p>　　根據(jù)不同的需要，可以構(gòu)建不同類型的VPN；不用的角度，VPN的分類也不相同；不用的廠商在銷售VPN產(chǎn)品的時(shí)候，使用了不同的方式的分類；不同的ISP（Internet Service Provider，互聯(lián)網(wǎng)服務(wù)提供商）在開展VPN業(yè)務(wù)時(shí)推出了不同的分類方式，用戶往往可以根據(jù)自己需求劃分VPN[1]。</p&

39、gt;<p><b>　　一、按接入方式分</b></p><p>　　這是用戶和運(yùn)營(yíng)商最關(guān)心的VPN劃分方式。通常情況下，用戶可能是通過專線或者撥號(hào)上網(wǎng)。</p><p><b>　　1、專線VPN</b></p><p>　　由運(yùn)營(yíng)商根據(jù)客戶需求，專門建設(shè)一條用于VPN通信的通道。他能一直在線，通過專線接

40、入ISP邊緣路由器的用戶提供VPN解決方案</p><p><b>　　2、撥號(hào)VPN</b></p><p>　　是一種可以按照用戶需求連接的VPN，它是利用撥號(hào)分組交換數(shù)據(jù)網(wǎng)PSTN或者綜合業(yè)務(wù)數(shù)字網(wǎng)ISDN接入ISP的用戶提供VPN業(yè)務(wù)，可以節(jié)省用戶的長(zhǎng)途費(fèi)用。</p><p>　　二、按協(xié)議實(shí)現(xiàn)類型分</p><p&

41、gt;　　這是VPN廠商和ISP最關(guān)心的劃分方式。簡(jiǎn)單的說VPN是通過公共網(wǎng)絡(luò)連接的兩個(gè)端點(diǎn)，在它們之間建立一條邏輯連接。邏輯連接可以是在OSI（Open system interconnection,開放系統(tǒng)互連）模型的第二層或第三層建立，根據(jù)邏輯連接模型，將VPN技術(shù)劃分成第二層VPN和第三層VPN</p><p><b>　　1、第二層VPN</b></p><p&

42、gt;　　運(yùn)行在OSI參考模型的第二層，他們是點(diǎn)到點(diǎn)的，通過虛電路在場(chǎng)點(diǎn)之間建立連接性。虛電路是網(wǎng)絡(luò)中兩個(gè)端點(diǎn)之間的邏輯端到端連接，可以跨越網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)原件和物理網(wǎng)段。ATM和幀中繼是兩種最流行的第二層VPN技術(shù)，另外包括PPTP（點(diǎn)到點(diǎn)隧道協(xié)議），L2F（第二層轉(zhuǎn)發(fā)協(xié)議），L2TP（第二層隧道協(xié)議）等</p><p><b>　　2、第三層VPN</b></p><

43、p>　　遞送報(bào)頭位于OSI模型的第三層，常見的第三層VPN包括通用路由封裝GRE，多協(xié)議標(biāo)簽交換MPLS和互聯(lián)網(wǎng)協(xié)議安全I(xiàn)Psec VPN。第三層VPN可以以點(diǎn)到點(diǎn)的方式連接兩個(gè)場(chǎng)點(diǎn)，如GRE和IPsec，也可以在眾多場(chǎng)點(diǎn)之間建立全互連連接性，如MPLS VPN</p><p>　　、通用理由封裝（Generic Routing Encapsulation，GRE）</p><p>

44、　　最早是由Cisco開發(fā)的一種VPN技術(shù)，Cisco將GRE作為一種封裝方法開發(fā)，是指一個(gè)協(xié)議的數(shù)據(jù)包可以封裝進(jìn)IP數(shù)據(jù)包中，并且將封裝后的數(shù)據(jù)包通過IP骨干傳輸。</p><p>　　、因特網(wǎng)協(xié)議安全（IPsec）</p><p>　　IPSec不是某種特殊的加密算法或認(rèn)證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認(rèn)證算法，它只是一個(gè)開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，為目前

45、流行的數(shù)據(jù)加密或認(rèn)證的實(shí)現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，為這些算法的實(shí)現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)，這有利于數(shù)據(jù)安全方面的措施進(jìn)一步發(fā)展和標(biāo)準(zhǔn)化。同時(shí)，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實(shí)施。</p><p>　　、多協(xié)議標(biāo)簽交換（Multi-Protocol Label Swaitching，MPLS）</p><p>　　指定了數(shù)據(jù)吧是如何通過一種有效的方式送到目的地的，

46、是一種用戶快速數(shù)據(jù)包交換和路由的體系。相對(duì)于其它VPN技術(shù)，MPLS VPM的重要優(yōu)點(diǎn)在于靈活性，他允許在VPN場(chǎng)點(diǎn)之間采用任何網(wǎng)絡(luò)拓?fù)洹?lt;/p><p>　　三、按VPN發(fā)起方式分</p><p>　　這是客戶和ISP最關(guān)心的VPN分類.</p><p><b>　　1、客戶發(fā)起</b></p><p>　　VPN服務(wù)

47、提供的起始點(diǎn)和終止點(diǎn)是面向客戶的，其內(nèi)部技術(shù)構(gòu)成，實(shí)施和管理對(duì)VPN客戶可見。需要客戶和隧道服務(wù)器方案裝隧道軟件。此時(shí)ISP不需要做支持建立隧道的任何工作。經(jīng)過對(duì)用戶身份符和口令的驗(yàn)證，客戶方和隧道服務(wù)器極易建立隧道。雙方也可以用加密的方式通信。</p><p><b>　　2、服務(wù)器發(fā)起</b></p><p>　　在公司中心部門或ISP處理安裝VPN軟件，客戶無(wú)需

48、安裝任何特殊軟件，其內(nèi)部構(gòu)成，實(shí)施和管理對(duì)VPN客戶完全透明。</p><p>　　四、按VPN服務(wù)類型分</p><p>　　根據(jù)服務(wù)類型，VPN業(yè)務(wù)可以分為三類，接入VPN，內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。</p><p>　　1、企業(yè)內(nèi)部VPN（Intranet VPN）</p><p>　　在VPN技術(shù)出現(xiàn)以前，公司兩異地機(jī)構(gòu)的局域網(wǎng)想要

49、互聯(lián)一般會(huì)采用租用專線的方式，雖然該方式也采用隧道等技術(shù)，在一端將數(shù)據(jù)封裝后通過專線傳輸?shù)侥康姆浇夥庋b，然后發(fā)往最終目的地。該方式也能提供傳輸?shù)耐该餍裕撬cVPN技術(shù)在安全性上有根本的差異。而且在分公司增多、業(yè)務(wù)開展越來越廣泛時(shí)，網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜，費(fèi)用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的Intranet VPN。利用Internet的線路保證網(wǎng)絡(luò)的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個(gè)Intr

50、anet VPN上安全傳輸。Intranet VPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。</p><p>　　2、擴(kuò)展的企業(yè)內(nèi)部VPN（Extranet VPN）</p><p>　　此種類型由于是不同公司的網(wǎng)絡(luò)相互通信，所以要更多地考慮設(shè)備的互聯(lián)，地址的協(xié)調(diào)，安全策略的協(xié)商等

51、問題。利用VPN技術(shù)可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。Extranet VPN通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)的相同政策，包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。</p><p>　　3、遠(yuǎn)程訪問VPN（Access VPN）</p><p&

52、gt;　　與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)相對(duì)應(yīng)，在該方式下遠(yuǎn)端用戶不再是如傳統(tǒng)的遠(yuǎn)程網(wǎng)絡(luò)訪問那樣，通過長(zhǎng)途電話撥號(hào)到公司遠(yuǎn)程接入端口，而是撥號(hào)接入到用戶本地的ISP ，利用VPN 系統(tǒng)在公眾網(wǎng)上建立一個(gè)從客戶端到網(wǎng)關(guān)的安全傳輸通道。這種方式最適用于公司內(nèi)部經(jīng)常有流動(dòng)人員遠(yuǎn)程辦公的情況。出差員工撥號(hào)接入到用戶本地的ISP ，就可以和公司的VPN 網(wǎng)關(guān)建立私有的隧道連接，不但保證連接的安全，同時(shí)負(fù)擔(dān)的電話費(fèi)用大大降低。</p><

53、p><b>　　五、按承載主體分</b></p><p>　　這是客戶和ISP最關(guān)心的問題?？蛻粢话銜?huì)自建VPN或外包VPN，這通常決定由建設(shè)VPN的成本，復(fù)雜度等多方面的決定。</p><p><b>　　1、自建VPN</b></p><p>　　企業(yè)在駐地安裝VPN的客戶端軟件，在企業(yè)網(wǎng)邊緣安裝VPN網(wǎng)關(guān)軟件，

54、完全獨(dú)立于運(yùn)營(yíng)商建設(shè)自己的VPN網(wǎng)絡(luò)，運(yùn)營(yíng)商不需要做任何對(duì)VPN的支持工作。選擇之間VPN的客戶，一般資金充足，擁有相當(dāng)?shù)膶I(yè)技術(shù)力量，而且在安全性等方面對(duì)網(wǎng)絡(luò)有特殊要求，需要自行控制VPN網(wǎng)絡(luò)。另外，用戶和站點(diǎn)分布范圍廣，數(shù)量較多，對(duì)保密和可用性有一定要求，而對(duì)實(shí)時(shí)業(yè)務(wù)要求不高的中小企業(yè)，還有在內(nèi)部網(wǎng)中止鍵VPN部門的子網(wǎng)企業(yè)，也需要自建VPN。</p><p><b>　　2、外包VPN</b

55、></p><p>　　用戶將VPN及遠(yuǎn)程外包給某一服務(wù)提供商，用戶將得到安全策略管理，用戶管理以及獲得技術(shù)支持。企業(yè)可以因此降低組建和運(yùn)維VPN的費(fèi)用，而運(yùn)營(yíng)商也可以因此開拓新的IP業(yè)務(wù)增值服務(wù)市場(chǎng)，獲得更好的收益，并提高客戶的保持力和忠誠(chéng)度。</p><p>　　第三節(jié) VPN的連接方式</p><p><b>　　一、傳輸模式</b>

56、;</p><p>　　傳輸模式連接用于在設(shè)備的真正源和目的IP地址之間傳輸數(shù)據(jù)時(shí)使用。</p><p>　　傳輸模式是使用封裝方法，防火墻將UDP段封裝在VPN的數(shù)據(jù)包或者段里面；VPN封裝包含的信息將幫助目標(biāo)設(shè)備確認(rèn)被保護(hù)的信息；VPN信息接著會(huì)封裝進(jìn)一個(gè)IP數(shù)據(jù)包，而源設(shè)備是防火墻，目標(biāo)設(shè)備是系統(tǒng)日志服務(wù)器。</p><p><b>　　二、隧道模式

57、</b></p><p>　　傳輸模式的一種限制是它不具備很好的擴(kuò)展性，因?yàn)楸Ｗo(hù)是基于每一臺(tái)設(shè)備的。因此，當(dāng)更多的設(shè)備需要在兩個(gè)不用區(qū)域以安全的方式相互通信時(shí)，應(yīng)該使用隧道模式。在隧道模式中，實(shí)際的源和目標(biāo)設(shè)備通常不保護(hù)流量，相反，某些中間設(shè)備用于保護(hù)這些流量。代表其他設(shè)備提供VPN保護(hù)的設(shè)備通常被稱呼為VPN網(wǎng)關(guān)</p><p>　　隧道模式的封裝過程，區(qū)域的防火墻產(chǎn)生一個(gè)系

58、統(tǒng)日志信息，將它封裝到一個(gè)UDP中，并放入IP數(shù)據(jù)包；當(dāng)VPN網(wǎng)關(guān)收到區(qū)域PIX的系統(tǒng)日志IP數(shù)據(jù)包后，VPN網(wǎng)關(guān)會(huì)封裝整個(gè)帶有VPN保護(hù)信息的數(shù)據(jù)包；接著，VPN網(wǎng)關(guān)將這個(gè)信息放入到另一個(gè)IP數(shù)據(jù)包中。</p><p>　　圖1.1 傳輸模式與隧道模式的報(bào)頭區(qū)別</p><p>　　第四節(jié) VPN關(guān)鍵技術(shù)</p><p><b>　　一、隧道技術(shù)&

59、lt;/b></p><p>　　隧道技術(shù)是VPN的基礎(chǔ)技術(shù)，也是VPN的核心技術(shù)。它類似于點(diǎn)地點(diǎn)連接技術(shù)，在公網(wǎng)建立一條數(shù)據(jù)隧道，讓數(shù)據(jù)包通過這條隧道傳輸。它將原始數(shù)據(jù)包進(jìn)行加密，信息結(jié)構(gòu)變換，協(xié)議封裝和壓縮后，嵌入另一種協(xié)議數(shù)據(jù)包后在網(wǎng)絡(luò)中傳輸，使得只有被授權(quán)的用戶才能對(duì)隧道中的數(shù)據(jù)包進(jìn)行解釋和處理，且隧道是專用的，從而保護(hù)遠(yuǎn)程用戶或主機(jī)和專用網(wǎng)絡(luò)之間的連接，</p><p>　

60、　1、隧道技術(shù)在VPN的實(shí)現(xiàn)中具體有如下主要作用</p><p>　?、僖粋€(gè)IP隧道可以調(diào)整任何形式的有效負(fù)載，是遠(yuǎn)程用戶能夠透明的撥號(hào)上網(wǎng)來訪問企業(yè)的IP</p><p>　?、趯?duì)倒能夠利用封裝技術(shù)同時(shí)調(diào)整多個(gè)用戶或多個(gè)不同形式的有效負(fù)載。</p><p>　?、凼褂盟淼兰夹g(shù)訪問企業(yè)網(wǎng)時(shí)，企業(yè)網(wǎng)不會(huì)向公網(wǎng)報(bào)告它的IP地址</p><p>　

61、?、芩淼兰夹g(shù)允許接收者濾掉或報(bào)告?zhèn)€人的隧道連接。</p><p><b>　　二、加解密技術(shù)</b></p><p>　　加密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較為成熟的技術(shù)。利用加密技術(shù)保證傳輸數(shù)據(jù)的安全是VPN安全技術(shù)的核心。為了適應(yīng)VPN的工作特點(diǎn)，目前VPN均采用對(duì)稱加密體制和公鑰加密體制相結(jié)合的方法。</p><p>　　對(duì)稱密鑰使用同一把鑰匙來對(duì)

62、信息提供安全的保護(hù)。因?yàn)橥话梢怯糜诮⒑蜋z查安全保護(hù)，該算法相對(duì)比較簡(jiǎn)單而且非常有效率。因此，對(duì)稱算法，工作速度非?？?。VPN目前常用的對(duì)稱密碼加密算法有：DES，3DES，RC4，RC5等</p><p>　　公鑰加密體制，或非對(duì)稱加密體制，是通信各方使用的兩個(gè)不同的密鑰，私鑰被源安全的收藏，永遠(yuǎn)都不會(huì)和其他的設(shè)備共享，公鑰可以送給其他設(shè)備。非對(duì)稱密鑰可以用于加密數(shù)據(jù)和執(zhí)行驗(yàn)證功能。當(dāng)前常見的公鑰體制有RS

63、A</p><p><b>　　三、密鑰管理技術(shù)</b></p><p>　　密鑰管理技術(shù)的主要任務(wù)是如何實(shí)現(xiàn)在公用數(shù)據(jù)網(wǎng)上安全的傳遞密鑰而不被竊取。密鑰管理包括，從密鑰的產(chǎn)生到密鑰的銷毀的各個(gè)方面。主要表現(xiàn)于管理體制，管理協(xié)議和密鑰的產(chǎn)生，分配，更換和注入</p><p>　　密鑰的分發(fā)有兩種方法:1通過手工配置的方式.2采用密鑰交換協(xié)議動(dòng)態(tài)

64、分發(fā)，適合于復(fù)雜網(wǎng)絡(luò)的情況，而且密鑰可快速更新，可以顯著提高VPN的應(yīng)用的安全性。</p><p><b>　　四、身份認(rèn)證技術(shù)</b></p><p>　　身份認(rèn)證是為了保證操作者的物理身份與數(shù)字身份相對(duì)性，它是防護(hù)網(wǎng)絡(luò)資產(chǎn)的第一道關(guān)口。VPN需要解決的首要問題就是網(wǎng)絡(luò)上用戶與設(shè)備的身份認(rèn)證，如果沒有一個(gè)萬(wàn)無(wú)一失的身份認(rèn)證方案，不管其他安全設(shè)施有多嚴(yán)密。整個(gè)VPN功

65、能都將失效。身份認(rèn)證技術(shù)可劃分為非PKI身份認(rèn)證和PKI體系身份認(rèn)證</p><p><b>　　第五節(jié) 本章小結(jié)</b></p><p>　　本章主要從VPN的定義，分類以及在架構(gòu)VPN服務(wù)器中所用到的相關(guān)技術(shù)，做了詳細(xì)的分析，這些在實(shí)際現(xiàn)實(shí)的架構(gòu)中，為VPN的建設(shè)提供了實(shí)用的認(rèn)知的指導(dǎo)，也為我在下面的建設(shè)VPN的時(shí)候，知道了會(huì)用到的相關(guān)技術(shù)，例如數(shù)據(jù)的加密，解密，

66、證書的管理等。本章中，在介紹VPN的優(yōu)缺點(diǎn)時(shí)，我們理性的了解到，VPN在給我們巨大方便的同時(shí)，仍然存在某些的不足。事務(wù)都具有兩面性，在運(yùn)用VPN時(shí)，如何來規(guī)避一些它自身的缺點(diǎn)，從而為用戶帶來更好的體驗(yàn)，是我們研究的方向。章節(jié)中還具體分析了VPN在實(shí)際生活中的分類，我們可以通過自己或企業(yè)的具體需求，規(guī)劃自己的VPN。根據(jù)不同的VPN，也可以了解到，他們之間的區(qū)別，以及和IPS運(yùn)營(yíng)商之間的聯(lián)系，這些都可以使在實(shí)際的建設(shè)中帶來方便。安全，是現(xiàn)

67、在互聯(lián)網(wǎng)上最值得大家關(guān)注的對(duì)象，VPN的安全也不例，VPN說到底，還是要在公網(wǎng)上傳播數(shù)據(jù)的，如何保證這些數(shù)據(jù)的安全性，這對(duì)任何一個(gè)架設(shè)VPN的同學(xué)都是令人感到頭疼的事情，世上沒有絕對(duì)安全的東西，但是我們也不能不對(duì)VPN做安全管理。本章中，介紹了VPN建設(shè)中所用到的一些隧道技術(shù)，安全技術(shù)，最大的保障了VPN數(shù)據(jù)在傳送過程中的安全性。</p><p>　　第二章 IPsec概述</p><p&

68、gt;　　第一節(jié)IPsec簡(jiǎn)介</p><p>　　IPsec（IP Security）是IETF制定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。</p><p>　　IPSec不是某種特殊的加密算法或認(rèn)證算法，也沒有在它的數(shù)據(jù)結(jié)構(gòu)中指定某種特殊的加密算法或認(rèn)證算法，它只是一個(gè)開放的結(jié)構(gòu)，定義在IP數(shù)據(jù)包格式中，為目前流行的數(shù)據(jù)加密

69、或認(rèn)證的實(shí)現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，為這些算法的實(shí)現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)，這有利于數(shù)據(jù)安全方面的措施進(jìn)一步發(fā)展和標(biāo)準(zhǔn)化[11]。同時(shí)，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中實(shí)施。</p><p>　　IPSec協(xié)議是一個(gè)應(yīng)用廣泛、開放的VPN安全協(xié)議。IPSec適應(yīng)向Ipv6遷移，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，進(jìn)行透明的安全通信。IPSec提供了如何使敏感數(shù)據(jù)在開放的網(wǎng)絡(luò)（如Interne

70、t）中傳輸?shù)陌踩珯C(jī)制。IPSec工作在網(wǎng)絡(luò)層，在參加IPSec的設(shè)備（如路由器）之間為數(shù)據(jù)的傳輸提供保護(hù)，主要是對(duì)數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認(rèn)證。</p><p>　　一、IPsec提供的服務(wù)</p><p>　　1、數(shù)據(jù)機(jī)密性（Confidentiality）</p><p>　　IPsec發(fā)送方在通過網(wǎng)絡(luò)傳輸包前對(duì)包進(jìn)行加密。</p><p

71、>　　2、數(shù)據(jù)完整性（Data Integrity）</p><p>　　IPsec接收方對(duì)發(fā)送方發(fā)送來的包進(jìn)行認(rèn)證，以確保數(shù)據(jù)在傳輸過程中沒有被篡改。</p><p>　　3、來源認(rèn)證（Data Authentication）</p><p>　　IPsec在接收端可以認(rèn)證發(fā)送IPsec報(bào)文的發(fā)送端是否合法。</p><p>　　4、

72、防重放（Anti-Replay）</p><p>　　IPsec接收方可檢測(cè)并拒絕接收過時(shí)或重復(fù)的報(bào)文。</p><p>　　二、IPsec具有以下特點(diǎn)：</p><p>　　（1）支持IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）</p><p>　　可實(shí)現(xiàn)密鑰的自動(dòng)協(xié)商功能，減少了密鑰協(xié)商的開銷?？梢酝ㄟ^IKE建立和

73、維護(hù)SA的服務(wù)，簡(jiǎn)化了IPsec的使用和管理。</p><p>　?。?）所有使用IP協(xié)議進(jìn)行數(shù)據(jù)傳輸?shù)膽?yīng)用系統(tǒng)和服務(wù)都可以使用IPsec，而不必對(duì)這些應(yīng)用系統(tǒng)和服務(wù)本身做任何修改。</p><p>　　（3）對(duì)數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個(gè)數(shù)據(jù)流為單位，這不僅靈活而且有助于進(jìn)一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡(luò)攻擊</p><p><b&

74、gt;　　三、封裝模式</b></p><p>　　1、隧道（tunnel）模式</p><p>　　用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。通常，隧道模式應(yīng)用在兩個(gè)安全網(wǎng)關(guān)之間的通訊。</p><p>　　2、傳輸（transport）模式</p><p>

75、;　　只是傳輸層數(shù)據(jù)被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應(yīng)用在兩臺(tái)主機(jī)之間的通訊，或一臺(tái)主機(jī)和一個(gè)安全網(wǎng)關(guān)之間的通訊[4]。</p><p>　　不同的安全協(xié)議在tunnel和transport模式下的數(shù)據(jù)封裝形式如圖2.1所示，data為傳輸層數(shù)據(jù)。</p><p>　　圖2.1傳輸模式與隧道模式的封裝情況</p&g

76、t;<p>　　四、IPsec優(yōu)缺點(diǎn)</p><p>　　1、IPsec的優(yōu)點(diǎn)</p><p>　?、買Psec工作在傳輸層之下，因此對(duì)應(yīng)用層是透明的，當(dāng)在路由器或者防火墻上安裝IPsec時(shí)，無(wú)需要更改用戶或服務(wù)器系統(tǒng)中的軟件設(shè)置。即使在終端系統(tǒng)中執(zhí)行IPsec，應(yīng)用程序等上層軟件也不會(huì)受影響。另外，IPsec也可以為單個(gè)用戶提供主機(jī)到主機(jī)的安全隧道，保護(hù)客戶的敏感信息。IP

77、sec選擇在IP成是一種很好的選擇，更好級(jí)別的服務(wù)只能保護(hù)某一種協(xié)議，更低級(jí)別的服務(wù)則只能保護(hù)某一種通信媒體，而IPsec則可以保護(hù)IP之上的任何協(xié)議和IP之下的任何通信媒體。</p><p>　　②IPsec具有模塊化的設(shè)計(jì)，即使選擇不同的算法，也不會(huì)影響到其他部分的實(shí)現(xiàn)，不同用戶群可以根據(jù)自己的需求選擇合適的算法集</p><p>　　③IPsec使用包過濾的方式進(jìn)行訪問控制。則按可以

78、減少握手的時(shí)間，一次握手就可以傳送大量的數(shù)據(jù)，尤其適用于傳輸數(shù)據(jù)量大的應(yīng)用</p><p>　?、躒PN交換機(jī)的分離通道特性為IPsec客戶端提供同時(shí)對(duì)internet，extranet和本地網(wǎng)絡(luò)訪問的支持，該技術(shù)可以設(shè)置權(quán)限，允許用戶的訪問權(quán)限，如允許本地打印和文件共享訪問，允許直接internet訪問和允許安全外網(wǎng)訪問，該特性使用用戶在安全條件下合理方便的使用網(wǎng)絡(luò)資源，既有安全性又有靈活性。</p>

79、;<p>　　IPsec定義了開放的體系結(jié)構(gòu)和框架。</p><p>　　2、IPsec的缺點(diǎn)</p><p>　　IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動(dòng)態(tài)分配地址時(shí)不太適合于IPSec；除了TCP/IP協(xié)議以外，IPSec不支持其它協(xié)議；除了包過濾外，它沒有指定其它訪問控制方法；對(duì)于采用NAT方式訪問公共網(wǎng)絡(luò)的情況難以處理；IPSec目前還僅支持單播

80、的（Unicast）IP數(shù)據(jù)包，不支持多播（Multicast）和廣播（Broadcast）的IP數(shù)據(jù)包[14]。</p><p>　　第二節(jié) IPsec協(xié)議體系</p><p>　　下圖2.2為IPsec體系結(jié)構(gòu)</p><p>　　圖2.2 Ipec協(xié)議體系 </p><p>　　IPsec體系文檔是RFC2401，它定義了IPsec的基

81、礎(chǔ)結(jié)構(gòu)，指定IP包的機(jī)密性和身份認(rèn)證使用的傳輸安全協(xié)議ESP或AH實(shí)現(xiàn)，包好了一半的概念，安全需求，定義和定義IPsec的技術(shù)機(jī)制。</p><p>　　ESP（Encapsulate Serurity Payload，封裝安全載荷），定義了為通 信提供機(jī)密性，完整性保護(hù)和抗重播服務(wù)的額具體實(shí)現(xiàn)方法，以及ESP頭在ESP實(shí)現(xiàn)中應(yīng)插入IP頭的位置，ESP載荷格式，各字段的語(yǔ)義，取值方式以及對(duì)進(jìn)入分組和外出分

82、組的處理過程。</p><p>　　AH（Authentication Header，認(rèn)證頭），定義了為通信提供完整性和看重放服務(wù)的具體實(shí)現(xiàn)方法，以及AH頭在AH實(shí)現(xiàn)中應(yīng)插入IP頭的位置，AH頭的語(yǔ)法格式，各字段的語(yǔ)義，取值方式以及實(shí)施AH時(shí)對(duì)進(jìn)入和外出分組的處理過程。</p><p>　　認(rèn)證算法，定義了對(duì)ESP的認(rèn)證算法為散列函數(shù)MC5或SHA的HMAC版本。</p>&

83、lt;p>　　加密算法，定義了DES-DBC作為ESP的加密算法以及如何實(shí)現(xiàn)DES-CBC算法和初始化矢量的生成。</p><p>　　IKE（Internet Key Exchange，因特網(wǎng)密鑰交換），定義了IPsec通信雙方如何動(dòng)態(tài)建立共享安全參數(shù)和經(jīng)認(rèn)證過的密鑰。IKE的功能包括：加密/鑒別算法和密鑰的協(xié)商，密鑰的生成，交換及管理，通信的模式保護(hù)，密鑰的生存期等。</p><p&

84、gt;　　IPsec DOI（Domain of Interpretation，解釋域），IKE定義了安全參數(shù)如何協(xié)商，以及共享密鑰如何建立，但沒有定義協(xié)商內(nèi)容，協(xié)商內(nèi)容與IKE協(xié)議本身分開實(shí)現(xiàn)。協(xié)商的內(nèi)容被歸于一個(gè)單獨(dú)的文檔內(nèi)，名為IPsec DOI</p><p>　　策略，是兩個(gè)實(shí)體間通信的規(guī)則，它決定采用什么協(xié)議，什么加密算法和認(rèn)證算法來通信，策略不當(dāng)可能造成不能正常工作。</p><

85、p>　　一、IPsec基本工作原理</p><p>　　IP協(xié)議本身不繼承任何安全特性，在傳輸過程中很容易偽造IP包的地址，修改其內(nèi)容，重播以前的包，以及攔截并查看包的內(nèi)容[2]。因此，在internet上傳遞IP數(shù)據(jù)包可能會(huì)遇到身份欺騙，數(shù)據(jù)的完整性破壞，數(shù)據(jù)的隱私性破壞等安全威脅。</p><p>　　IPsec可以有效的保護(hù)IP數(shù)據(jù)包的安全，主要采取的保護(hù)形勢(shì)為：數(shù)據(jù)源驗(yàn)證，無(wú)

86、連接數(shù)據(jù)的完整性驗(yàn)證，數(shù)據(jù)內(nèi)容的機(jī)密性，抗重播保護(hù)等。比如，AH或ESP協(xié)議進(jìn)行身份認(rèn)證的保護(hù)，也可以進(jìn)行數(shù)據(jù)完整性的保護(hù)。使用ESP或AH協(xié)議，可以對(duì)IP數(shù)據(jù)包或三層協(xié)議進(jìn)行保護(hù)，其中，AH可以認(rèn)證數(shù)據(jù)的起源地，保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的重播。ESP除具有AH的所有能力之外，還可以選為數(shù)據(jù)流提供機(jī)密性保障。</p><p>　　IPsec虛擬隧道接口對(duì)報(bào)文的加封裝/即封裝發(fā)生在隧道接口上[8]。用戶流

87、量到達(dá)實(shí)施IPsec配置的設(shè)備后，需要IPsec處理的報(bào)文會(huì)被轉(zhuǎn)發(fā)到IPsec虛擬隧道接口上進(jìn)行加封裝/接封裝。</p><p>　　接口加封裝如下圖2.3</p><p>　　圖2.3 IPsec虛擬隧道接口對(duì)報(bào)文進(jìn)行加封裝的過程</p><p>　　Router將從入接口接收到的IP明文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理；</p><p>　　轉(zhuǎn)發(fā)模塊

88、依據(jù)路由查詢結(jié)果，將IP明文發(fā)送到IPsec虛擬隧道接口進(jìn)行加封裝，原始IP報(bào)文本封裝在新的IP報(bào)文中，新的IP頭中的源地址和目的地址分別為賽道接口的源地址和目的地址</p><p>　　IPsec虛擬隧道接口完成對(duì)IP明文的加封裝處理后，將IP密文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理.</p><p>　　轉(zhuǎn)發(fā)模塊進(jìn)行第二次路由查詢后，將IP密文通過隧道接口的實(shí)際物理接口轉(zhuǎn)發(fā)出去</p>

89、<p>　　接口解封裝如下圖2.4</p><p>　　圖2.4 IPsec虛擬隧道接口對(duì)報(bào)文進(jìn)行解封裝的過程</p><p>　　Router將從入接口接收到的IP密文送到轉(zhuǎn)發(fā)模塊進(jìn)行處理；</p><p>　　轉(zhuǎn)發(fā)模塊識(shí)別到此IP密文的目的地為本設(shè)備的隧道接口地址切IP協(xié)議號(hào)為AH或ESP時(shí)，會(huì)將IP密文送到相對(duì)應(yīng)的IPsec虛擬隧道接口進(jìn)行接封裝，

90、將IP密文的外層IP頭去掉，對(duì)內(nèi)層IP報(bào)文進(jìn)行解密處理。</p><p>　　IPsec虛擬隧道接口完成對(duì)IP密文的解封裝處理后，將IP明文重新送回轉(zhuǎn)發(fā)模塊處理；</p><p>　　轉(zhuǎn)發(fā)模塊進(jìn)行第二次路由查詢后，將IP明文從隧道的技術(shù)物理接口轉(zhuǎn)發(fā)出去。</p><p><b>　　二、安全關(guān)聯(lián)</b></p><p>

91、<b>　　1、定義</b></p><p>　　安全關(guān)聯(lián)（Security Association，SA），是IPsec的基礎(chǔ)。AH和ESP都使用SA，SA是兩個(gè)通信實(shí)體經(jīng)過協(xié)商建立起來的一種提供安全服務(wù)的連接。它規(guī)定用來保護(hù)數(shù)據(jù)的IPsec協(xié)議類型，加密算法，認(rèn)證方式，加密和認(rèn)證密鑰，密鑰生存時(shí)間以及防重放攻擊序列號(hào)等，位所承載的流量提供安全服務(wù)。SA是一個(gè)單向的邏輯連接，在一次通信中，

92、IPsec需要建立兩個(gè)SA，一個(gè)用于入站通信，另外一個(gè)用于出站通信。</p><p>　　通過一個(gè)三元組參數(shù)可以唯一標(biāo)識(shí)每個(gè)SA，包括參數(shù)索引SPI，源IP地址，目的IP地址和特定的安全協(xié)議（AH和ESP）。SA只適用于點(diǎn)到點(diǎn)通信。</p><p>　　SPI是一個(gè)32位證書，并且是為了唯一標(biāo)識(shí)SA參勝的，SPI在AH和ESP頭中傳輸，所以，IPsec數(shù)據(jù)包的接收方易于識(shí)別SPI，并利用它

93、連同源/目的IP地址和協(xié)議來搜索SPD，以確定與該數(shù)據(jù)包相關(guān)聯(lián)的SA</p><p><b>　　2、SA的功能</b></p><p>　　SA所能夠提供的安全服務(wù)取決于所選擇的安全協(xié)議，SA的工作模式，SA終點(diǎn)和協(xié)議內(nèi)所選擇的服務(wù)。</p><p>　　AH可以為接收端提供抗重播服務(wù)，防止拒絕服務(wù)攻擊。當(dāng)不需要或不允許使用數(shù)據(jù)的保密性時(shí)，最

94、好使用AH協(xié)議。AH也可以用于需要對(duì)IP頭做認(rèn)證服務(wù)的情形。AH為IP數(shù)據(jù)流提供了高強(qiáng)度的密碼認(rèn)證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。</p><p>　　ESP為流量可選擇提供保密服務(wù)，保密服務(wù)的強(qiáng)度取決于ESP所使用的加密算法。ESP也可以提供認(rèn)證服務(wù)。使用ESP SA隧道模式可以加密內(nèi)部IP頭，隱藏流量的源/目的IP地址，進(jìn)一步可以利用ESP填充字段隱藏?cái)?shù)據(jù)包的真實(shí)長(zhǎng)度。ESP也可用于撥號(hào)方式的移動(dòng)用戶

95、，在用戶和企業(yè)之間建立隧道模式的ESP SA。</p><p>　　3、SA數(shù)據(jù)庫(kù)（SAD）</p><p>　　IPsec使用選擇符選擇應(yīng)該使用的SA，而選擇符是根據(jù)IP層和傳輸層的信息標(biāo)志生成的。IPsec系統(tǒng)用中的安全策略數(shù)據(jù)庫(kù)和安全聯(lián)盟數(shù)據(jù)庫(kù)與SA緊密相關(guān)。SPD規(guī)定所有來之主機(jī)，安全網(wǎng)關(guān)等的IP包應(yīng)該使用安全策略，SAD包含每個(gè)SA的相關(guān)參數(shù)，它是將所有的SA以某種數(shù)據(jù)結(jié)構(gòu)集中存

96、儲(chǔ)的列表。</p><p><b>　　（1）、選擇符</b></p><p>　　選擇符是從網(wǎng)絡(luò)層包頭和傳輸層幀頭中提取出來的，由目的地址，源地址，名字，協(xié)議和上層端口組成，用于選擇為包提供的安全服務(wù)</p><p>　　（2）、安全策略數(shù)據(jù)庫(kù)（SPD）</p><p>　　SPD是根據(jù)IP包的源地址、目的地址、入數(shù)據(jù)

97、還是出數(shù)據(jù)等，規(guī)定以何種方式對(duì)IP包提供服務(wù)，是SA的基礎(chǔ)。</p><p>　　SPD的策略是有序的，對(duì)于出數(shù)據(jù)流或入數(shù)據(jù)流的三種處理方式如下：</p><p>　?、賮G棄，不處理包，只是簡(jiǎn)單的丟棄</p><p>　　②繞過IPsec，不需要IPsec保護(hù)包，生成普通的IP包送出</p><p>　?、蹜?yīng)用IPsec對(duì)包提供保護(hù)，且SPD

98、必須說明希望提供安全服務(wù)、協(xié)議和算法</p><p>　?。?）、安全聯(lián)盟數(shù)據(jù)庫(kù)（SAD）</p><p>　　SAD中包含現(xiàn)有的SA條目，每個(gè)SA包括一個(gè)三元組，用于唯一標(biāo)識(shí)這個(gè)SA。該三元組包含一個(gè)SPI，一個(gè)用于輸入處理SA的源IP地址或一個(gè)用于處理SA的目的IP地址和一個(gè)特定的協(xié)議。一個(gè)SAD條目包含以下內(nèi)容：</p><p>　?、俦痉叫蛄刑?hào)計(jì)數(shù)器：用于產(chǎn)

99、生AH或ESP頭的序列號(hào)字段，僅用于外出的數(shù)據(jù)包。</p><p>　?、趯?duì)方序列號(hào)溢出標(biāo)志：標(biāo)識(shí)序列號(hào)計(jì)數(shù)器是否溢出。</p><p>　?、劭怪胤糯翱冢河糜跊Q定進(jìn)入的AH或ESP數(shù)據(jù)包是否為重放的，僅用于進(jìn)入數(shù)據(jù)包。</p><p>　?、蹵H驗(yàn)證算法、密鑰等</p><p>　?、軪SP加密、密鑰等</p><p&g

100、t;　?、轊SP驗(yàn)證算法、密鑰等</p><p>　　⑦SA的生存期，表示SA能夠存在的最長(zhǎng)時(shí)間。</p><p>　　⑧運(yùn)行模式：是傳輸模式還是隧道模式</p><p>　　⑨路徑醉倒傳輸單元參數(shù)PMTU：所考察的路徑的MTU以及生存時(shí)間TTL變量</p><p>　?。?）、SA的密鑰管理</p><p>　　SA

101、的管理主要包括創(chuàng)建和刪除,有以下兩種管理方式：</p><p>　?、偈止す芾恚篠A的內(nèi)容由管理員手工指定，手工維護(hù)。但是，手工維護(hù)容易出錯(cuò)，而且手工建立的SA沒有生存周期限制，有安全隱患。</p><p>　?、贗KE自動(dòng)管理：一般來說，SA的自動(dòng)建立和動(dòng)態(tài)維護(hù)是通過IKE進(jìn)行的。利用IKE創(chuàng)建和刪除SA。如果安全策略要求建立安全、保密的連接，但又不存在相應(yīng)的SA，IPsec的內(nèi)核會(huì)立刻

102、啟動(dòng)IKE來協(xié)商SA</p><p><b>　　三、AH頭認(rèn)證</b></p><p><b>　　1、AH簡(jiǎn)介</b></p><p>　　在IP協(xié)議中，驗(yàn)收IP數(shù)據(jù)報(bào)完整性是通過頭部的校驗(yàn)和來保證的。這樣，當(dāng)修改IP頭后，可以對(duì)修改過得IP頭重新計(jì)算校驗(yàn)和并代替之間的校驗(yàn)和，從而讓接受主機(jī)無(wú)法知道數(shù)據(jù)報(bào)已經(jīng)修改。通過

103、應(yīng)用認(rèn)證頭協(xié)議可以增加IP數(shù)據(jù)包的安全性[9]。</p><p>　　AH為IP包提供數(shù)據(jù)完整性校驗(yàn)，身份認(rèn)證和可選的抗重播保護(hù)，但是AH不對(duì)受保護(hù)的IP包加密。AH的作用是IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證，以確保被修改過的數(shù)據(jù)報(bào)可以被檢查出來。AH可單獨(dú)使用，也可以與ESP結(jié)合使用，在隧道模式中嵌套使用。</p><p><b>　　AH頭格式</b></p&

104、gt;<p>　　AH被用來保證IP包在傳輸過程中是不被修改的，并且由指定發(fā)送人將它發(fā)送除去的新的非重播的數(shù)據(jù)包，AH頭格式如下表。2.1</p><p>　　表2.1 AH頭格式</p><p>　　下一個(gè)頭（8bit），指示下一個(gè)負(fù)載的協(xié)議的類型</p><p>　　載荷長(zhǎng)度（8bit），AH的負(fù)載長(zhǎng)度</p><p>　　

105、保留（8bit），供將來使用</p><p>　　安全參數(shù)索引SPI，SPI是為了唯一標(biāo)識(shí)SA而生成的一個(gè)32位整數(shù)， 它包含在AH頭標(biāo)和ESP頭標(biāo)中，其值1~255被IANA留作將來使用，0被保留，運(yùn)用SPI，在相同的源，目的節(jié)點(diǎn)的數(shù)據(jù)流可以建立多個(gè)SA</p><p>　　序列號(hào)（32bit），單調(diào)增加的32為無(wú)符號(hào)整數(shù)，利用該域抵抗重發(fā)攻擊</p&

106、gt;<p>　　認(rèn)證數(shù)據(jù)，是一個(gè)長(zhǎng)度可變的域，長(zhǎng)度為32比特的整數(shù)倍，具體格式隨認(rèn)證算法變化兒不同。該認(rèn)證數(shù)據(jù)也被稱為數(shù)據(jù)報(bào)的完整性校驗(yàn)值。</p><p><b>　　2、AH處理</b></p><p>　　下表2.2是一個(gè)標(biāo)準(zhǔn)數(shù)據(jù)包的格式</p><p>　　表2.2 原始數(shù)據(jù)包格式</p><p>

107、;　　上表為我們常用的IPv4數(shù)據(jù)包的信息，其中proto字段描述了傳輸層的協(xié)議類型。</p><p>　　我們常見的傳輸層類型表如下表2.3</p><p>　　表2.3 傳輸層協(xié)議表</p><p>　　AH用于認(rèn)證一但不對(duì)IP流量做加密，它提供主要的目的是確保我們是在和我們想通信的主機(jī)之間通信，通過對(duì)傳輸?shù)臄?shù)據(jù)檢測(cè)是否其被修改來防止攻擊者捕捉了之前通訊的數(shù)據(jù)包

108、，并藏是修改后重新發(fā)回給網(wǎng)絡(luò)，讓我們接受，這種攻擊行為稱呼為數(shù)據(jù)重演。</p><p>　　AH認(rèn)證是通過計(jì)算出IP包頭中除TTL或頭效驗(yàn)的所有字段的hash值，并將它存在新的AH頭中的一起發(fā)送給另外一端來實(shí)現(xiàn)。</p><p>　　3、AH報(bào)具體處理步驟：</p><p>　?。?）、對(duì)外出的數(shù)據(jù)包的處理</p><p>　　查找對(duì)應(yīng)的SA

109、，更具待處理的數(shù)據(jù)包，構(gòu)造出選擇符（源IP地址，目的IP地址，協(xié)議號(hào)，通信端口），并以此選擇符位索引檢查的SPI。加入按索引檢查到的SPI條目，該分組應(yīng)受到AH保護(hù)，則按SPI條目直接只指向的SA條目找到用以處理數(shù)據(jù)的SA。如果SPI指向SA為空。則采用IKE協(xié)議協(xié)商新的SA。</p><p>　　按SA條目給出的處理模式，在適當(dāng)?shù)牡胤讲迦階H頭和外部IP頭。在傳輸模式的AH實(shí)現(xiàn)中，帶添加的IP頭為原IP頭，對(duì)于

110、隧道模式，將重新構(gòu)造新的IP頭，添加到AH載荷前面。</p><p>　　對(duì)AH載荷的相應(yīng)字段進(jìn)行填充。</p><p>　　對(duì)AH處理后的數(shù)據(jù)報(bào)，重新計(jì)算IP頭效驗(yàn)和。如果處理后的數(shù)據(jù)包的長(zhǎng)度大于本地MTC，則進(jìn)行IP分段。處理完畢的IPsec分組被交給數(shù)據(jù)鏈路層或IP層重新路由。</p><p>　　（2）對(duì)進(jìn)入數(shù)據(jù)包的處理</p><p&g

111、t;　　數(shù)據(jù)包重組，對(duì)于收到的數(shù)據(jù)包，查看是否是一個(gè)完整的受AH保護(hù)的數(shù)據(jù)包，如果得到一個(gè)數(shù)據(jù)包指示一個(gè)IP包的分段，則必須保留這個(gè)分段，直到收到屬于該數(shù)據(jù)包的所有分段，并成功重組后，在進(jìn)行后續(xù)處理。</p><p>　　查找SA，三元組（SAID，目的IP地址，協(xié)議號(hào)，SPI），用于標(biāo)識(shí)一個(gè)SA。由待處理的IPsec數(shù)據(jù)包提取SAID魅力用它作為索引對(duì)SADB進(jìn)行檢索，找到相應(yīng)的處理該數(shù)據(jù)包的SA。如果沒有找到

112、，則丟棄該數(shù)據(jù)包，并將次事件記錄于日志中。</p><p>　　序列號(hào)檢查，如果次數(shù)據(jù)包的序列號(hào)落在該活動(dòng)SA的滑動(dòng)窗口內(nèi)，切不是一個(gè)重復(fù)收到的數(shù)據(jù)包，則表明此數(shù)據(jù)包是有效的，繼續(xù)后續(xù)處理，否則丟棄該數(shù)據(jù)包，并將此記錄于日志中。</p><p>　　檢查ICV字段的值，首先將AH頭中的ICV字段保存下來，然后將這個(gè)字段清零，按鑒別算法和鑒別密鑰，與發(fā)送端相同的計(jì)算方式計(jì)算一個(gè)散列輸出。該散