1、第9章VPN技術(shù)的原理與應(yīng)用 9.1 VPN概況 9.2 VPN相關(guān)技術(shù) 9.3 VPN典型應(yīng)用 9.4 本章小結(jié) 本章思考與練習(xí) 第9章VPN技術(shù)的原理與應(yīng)用 9.1 VPN概況 9.1 VPN概況 9.1.1 VPN概念VPN是英文的Virtual Private Network的縮寫(xiě)，中文翻譯為“虛擬專(zhuān)用網(wǎng)”，其基本技術(shù)原理是把需要經(jīng)過(guò)公共網(wǎng)傳遞的報(bào)文(packet)做加密處理后，再由公共網(wǎng)絡(luò)發(fā)送到目的地，如圖9-1所示。利用VPN技術(shù)能夠在不可信任的公共網(wǎng)絡(luò)上構(gòu)建一條專(zhuān)用的安全通道，經(jīng)過(guò)VPN傳輸?shù)臄?shù)據(jù)在公共網(wǎng)上具有保密性。 9.1 VPN概況 9.1.1 VPN概念圖9-1 VPN原

2、理示意圖 圖9-1 VPN原理示意圖 9.1.2 VPN安全服務(wù)功能通過(guò)VPN技術(shù)，企業(yè)可以在遠(yuǎn)程用戶、分支部門(mén)、合作伙伴之間建立一條安全通道，并能得到VPN提供的多種安全服務(wù)，從而實(shí)現(xiàn)企業(yè)網(wǎng)安全。VPN主要的安全服務(wù)有以下三種：* 保密性服務(wù)(Confidentiality)：防止傳輸?shù)男畔⒈槐O(jiān)聽(tīng)。* 完整性服務(wù)(Integrity)：防止傳輸?shù)男畔⒈恍薷摹? 認(rèn)證服務(wù)(Authentication)：提供用戶和設(shè)備的訪問(wèn)認(rèn)證，防止非法接入。 9.1.2 VPN安全服務(wù)功能9.1.3 VPN實(shí)現(xiàn)方式VPN實(shí)現(xiàn)技術(shù)有多種方式，按照VPN在TCP/IP協(xié)議層的實(shí)現(xiàn)方式，主要可將它分為鏈路層VPN

3、、網(wǎng)絡(luò)層VPN和傳輸層VPN。鏈路層VPN的實(shí)現(xiàn)方式有ATM、Frame Relay、多協(xié)議標(biāo)簽交換MPLS；網(wǎng)絡(luò)層VPN的實(shí)現(xiàn)方式有受控路由過(guò)濾、隧道技術(shù)；傳輸層VPN則通過(guò)SSL來(lái)實(shí)現(xiàn)。目前，市場(chǎng)上常見(jiàn)的產(chǎn)品主要支持IPsec VPN和SSL VPN。 9.1.3 VPN實(shí)現(xiàn)方式9.2 VPN相關(guān)技術(shù) 9.2.1 密碼算法VPN的核心技術(shù)是密碼算法。VPN利用密碼算法，對(duì)需要傳遞的信息進(jìn)行加密變換，從而確保網(wǎng)絡(luò)上未授權(quán)的用戶無(wú)法讀取該信息。 9.2 VPN相關(guān)技術(shù) 9.2.1 密碼算法9.2.2 密鑰管理VPN加、解密運(yùn)算都離不開(kāi)密鑰，因而，VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩

4、種方式：一種是通過(guò)手工配置來(lái)分發(fā)，另一種采用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)。手工配置的方法雖然可靠，但是密鑰更新速度慢，一般只適合于簡(jiǎn)單網(wǎng)絡(luò)的情況。而密鑰交換協(xié)議則通過(guò)采用軟件方式，自動(dòng)協(xié)商動(dòng)態(tài)生成密鑰，密鑰可快速更新，可以顯著提高VPN的安全性。目前，主要的密鑰交換與管理標(biāo)準(zhǔn)有SKIP(互聯(lián)網(wǎng)簡(jiǎn)單密鑰管理)和ISAKMP/Oakley (安全聯(lián)盟和密鑰管理協(xié)議)。 9.2.2 密鑰管理9.2.3 認(rèn)證訪問(wèn)控制1用戶身份認(rèn)證在VPN連接建立之前，VPN服務(wù)器對(duì)請(qǐng)求建立連接的VPN客戶機(jī)進(jìn)行身份驗(yàn)證，核查它是否為合法的授權(quán)用戶。如果使用雙向驗(yàn)證，還需進(jìn)行VPN客戶機(jī)對(duì)VPN服務(wù)器的身份驗(yàn)證，以防止偽裝的非

5、法服務(wù)器提供虛假信息。 9.2.3 認(rèn)證訪問(wèn)控制2數(shù)據(jù)完整性和合法性認(rèn)證VPN除了進(jìn)行用戶認(rèn)證外，還需要檢查傳輸?shù)男畔⑹欠駚?lái)自可信源，并且確認(rèn)在傳輸過(guò)程中信息是否經(jīng)過(guò)了篡改。 2數(shù)據(jù)完整性和合法性認(rèn)證9.2.4 IPSec 1IP AHIP AH是一種安全協(xié)議，其安全目的是用于保證IP包的完整性和提供數(shù)據(jù)源認(rèn)證。其基本方法是將IP包的部分內(nèi)容用加密算法和Hash算法進(jìn)行混合計(jì)算，生成一個(gè)消息認(rèn)證代碼，簡(jiǎn)稱(chēng)ICV(Integrity Check Value)，同時(shí)把ICV附加在IP包中，如圖9-2所示。 9.2.4 IPSec 1IP AH圖9-2 IP AH協(xié)議包格式 圖9-2 IP AH協(xié)議

6、包格式 在TCP/IP通信過(guò)程中，IP包發(fā)送之前都事先計(jì)算好每個(gè)IP包的ICV，按照IP AH的協(xié)議規(guī)定重新構(gòu)造包含ICV的新的IP包，然后再發(fā)送到接收方。通信接收方在收到用IP AH方式處理過(guò)的IP包后，根據(jù)IP包的AH信息驗(yàn)證ICV，從而確認(rèn)IP包的完整性和來(lái)源。IP認(rèn)證頭AH的信息格式如圖9-3所示。 在TCP/IP通信過(guò)程中，IP包發(fā)送之前都事先計(jì)算好每個(gè)圖9-3 IP認(rèn)證頭AH的信息格式 圖9-3 IP認(rèn)證頭AH的信息格式 2IP ESPIP ESP也是一種安全協(xié)議，其用途在于保證IP包的保密性，因IP AH不能提供IP包的保密性服務(wù)。IP ESP的基本方法是將IP包做加密處理，對(duì)整

7、個(gè)IP包或IP的數(shù)據(jù)域進(jìn)行安全封裝，并生成帶有ESP協(xié)議信息的IP包，然后將新的IP包發(fā)送到通信的接收方。接收方收到后，對(duì)ESP進(jìn)行解密，取掉ESP頭，再對(duì)原來(lái)的IP包或更高層協(xié)議的數(shù)據(jù)像處理普通的IP包那樣進(jìn)行處理。RFC 1827中對(duì)ESP的格式作了規(guī)定，AH與ESP體制可以合用，也可以分用。 2IP ESPIP AH和IP ESP都有兩種工作模式，即透明模式(Transport mode)和隧道模式(Tunnel Mode)。透明模式只保護(hù)IP包中的數(shù)據(jù)域(data payload)，而隧道模式則保護(hù)IP的包頭和數(shù)據(jù)域。因此，在隧道模式下，將創(chuàng)建新的IP包頭，并把舊的IP包(指需做安全處

8、理的IP包)作為新的IP包數(shù)據(jù)?；贗psec技術(shù)的主要優(yōu)點(diǎn)是它的透明性，安全服務(wù)的提供不需要更改應(yīng)用程序。但是它帶來(lái)的問(wèn)題是增加了網(wǎng)絡(luò)安全管理難度，降低了網(wǎng)絡(luò)傳輸性能。IPsec還涉及到密鑰管理協(xié)議，即通信雙方的Security Association已經(jīng)事先建立成功。建立Security Association的方法可以是手工的或是自動(dòng)的。IP AH和IP ESP都有兩種工作模式，即透明模式(T手工配置的方法比較簡(jiǎn)單，雙方事先對(duì)AH Security Key、ESP Security Key等參數(shù)達(dá)成一致，然后分別寫(xiě)入雙方的數(shù)據(jù)庫(kù)中。自動(dòng)的配置方法就是雙方Security Associat

9、ion的各種參數(shù)是由KDC(Key Distributed Center)和通信雙方共同商定的，共同商定的過(guò)程就必須遵循一個(gè)共同的協(xié)議，這就是密鑰管理協(xié)議。目前，IPsec的密鑰管理協(xié)議有IKE(Internet Key Exchange)、ISAKMP(Internet Security Association and Key Management Protocal)、Oakley。 手工配置的方法比較簡(jiǎn)單，雙方事先對(duì)AH Security9.2.5 PPTPPPTP是Point-to-Point Tunneling Protocol的縮寫(xiě)，它是一個(gè)點(diǎn)到點(diǎn)安全隧道協(xié)議(PPTP)。該協(xié)議的作

10、用是給電話上網(wǎng)的用戶提供VPN安全服務(wù)。PPTP是PPP協(xié)議的一種擴(kuò)展，它提供了在IP網(wǎng)上構(gòu)建安全通道的機(jī)制。遠(yuǎn)程用戶通過(guò)PPTP 可以在客戶機(jī)和PPTP服務(wù)器之間形成一條安全隧道，從而能夠保證遠(yuǎn)程用戶安全訪問(wèn)企業(yè)的內(nèi)部網(wǎng)。 9.2.5 PPTP9.3 VPN典型應(yīng)用 9.3.1 VPN應(yīng)用類(lèi)型概況根據(jù)VPN的用途，可將它分為三種應(yīng)用類(lèi)型：遠(yuǎn)程訪問(wèn)虛擬網(wǎng)(Access VPN)、企業(yè)內(nèi)部虛擬網(wǎng)(Intranet VPN)和企業(yè)擴(kuò)展虛擬網(wǎng)(Extranet VPN)。下面分別說(shuō)明這三種類(lèi)型的VPN情況。 9.3 VPN典型應(yīng)用 9.3.1 VPN應(yīng)用類(lèi)型概況9.3.2 Access VPN Ac

11、cess VPN主要解決遠(yuǎn)程用戶安全辦公問(wèn)題，用戶既要能遠(yuǎn)程獲取企業(yè)內(nèi)部網(wǎng)信息，又要能夠保證用戶和企業(yè)內(nèi)部網(wǎng)的安全。遠(yuǎn)程用戶利用VPN技術(shù)，通過(guò)撥號(hào)、ISDN等方式接入公司內(nèi)部網(wǎng)。Access VPN一般包含兩部分，遠(yuǎn)程用戶VPN客戶端軟件和VPN接入設(shè)備，其組成結(jié)構(gòu)如圖9-4所示。 9.3.2 Access VPN 圖9-4 Access VPN應(yīng)用示意圖 圖9-4 Access VPN應(yīng)用示意圖 9.3.3 Intranet VPN 隨著業(yè)務(wù)的發(fā)展變化，企業(yè)辦公點(diǎn)不再集中在一個(gè)地點(diǎn)，而是分布在各個(gè)不同的地理區(qū)域，甚至是跨越不同的國(guó)家。因而，企業(yè)的信息環(huán)境也隨之變化，針對(duì)企業(yè)的這種情況，In

12、tranet VPN的用途就是通過(guò)公用網(wǎng)絡(luò)，如因特網(wǎng)，把分散在不同地理區(qū)域的企業(yè)辦公點(diǎn)的局域網(wǎng)安全地互連起來(lái)，實(shí)現(xiàn)企業(yè)內(nèi)部信息的安全共享和企業(yè)辦公自動(dòng)化。Intranet VPN一般的組成結(jié)構(gòu)如圖9-5所示。 9.3.3 Intranet VPN 圖9-5 Intranet VPN示意圖 圖9-5 Intranet VPN示意圖 9.3.4 Extranet VPN 由于企業(yè)合作伙伴的主機(jī)和網(wǎng)絡(luò)分布在不同地理位置上，傳統(tǒng)上一般通過(guò)專(zhuān)線互連實(shí)現(xiàn)信息交換，但是如此一來(lái)網(wǎng)絡(luò)建設(shè)與管理維護(hù)都非常困難，造成企業(yè)間的商業(yè)交易程序復(fù)雜化。Extranet VPN則是利用VPN技術(shù)，在公共通信基礎(chǔ)設(shè)施(如因特網(wǎng))上把合作伙伴的網(wǎng)絡(luò)或主機(jī)安全接到企業(yè)內(nèi)部網(wǎng)，以方便企業(yè)與合作伙伴共享信息和服務(wù)。Extranet VPN解決了企業(yè)外部機(jī)構(gòu)的接入安全和通信安全，同時(shí)也降低了網(wǎng)絡(luò)建設(shè)成本。 9.3.4 Extranet VPN 9.4 本 章 小 結(jié) VPN是信息安全的重要保證技術(shù)之一，隨著網(wǎng)絡(luò)應(yīng)用的深入，VPN將會(huì)起到越來(lái)越重要的作用。本章介紹了VPN的基本概念和作用，重點(diǎn)分析了VPN中的關(guān)鍵技術(shù)和重