虛擬專用網(wǎng)絡(luò)(VPN)5

5虛擬專用網(wǎng)絡(luò)（VPN）目前的網(wǎng)絡(luò)狀況竊聽者公鑰基礎(chǔ)設(shè)施PKI！如何保證公司網(wǎng)絡(luò)資源的安全?如何面對Internet通信的增加、新的應(yīng)用服務(wù)和減少成本？如何共享和保護通過Internet,Extranets和

Intranets的信息?如何在合作伙伴之間布置一個靈活和模塊化的解決方案？如何有效的管理這一切？誰能提供這一切滿足未來的需要？用戶面臨的挑戰(zhàn)傳統(tǒng)遠程通信連接方式企業(yè)總部外地分公司客戶及供應(yīng)商外地出差員工租用專用線路

T1，幀中繼ISDN,ATM當(dāng)?shù)仉娦啪謱Ｓ镁W(wǎng)絡(luò)的優(yōu)點信息被保留“在文件夾里”遠程站點可以立即交換信息遠程用戶沒有隔離感專用網(wǎng)絡(luò)的缺點成本太高，不經(jīng)濟超出預(yù)算，不現(xiàn)實

$$VPN應(yīng)用VPN進行遠程通信客戶及供應(yīng)商外地出差員工外地分公司企業(yè)總部InternetVPN隧道使用VPN解決方案的優(yōu)勢防止數(shù)據(jù)在公網(wǎng)傳輸中被竊聽防止數(shù)據(jù)在公網(wǎng)傳輸中被篡改可以驗證數(shù)據(jù)的真實來源成本低廉（相對于專線、長途撥號）應(yīng)用靈活、可擴展性好本章提要VPN概述VPN關(guān)鍵技術(shù)實施VPN的價值§5.1VPN概述VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)：針對傳統(tǒng)的“企業(yè)專用網(wǎng)絡(luò)”而言的，它是指在公共網(wǎng)絡(luò)上通過隧道和/或加密技術(shù)，為企業(yè)所建立的邏輯上的專用網(wǎng)絡(luò)。VPN以公用開放的網(wǎng)絡(luò)(如Internet)作為基本傳輸媒體，通過加密和驗證網(wǎng)絡(luò)流量來保護在公共網(wǎng)絡(luò)上傳輸?shù)乃接行畔⒉粫桓`取和篡改，從而向最終用戶提供類似于私有網(wǎng)絡(luò)(PrivateNetwork)性能的網(wǎng)絡(luò)服務(wù)技術(shù)。VPN定義§5.1VPN概述VPN依靠ISP（Internet服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在Internet公共網(wǎng)絡(luò)中建立局域網(wǎng)絡(luò)之間或單點之間、臨時的、專用的、安全的、穩(wěn)定的數(shù)據(jù)通信網(wǎng)絡(luò)（隧道）的技術(shù)VPN定義網(wǎng)絡(luò)資源的專用性：即VPN網(wǎng)絡(luò)資源（如信道和帶寬）在企業(yè)需要時可被企業(yè)專門使用；不需要時又可被其它VPN用戶使用，企業(yè)用戶可以獲得像傳統(tǒng)專用網(wǎng)一樣的服務(wù)質(zhì)量；網(wǎng)絡(luò)的安全性：VPN用戶的信息不會流出VPN的范圍之外，用戶信息受到VPN網(wǎng)絡(luò)的保護，可以實現(xiàn)用戶信息在公共網(wǎng)絡(luò)傳輸中隱蔽性§5.1VPN概述VPN可以省去專線租用費用或者長距離電話費用，大大降低成本VPN可以充分利用Internet公網(wǎng)資源，快速地建立起公司的廣域連接VPN定義虛擬專用網(wǎng)基礎(chǔ)結(jié)構(gòu)§5.1VPN概述VPN通過一個私有的通道來創(chuàng)建一個安全的私有連接，將遠程用戶、公司分支機構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來，形成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的主機都處于一個網(wǎng)絡(luò)之中。主要目的是保護傳輸數(shù)據(jù)，是保護從信道的一個端點到另一端點傳輸?shù)男畔⒘?。信道的端點之前和之后，VPN不提供任何的數(shù)據(jù)包保護。VPN目的§5.1VPN概述加密數(shù)據(jù)。以保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私孬@也不會泄露。信息驗證和身份識別。保證信息的完整性、合理性，并能鑒別用戶的身份。提供訪問控制。不同的用戶有不同的訪問權(quán)限。地址管理。VPN方案必須能夠為用戶分配專用網(wǎng)絡(luò)上的地址并確保地址的安全性。密鑰管理。VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。多協(xié)議支持。VPN方案必須支持公共因特網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP、IPX等。VPN基本功能§5.1VPN概述安全性：隧道、加密、密鑰管理、數(shù)據(jù)包認證、用戶認證、訪問控制可靠性：硬件、軟件、基礎(chǔ)網(wǎng)絡(luò)的可靠性可管理性：記帳、審核、日志的管理；是否支持集中的安全控制策略可擴展性：是否考慮采用硬件加速加解密速度；支持多種類型的數(shù)據(jù)流、方便增加新的節(jié)點、支持多種類型的傳輸媒介VPN特性§5.1VPN概述可用性：系統(tǒng)對應(yīng)用盡量透明；對終端用戶來說使用方便互操作性：盡量采用標(biāo)準協(xié)議，與其他供應(yīng)商的設(shè)備能互通服務(wù)質(zhì)量QoS：通過Internet連接的VPN服務(wù)質(zhì)量很大程度取決于Internet的狀況;為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證；充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬多協(xié)議支持VPN特性§5.1VPN概述VPN服務(wù)器端：

能夠接收和驗證VPN連接請求并處理數(shù)據(jù)打包和解包工作的一臺計算機或設(shè)備。VPN服務(wù)器端操作系統(tǒng)可以是WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相關(guān)組件為系統(tǒng)自帶；要求VPN服務(wù)器已經(jīng)接入Internet，并且擁有一個獨立的公網(wǎng)IP。VPN組成§5.1VPN概述VPN客戶端：能夠發(fā)起VPN連接請求并且也可以進行數(shù)據(jù)打包和解包工作的一臺計算機或設(shè)備。VPN客戶機端操作系統(tǒng)可以選擇Windows98／WindowsNT4.0／Windows2000／WindowsXP／Windows2003；相關(guān)組件為系統(tǒng)自帶；、要求VPN客戶機已經(jīng)接入Internet。VPN組成§5.1VPN概述VPN數(shù)據(jù)通道：一條建立在公用網(wǎng)絡(luò)上的數(shù)據(jù)連接。其實，所謂的服務(wù)器端和客戶端在VPN連接建立之后，在通信過程中扮演的角色是一樣的，區(qū)別僅在于連接是由誰發(fā)起的而已。VPN組成實例：基于windowsXP配置VPN服務(wù)器與客戶端§5.1VPN概述VPN分類按應(yīng)用范圍分：內(nèi)部網(wǎng)遠程訪問Internet合作伙伴分支機構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)ExtranetVPNIntranetVPNAccessVPN§5.1VPN概述AccessVPN又稱為撥號VPN(即VPDN)，是指企業(yè)員工或企業(yè)的小分支機構(gòu)通過公網(wǎng)遠程撥號的方式構(gòu)筑的虛擬網(wǎng)。用于實現(xiàn)移動用戶或遠程辦公室安全訪問企業(yè)網(wǎng)絡(luò).是個人計算機與企業(yè)站點之間的虛擬專用網(wǎng)絡(luò)典型的遠程訪問VPN是用戶通過本地的信息服務(wù)提供商(ISP)登錄到因特網(wǎng)上，并在現(xiàn)在的辦公室和公司內(nèi)部網(wǎng)之間建立一條加密信道。VPN分類：按應(yīng)用VPN隧道對于外出旅行的員工而言，無論他們位于何處，都可訪問電子郵件、文件和內(nèi)部系統(tǒng)，無需使用昂貴的長途電話連接撥號服務(wù)器在家工作的員工可以像在企業(yè)的辦公室中工作的員工一樣訪問網(wǎng)絡(luò)服務(wù)，而無需使用昂貴的租用線路。企業(yè)內(nèi)部網(wǎng)VPN服務(wù)器可以是機構(gòu)的防火墻或單獨的VPN服務(wù)器用戶通過本地ISP撥號、DSL線路或調(diào)制解調(diào)器連接到Internet，并通過Internet與公司企業(yè)站點建立一個VPN。TCP/IP協(xié)議棧

用戶計算機

VPN服務(wù)器

內(nèi)部網(wǎng)絡(luò)

VPN軟件

其他Internet通信數(shù)據(jù)

內(nèi)部網(wǎng)絡(luò)

InternetVPN通道§5.1VPN概述AccessVPN公司企業(yè)的站點需要用戶認證AccessVPN可以讓機構(gòu)限制遠程用戶能夠訪問的系統(tǒng)或文件VPN分類：按應(yīng)用§5.1VPN概述IntranetVPN用于組建跨地區(qū)的企業(yè)內(nèi)部互聯(lián)網(wǎng)絡(luò)即企業(yè)的總部與分支機構(gòu)間通過公網(wǎng)構(gòu)筑的虛擬網(wǎng)這種類型的連接帶來的風(fēng)險最小，因為公司通常認為他們的分支機構(gòu)是可信的，并將它作為公司網(wǎng)絡(luò)的擴展。內(nèi)部網(wǎng)VPN的安全性取決于兩個VPN服務(wù)器之間加密和驗證手段上。VPN分類：按應(yīng)用§5.1VPN概述IntranetVPNVPN分類：按應(yīng)用企業(yè)內(nèi)部網(wǎng)絡(luò)VPN通道遠程局域網(wǎng)§5.1VPN概述ExtranetVPN用于企業(yè)與客戶、合作伙伴之間建立互聯(lián)網(wǎng)絡(luò)。即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后，使不同企業(yè)網(wǎng)通過公網(wǎng)來構(gòu)筑的虛擬網(wǎng)。它能保證包括TCP和UDP服務(wù)在內(nèi)的各種應(yīng)用服務(wù)的安全，如Email、HTTP、FTP、RealAudio、數(shù)據(jù)庫的安全以及一些應(yīng)用程序如Java、ActiveX的安全。VPN分類：按應(yīng)用§5.1VPN概述ExtranetVPNVPN分類：按應(yīng)用外部網(wǎng)服務(wù)器VPN通道§5.1VPN概述ExtranetVPN與IntranetVPNVPN分類：按應(yīng)用跨Internet的站點到站點的VPN

VPN機構(gòu)內(nèi)部網(wǎng)絡(luò)遠程站點內(nèi)部網(wǎng)絡(luò)Internet主要站點防火墻遠程站點防火墻§5.1VPN概述ExtranetVPN與IntranetVPN啟動連接時，一個站點會試圖向另一個站點發(fā)送通信數(shù)據(jù)，在兩個VPN端啟動VPN兩個端點協(xié)商連接參數(shù)VPN兩端進行認證可以作為租用線路的備份VPN分類：按應(yīng)用優(yōu)點：節(jié)約成本；性價比較高；可以嚴格限制對內(nèi)部網(wǎng)絡(luò)和計算機系統(tǒng)的訪問§5.2安全VPN的關(guān)鍵技術(shù)VPN主要采用以下四項技術(shù)來保證安全：

隧道技術(shù)加解密技術(shù)密鑰管理技術(shù)使用者與設(shè)備身份認證技術(shù)VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

隧道是在公用IP網(wǎng)中建立邏輯點到點連接的一種方法，是一個疊加在IP網(wǎng)上的傳送通道VPN中的隧道是由隧道協(xié)議形成的實質(zhì)上是一種封裝，將一種協(xié)議（協(xié)議X）封裝在另一種協(xié)議（協(xié)議Y）中傳輸，從而實現(xiàn)協(xié)議X對公用傳輸網(wǎng)絡(luò)(采用協(xié)議Y)的透明性VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

VPN使用的隧道協(xié)議主要有:第二層隧道協(xié)議:PPTP、L2F、L2TP第三層隧道協(xié)議：GRE、IPSECVPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)VPN的隧道協(xié)議：

無論何種隧道協(xié)議，其數(shù)據(jù)包格式都是由乘客協(xié)議、封裝協(xié)議和傳輸協(xié)議3部分組成的。下面我們以L2TP為例，如下圖所示，看一下隧道協(xié)議的組成。VPN安全技術(shù)用戶要傳輸?shù)臄?shù)據(jù)，也就是被封裝的數(shù)據(jù)，包括IP、PPP、SLIP等；用于建立、保持和拆卸隧道。包括L2F、PPTP、L2TP、GRE等。乘客協(xié)議被封裝之后應(yīng)用傳輸協(xié)議§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：

第二層隧道協(xié)議用于傳輸?shù)诙泳W(wǎng)絡(luò)協(xié)議，主要應(yīng)用于構(gòu)建AccessVPN。第二層隧道協(xié)議主要有三種：由CiscoNortel等公司支持的L2F協(xié)議，Cisco路由器中支持此協(xié)議；Microsoft、Ascend、3COM等公司支持的PPTP協(xié)議，WindowsNT4.0以上版本中支持此協(xié)議；成為二層隧道協(xié)議工業(yè)標(biāo)準的是由IETF起草并由Microsoft、Ascend、Cisco、3COM等公司參與制定的L2TP協(xié)議，它結(jié)合了上述兩個協(xié)議的優(yōu)點。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：LTF(LayerTwoForwardingProtocol)

L2F(二層轉(zhuǎn)發(fā)協(xié)議)是由Cisco公司提出的隧道技術(shù),可以支持多種傳輸協(xié)議，如IP、ATM、幀中繼1)遠端用戶通過任何撥號方式接入公共IP網(wǎng)絡(luò)，例如，按常規(guī)方式撥號到ISP的NAS，建立PPP連接；2)NAS根據(jù)用戶名等信息，發(fā)起第二重連接，通向企業(yè)的本地L2F網(wǎng)關(guān)服務(wù)器，3)這個L2F服務(wù)器把數(shù)據(jù)包解包之后發(fā)送到企業(yè)內(nèi)部網(wǎng)上在L2F中，隧道的配置和建立對用戶是完全透明的，L2F沒有確定的客戶方。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP(PointtoPointTunnelingProtocol)

點到點隧道協(xié)議（PPTP）是由PPTP論壇開發(fā)的點到點的安全隧道協(xié)議，為使用電話上網(wǎng)的用戶提供安全VPN業(yè)務(wù)。該協(xié)議將PPP數(shù)據(jù)包封裝在IP數(shù)據(jù)包內(nèi)通過IP網(wǎng)絡(luò)（如Internet或Intranet）進行傳送。PPTP是PPP協(xié)議的一種擴展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，遠端用戶能夠通過任何支持PPTP的ISP訪問企業(yè)的專用網(wǎng)絡(luò)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

PPTP協(xié)議提供了PPTP客戶端和PPTP服務(wù)器之間的加密通信。PPTP客戶端和服務(wù)器進行VPN通信的前提是二者之間有連通且可用的IP網(wǎng)絡(luò)，也就是說PPTP客戶端必須能夠通過IP網(wǎng)絡(luò)訪問PPTP服務(wù)器。windows中集成了PPTPServer和Client，適合中小企業(yè)支持少量移動工作者如果有防火墻的存在或使用了地址轉(zhuǎn)換，PPTP可能無法工作VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

PPTP通信時，客戶機和服務(wù)器間有2個通道，一個通道是PPTP服務(wù)器的tcp1723端口的控制連接：通過控制報文負責(zé)PPTP隧道的建立、維護和斷開；在創(chuàng)建基于PPTP的VPN連接過程中，使用的認證機制主要有EAP、MS-CHAP、CHAP、SPAP和PAP。通過PPP協(xié)議的MPPE（MicrosoftPointtoPointEncryption，微軟點對點加密技術(shù)）進行加密，另一個通道是傳輸GREPPP數(shù)據(jù)包的IP隧道通過數(shù)據(jù)報文負責(zé)傳輸用戶的真正數(shù)據(jù)。VPN安全技術(shù)數(shù)據(jù)鏈路層報頭IP報頭GRE報頭PPP報頭數(shù)據(jù)鏈路層報尾加密PPP有效載荷用戶的數(shù)據(jù)可以是多種協(xié)議，比如IP數(shù)據(jù)包、IPX數(shù)據(jù)包或者NetBEUI數(shù)據(jù)包。§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：PPTP

與L2F相比，PPTP把建立隧道的主動權(quán)交給了用戶，但用戶需要在其PC機上配置PPTP，這樣不僅增加了用戶的工作量，而且造成網(wǎng)絡(luò)的安全隱患PPTP只支持IP作為其傳輸協(xié)議。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP（LayerTwoTunnelingProtocol

L2TP(二層隧道協(xié)議）結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起VPN連接二層隧道協(xié)議的工業(yè)標(biāo)準，并得到眾廠商的支持支持IP、X.25、幀中繼或ATM等作為傳輸協(xié)議，但目前僅定義了基于IP網(wǎng)絡(luò)的L2TP?？捎糜贗nternet和其他企業(yè)專用Intranet中。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP連接過程

VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第二層隧道協(xié)議：L2TP

L2TP通信時，客戶機和服務(wù)器間也有2個通道，一個通道是L2TP服務(wù)器的udp端口的控制連接：通過控制報文負責(zé)隧道的建立、維護和斷開；在創(chuàng)建基于L2TP的VPN連接過程中，使用的認證機制主要有EAP、MS-CHAP、CHAP、SPAP和PAP。通過IPSecESP進行加密，另一個通道是傳輸多層封裝數(shù)據(jù)包的IP隧道通過數(shù)據(jù)報文負責(zé)傳輸用戶的真正數(shù)據(jù)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：

第三層隧道協(xié)議用于傳輸?shù)谌龑泳W(wǎng)絡(luò)協(xié)議，主要包括：由Cisco和NetSmiths公司支持的的GRE由IETF制定的新一代Internet安全標(biāo)準IPSec協(xié)議VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

GRE是通用的路由封裝協(xié)議，支持全部的路由協(xié)議用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包，包括IP、IPX、NetBEUI、AppleTalk、BanyanVINES、DECnet等。在GRE中，乘客協(xié)議就是上面這些被封裝的協(xié)議，封裝協(xié)議就是GRE，傳輸協(xié)議就是IP。GRE是一種通用的封裝形式。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

通過GRE，用戶可以利用公共IP網(wǎng)絡(luò)連接非IP網(wǎng)絡(luò)，使所有協(xié)議的私有網(wǎng)絡(luò)連接起來。通過GRE，還可以使用保留地址進行網(wǎng)絡(luò)互聯(lián)，或者對公網(wǎng)隱藏企業(yè)網(wǎng)的IP地址。GRE只提供封裝，不提供加密，對路由器的性能影響較小，設(shè)備檔次要求相對較低。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：GRE（GenericRoutingEncapsulation）

GREVPN適合一些小型點對點的網(wǎng)絡(luò)互聯(lián)、實時性要求不高、要求提供地址空間重疊支持的網(wǎng)絡(luò)環(huán)境。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

IPSec由IETF設(shè)計的作為基于IP通信環(huán)境（IPV4和IPV6環(huán)境）下一種端到端的保證數(shù)據(jù)安全的機制IPSec協(xié)議已經(jīng)成為工業(yè)標(biāo)準的網(wǎng)絡(luò)安全協(xié)議。IPSec協(xié)議提供的安全服務(wù)包括：訪問控制、無連接完整性、數(shù)據(jù)源鑒別、重傳攻擊保護、機密性、有限的流量保密等。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

提供了大量的安全特性：提供認證，加密，數(shù)據(jù)完整性和抗重放保護；加密密鑰的安全產(chǎn)生和自動更新；使用強加密算法來保證安全性；支持基于證書的認證；支持下一代加密算法和密鑰交換協(xié)議；為L2TP和PPTP遠程接入隧道協(xié)議提供安全性VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包IPSec不是一個單獨的協(xié)議，而是一組協(xié)議，包含兩個安全協(xié)議和一個密鑰管理協(xié)議VPN安全技術(shù)IPSec數(shù)據(jù)包的格式

身份認證報頭——AH協(xié)議：提供數(shù)據(jù)源身份認證、數(shù)據(jù)完整性保護、重放攻擊保護功能負載安全封裝——ESP協(xié)議：提供數(shù)據(jù)保密、數(shù)據(jù)源身份認證、數(shù)據(jù)完整性、重放攻擊保護功能因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議——IKE：提供自動建立安全關(guān)聯(lián)和管理密鑰的功能；從而提供雙方交流時的共享安全信息§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

AH（認證報頭協(xié)議）為IP數(shù)據(jù)包提供如下3種服務(wù)：無連接的數(shù)據(jù)完整性驗證：通過哈希函數(shù)（如MD5）產(chǎn)生的校驗來保證數(shù)據(jù)源身份認證：數(shù)據(jù)源身份認證通過在計算驗證碼時加入一個共享密鑰來實現(xiàn)；防重放攻擊：AH報頭中的序列號VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

ESP（封裝安全有效載荷協(xié)議）除了AH已有的3種服務(wù)外，還提供：數(shù)據(jù)包加密：對一個IP包進行加密，可以是對整個IP包，也可以只加密IP包的載荷部分，一般用于客戶端計算機；數(shù)據(jù)流加密:一般用于支持IPSec的路由器，源端路由器并不關(guān)心IP包的內(nèi)容，對整個IP包進行加密后傳輸，目的端路由器將該包解密后將原始包繼續(xù)轉(zhuǎn)發(fā)。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

AH和ESP可以單獨使用，也可以嵌套使用。通過這些組合方式，可以在兩臺主機、兩臺安全網(wǎng)關(guān)（防火墻和路由器），或者主機與安全網(wǎng)關(guān)之間使用。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

IKE(因特網(wǎng)密鑰交換協(xié)議)：協(xié)商AH和ESP協(xié)議所使用的加密算法。IKE協(xié)議負責(zé)密鑰管理，定義了通信實體間進行身份認證、協(xié)商加密算法以及生成共享的會話密鑰的方法。IKE將密鑰協(xié)商的結(jié)果保留在安全聯(lián)盟（SA）中，供AH和ESP以后通信時使用。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

SA(安全聯(lián)盟)：兩臺IPSec計算機在交換數(shù)據(jù)之前，必須首先建立某種約定，這種約定，稱為“安全聯(lián)盟”或“安全關(guān)聯(lián)”。指雙方需要就如何保護信息、交換信息等公用的安全設(shè)置達成一致，更重要的是，必須有一種方法，使那兩臺計算機安全地交換一套密鑰，以便在它們的連接中使用。一個安全聯(lián)盟描述了兩個或者多個實體如何使用安全服務(wù)來實現(xiàn)安全通信。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

SA(安全聯(lián)盟)：AH和ESP都需要使用SA，而IKE的主要功能就是SA的建立和維護。只要實現(xiàn)AH和ESP都必須提供對SA的支持。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec

VPN安全技術(shù)解釋域（DOI）為使用IKE進行協(xié)商SA的協(xié)議統(tǒng)一分配標(biāo)識符。共享一個DOI的協(xié)議從一個共同的命名空間中選擇安全協(xié)議和變換、共享密碼以及交換協(xié)議的標(biāo)識符等§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec工作模式

傳輸模式只對IP數(shù)據(jù)包的有效負載進行加密或認證。即為上層協(xié)議提供安全保護，保護的是IP包的有效載荷(如TCP,UDP和ICMP)。通常情況下傳輸模式只用于兩臺主機之間的安全通信。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec工作模式

隧道模式對整個IP數(shù)據(jù)包進行加密或認證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個新的IP頭。所有原始的或內(nèi)部包通過這個隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報頭，不檢查內(nèi)部原來的IP報頭。隧道模式通常用在有至少一端是安全網(wǎng)關(guān)的時候，如防火墻和路由器。使用隧道模式后，防火墻后面的主機可以使用內(nèi)部地址進行通信，而且不需要實現(xiàn)IPSec。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第三層隧道協(xié)議：IPSec體系結(jié)構(gòu)模型圖

VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第四層隧道協(xié)議：IPSec工作模式

隧道模式對整個IP數(shù)據(jù)包進行加密或認證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個新的IP頭。所有原始的或內(nèi)部包通過這個隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報頭，不檢查內(nèi)部原來的IP報頭。隧道模式通常用在有至少一端是安全網(wǎng)關(guān)的時候，如防火墻和路由器。使用隧道模式后，防火墻后面的主機可以使用內(nèi)部地址進行通信，而且不需要實現(xiàn)IPSec。VPN安全技術(shù)§5.2安全VPN的關(guān)鍵技術(shù)第四層隧道協(xié)議：IPSec工作模式

隧道模式對整個IP數(shù)據(jù)包進行加密或認證。隧道模式首先為原始IP包增加AH或ESP字段，然后再在外部增加一個新的IP頭。所有原始的或內(nèi)部包通過這個隧道從IP網(wǎng)的一端傳遞到另一端，沿途的路由器只檢查最外面的IP報頭，不檢查內(nèi)部原來的IP報頭。隧道模式通常用在有至少一端是安全網(wǎng)關(guān)的時候，如防火墻和路由器。使用隧道模式后，防火墻后面的主機可以使用內(nèi)部地址進行通信，而且不需要實現(xiàn)IPSec。VPN安全技術(shù)IPSECVPN功能1-數(shù)據(jù)機密性保護撥號服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)DDN/FRX.25專線SSN區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸IPSECVPN功能2-數(shù)據(jù)完整性保護內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)Internet原始數(shù)據(jù)包對原始數(shù)據(jù)包進行Hash加密后的數(shù)據(jù)包摘要Hash摘要對原始數(shù)據(jù)包進行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進行比較，驗證數(shù)據(jù)的完整性IPSECVPN功能3-數(shù)據(jù)源身份認證內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點子網(wǎng)下屬機構(gòu)Internet原始數(shù)據(jù)包對原始數(shù)據(jù)包進行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對方驗證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗證通過IPSECVPN功能4-重放攻擊保護保留負載長度認證數(shù)據(jù)（完整性校驗值ICV）變長序列號安全參數(shù)索引（SPI）下一頭部填充（0~255字節(jié)）下一頭部填充長度認證數(shù)據(jù)（變長的）負載數(shù)據(jù)（變長的）序列號安全參數(shù)索引（SPI）AH協(xié)議頭ESP協(xié)議頭SA建立之初，序列號初始化為0，使用該SA傳遞的第一個數(shù)據(jù)包序列號為1，序列號不允許重復(fù)，因此每個SA所能傳遞的最大IP報文數(shù)為232—1，當(dāng)序列號達到最大時，就需要建立一個新的SA，使用新的密鑰。IPSECVPN建立方式1-Host-H