VPN技術(shù)及應(yīng)用課件

VPN技術(shù)及應(yīng)用VPN技術(shù)及其應(yīng)用1.概述2.VPN功能3.VPN工作原理4.VPN具體應(yīng)用5.安全風(fēng)險(xiǎn)1.概述VPN－－VirtualPrivateNetwork，虛擬專用網(wǎng)依靠ISP（因特網(wǎng)服務(wù)提供商）和其他NSP（網(wǎng)絡(luò)服務(wù)提供商），在公共的網(wǎng)絡(luò)中建立的僅在邏輯上存在的專線網(wǎng)。1.概述公共網(wǎng)絡(luò)VPN邏輯等價(jià)示意圖遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)合作伙伴分支機(jī)構(gòu)虛擬私有網(wǎng)虛擬私有網(wǎng)虛擬私有網(wǎng)VPN是企業(yè)網(wǎng)在因特網(wǎng)上的延伸VPN的典型應(yīng)用1.概述遠(yuǎn)程訪問(wèn)Internet內(nèi)部網(wǎng)分支機(jī)構(gòu)安全網(wǎng)關(guān)安全網(wǎng)關(guān)ISP接入設(shè)備端到端數(shù)據(jù)通路的典型構(gòu)成撥入段外部段（公共因特網(wǎng)）內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò)1.概述概述1.1.VPN類型基于IPSec的VPN提供的服務(wù)數(shù)據(jù)源身份認(rèn)證數(shù)據(jù)完整性數(shù)據(jù)保密重演攻擊保護(hù)自動(dòng)的密鑰管理和安全關(guān)聯(lián)管理

AH協(xié)議

ESP協(xié)議

ISAKMP/Oakley協(xié)議基于IPSec的VPN解決方案需要用到如下的協(xié)議：詳細(xì)情況將在IPSec協(xié)議體系中講解1.概述1.概述1.1VPN類型基于第二層的VPN構(gòu)架公司內(nèi)部網(wǎng)撥號(hào)連接因特網(wǎng)L2TP通道L2TP通道1.概述1.1VPN類型基于第二層的VPN用于該層的協(xié)議主要有：

L2TP：Lay2TunnelingProtocolPPTP：Point-to-PointTunnelingProtocolL2F：Lay2ForwardingL2TP的缺陷：僅對(duì)通道的終端實(shí)體進(jìn)行身份認(rèn)證，而不認(rèn)證通道中流過(guò)的每一個(gè)數(shù)據(jù)報(bào)文，無(wú)法抵抗插入攻擊、地址欺騙攻擊。沒(méi)有針對(duì)每個(gè)數(shù)據(jù)報(bào)文的完整性校驗(yàn)，就有可能進(jìn)行拒絕服務(wù)攻擊：發(fā)送假冒的控制信息，導(dǎo)致L2TP通道或者底層PPP連接的關(guān)閉。雖然PPP報(bào)文的數(shù)據(jù)可以加密，但PPP協(xié)議不支持密鑰的自動(dòng)產(chǎn)生和自動(dòng)刷新，因而監(jiān)聽(tīng)的攻擊者就可能最終破解密鑰，從而得到所傳輸?shù)臄?shù)據(jù)。1.概述1.1VPN類型非IPSEC的網(wǎng)絡(luò)層VPN網(wǎng)絡(luò)地址轉(zhuǎn)換由于AH協(xié)議需要對(duì)整個(gè)數(shù)據(jù)包做認(rèn)證，因此使用AH協(xié)議后不能使用NAT包過(guò)濾由于使用ESP協(xié)議將對(duì)數(shù)據(jù)包的全部或部分信息加密，因此基于報(bào)頭或者數(shù)據(jù)區(qū)內(nèi)容進(jìn)行控制過(guò)濾的設(shè)備將不能使用服務(wù)質(zhì)量由于AH協(xié)議將IP協(xié)議中的TOS位當(dāng)作可變字段來(lái)處理，因此，可以使用TOS位來(lái)控制服務(wù)質(zhì)量1.概述1.1VPN類型非IPSEC的應(yīng)用層VPNSOCKS位于OSI模型的會(huì)話層，在SOCKS協(xié)議中，客戶程序通常先連接到防火墻1080端口，然后由Firewall建立到目的主機(jī)的單獨(dú)會(huì)話，效率低，但會(huì)話控制靈活性大SSL屬于高層安全機(jī)制，廣泛用于WebBrowseandWebServer，提供對(duì)等的身份認(rèn)證和應(yīng)用數(shù)據(jù)的加密。在SSL中，身份認(rèn)證是基于證書的，屬于端到端協(xié)議，不需要中間設(shè)備如：路由器、防火墻的支持1.概述1.1VPN類型非IPSEC的應(yīng)用層VPNS-HTTP提供身份認(rèn)證、數(shù)據(jù)加密，比SSL靈活，但應(yīng)用很少，因SSL易于管理S-MIME一個(gè)特殊的類似于SSL的協(xié)議，屬于應(yīng)用層安全體系，但應(yīng)用僅限于保護(hù)電子郵件系統(tǒng)，通過(guò)加密和數(shù)字簽名來(lái)保障郵件的安全，這些安全都是基于公鑰技術(shù)的，雙方身份靠X.509證書來(lái)標(biāo)識(shí)，不需要FirewallandRouter的支持NetworkInterface(DataLink)IP(Internetwork)TCP/UDP(Transport)

S—MIMEKerberosProxiesSETIPSec(ISAKMP)

SOCKSSSL,TLS

IPSec(AH,ESP)PacketFilteringTunnelingProtocols

CHAP,PAP,MS-CHAPApplication1.概述TCP/IP協(xié)議棧與對(duì)應(yīng)的VPN協(xié)議1.概述類型對(duì)比網(wǎng)絡(luò)層對(duì)所有的上層數(shù)據(jù)提供透明方式的保護(hù)，但無(wú)法為應(yīng)用提供足夠細(xì)的控制粒度數(shù)據(jù)到了目的主機(jī)，基于網(wǎng)絡(luò)層的安全技術(shù)就無(wú)法繼續(xù)提供保護(hù)，因此在目的主機(jī)的高層協(xié)議棧中很容易受到攻擊應(yīng)用層的安全技術(shù)可以保護(hù)堆棧高層的數(shù)據(jù)，但在傳遞過(guò)程中，無(wú)法抵抗常用的網(wǎng)絡(luò)層攻擊手段，如源地址、目的地址欺騙應(yīng)用層安全幾乎更加智能，但更復(fù)雜且效率低因此可以在具體應(yīng)用中采用多種安全技術(shù)，取長(zhǎng)補(bǔ)短1.概述VPN的優(yōu)點(diǎn)建網(wǎng)快速投資低節(jié)約使用成本安全可靠簡(jiǎn)化用戶對(duì)網(wǎng)絡(luò)的維護(hù)及管理工作易于擴(kuò)展VPN技術(shù)及其應(yīng)用1.概述2.VPN功能3.IPSECVPN工作原理4.VPN具體應(yīng)用5.安全風(fēng)險(xiǎn)2.VPN功能2.1基本功能數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證重放攻擊保護(hù)2.VPN功能2.1基本功能數(shù)據(jù)機(jī)密性服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)源身份認(rèn)證防重演攻擊撥號(hào)服務(wù)器PSTN

Internet區(qū)域Internet邊界路由器內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線SSN區(qū)域WWWMailDNS密文傳輸明文傳輸明文傳輸數(shù)據(jù)機(jī)密性2.VPN功能2.1基本功能數(shù)據(jù)機(jī)密性服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)源身份認(rèn)證防重演攻擊內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行Hash加密后的數(shù)據(jù)包摘要Hash摘要對(duì)原始數(shù)據(jù)包進(jìn)行加密加密后的數(shù)據(jù)包加密加密后的數(shù)據(jù)包摘要加密后的數(shù)據(jù)包摘要摘要解密原始數(shù)據(jù)包Hash原始數(shù)據(jù)包與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性數(shù)據(jù)完整性2.VPN功能2.1基本功能數(shù)據(jù)機(jī)密性服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)源身份認(rèn)證防重演攻擊內(nèi)部工作子網(wǎng)管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)下屬機(jī)構(gòu)DDN/FRX.25專線原始數(shù)據(jù)包對(duì)原始數(shù)據(jù)包進(jìn)行HashHash摘要加密摘要摘要取出DSS原始數(shù)據(jù)包Hash原始數(shù)據(jù)包兩摘要相比較私鑰原始數(shù)據(jù)包DSSDSS將數(shù)字簽名附在原始包后面供對(duì)方驗(yàn)證簽名得到數(shù)字簽名原始數(shù)據(jù)包DSS原始數(shù)據(jù)包DSSDSS解密相等嗎？驗(yàn)證通過(guò)數(shù)據(jù)源身份認(rèn)證2.VPN功能2.1基本功能數(shù)據(jù)機(jī)密性服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)源身份認(rèn)證防重演攻擊保留負(fù)載長(zhǎng)度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長(zhǎng)序列號(hào)安全參數(shù)索引（SPI）下一頭部填充（0~255字節(jié)）下一頭部填充長(zhǎng)度認(rèn)證數(shù)據(jù)（變長(zhǎng)的）負(fù)載數(shù)據(jù)（變長(zhǎng)的）序列號(hào)安全參數(shù)索引（SPI）AH協(xié)議頭ESP協(xié)議頭SA建立之初，序列號(hào)初始化為0，使用該SA傳遞的第一個(gè)數(shù)據(jù)包序列號(hào)為1，序列號(hào)不允許重復(fù)，因此每個(gè)SA所能傳遞的最大IP報(bào)文數(shù)為232—1，當(dāng)序列號(hào)達(dá)到最大時(shí)，就需要建立一個(gè)新的SA，使用新的密鑰。防重演攻擊VPN技術(shù)及其應(yīng)用1.概述2.VPN功能3.IPSECVPN工作原理4.VPN具體應(yīng)用5.安全風(fēng)險(xiǎn)VPN技術(shù)及其應(yīng)用3.IPSECVPN工作原理概念框架AH協(xié)議ESP協(xié)議密鑰協(xié)商協(xié)議VPN隧道的建立過(guò)程VPN技術(shù)及其應(yīng)用3.IPSECVPN工作原理概念框架AH協(xié)議ESP協(xié)議密鑰協(xié)商協(xié)議VPN隧道的建立過(guò)程〈SecurityParameterIndex,IPDestinationAddress,SecurityProtocol〉

隧道

將一個(gè)數(shù)據(jù)報(bào)用一個(gè)新的數(shù)據(jù)報(bào)封裝安全關(guān)聯(lián)(SA)SA就是兩個(gè)IPSec系統(tǒng)之間的一個(gè)單向邏輯連接

32比特，用于標(biāo)識(shí)具有相同IP地址和相同安全協(xié)議的不同SA。

可以是普通IP地址，也可是廣播或者組播地址

可以是AH或者ESP負(fù)載IP頭部IP頭部負(fù)載IP頭部3.1IPSEC概念VPN技術(shù)及其應(yīng)用3.IPSECVPN工作原理概念框架AH協(xié)議ESP協(xié)議密鑰協(xié)商協(xié)議VPN隧道的建立過(guò)程3.2IPSECVPN框架密鑰管理協(xié)議簇DOI命名域加密算法認(rèn)證算法ESP協(xié)議AH協(xié)議SA安全聯(lián)合協(xié)議框架3.2IPSECVPN框架協(xié)議簇SA(SecurityArchitecturefortheInternetProtocol)介紹了IPSEC的整體框架，其指定了兩個(gè)封裝協(xié)議AH（IPAuthenticationHeader）和ESP（IPEncapsulatingSecurityPayload）。AH協(xié)議實(shí)現(xiàn)認(rèn)證傳輸，提供數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、重放攻擊保護(hù)功能ESP協(xié)議實(shí)現(xiàn)認(rèn)證和加密傳輸，提供數(shù)據(jù)保密、數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性、重放攻擊保護(hù)功能3.2IPSECVPN框架協(xié)議簇DOI（TheInternetIPSecurityDomainofInterpretation）為這些協(xié)議中的數(shù)據(jù)定義了具體的數(shù)值。Keymanagement密鑰管理協(xié)議亦為協(xié)議族，包括ISAKMP協(xié)議（InternetSecurityAssociationandKeyManagementProtocol），IKE（TheInternetKeyExchange）協(xié)議。3.2IPSECVPN框架系統(tǒng)框架APIDatabaseISAKMPDaemonDOIKeyExchangeDefineIP/IPSECTCP/IP協(xié)議棧系統(tǒng)核心應(yīng)用層VPN技術(shù)及其應(yīng)用3.IPSECVPN工作原理概念框架AH協(xié)議ESP協(xié)議密鑰協(xié)商協(xié)議VPN隧道的建立過(guò)程保留負(fù)載長(zhǎng)度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長(zhǎng)序列號(hào)安全參數(shù)索引（SPI）下一頭部負(fù)載AH頭部IP頭部認(rèn)證數(shù)據(jù)：一個(gè)變長(zhǎng)字段，也叫IntegrityCheckValue，由SA初始化時(shí)指定的算法來(lái)計(jì)算。長(zhǎng)度=整數(shù)倍32位比特保留負(fù)載長(zhǎng)度認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長(zhǎng)序列號(hào)安全參數(shù)索引（SPI）下一頭部下一頭部：8比特，標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型負(fù)載長(zhǎng)度：8比特，表示以32比特為單位的AH頭部長(zhǎng)度減2，Default=4保留字段：16比特，保留將來(lái)使用，Default=0SPI：32比特，用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義序列號(hào)：32比特，一個(gè)單項(xiàng)遞增的計(jì)數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號(hào)不允許重復(fù)32位3.3AH協(xié)議傳輸模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載AH頭部IP頭部負(fù)載AH頭部IP頭部負(fù)載IP頭部經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后負(fù)載AH頭部IP頭部3.3AH協(xié)議隧道模式下的AH認(rèn)證工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭負(fù)載IP頭AH頭新IP頭SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB3.3AH協(xié)議VPN技術(shù)及其應(yīng)用3.IPSECVPN工作原理概念框架AH協(xié)議ESP協(xié)議密鑰協(xié)商協(xié)議VPN隧道的建立過(guò)程認(rèn)證數(shù)據(jù)：一個(gè)變長(zhǎng)字段，也叫IntegrityCheckValue，由SA初始化時(shí)指定的算法來(lái)計(jì)算。長(zhǎng)度=整數(shù)倍32位比特下一頭部：8比特，標(biāo)識(shí)認(rèn)證頭后面的下一個(gè)負(fù)載類型填充字段：8比特，大多數(shù)加密加密算法要求輸入數(shù)據(jù)包含整數(shù)各分組，因此需要填充負(fù)載數(shù)據(jù)：包含由下一頭部字段給出的變長(zhǎng)數(shù)據(jù)SPI：32比特，用于標(biāo)識(shí)有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭填充（0~255字節(jié)）下一頭部填充長(zhǎng)度認(rèn)證數(shù)據(jù)（變長(zhǎng)的）負(fù)載數(shù)據(jù)（變長(zhǎng)的）序列號(hào)安全參數(shù)索引（SPI）填充長(zhǎng)度：8比特，給出前面填充字段的長(zhǎng)度，置0時(shí)表示沒(méi)有填充下一頭部填充長(zhǎng)度認(rèn)證數(shù)據(jù)（變長(zhǎng)的）填充（0~255字節(jié)）負(fù)載數(shù)據(jù)（變長(zhǎng)的）序列號(hào)安全參數(shù)索引（SPI）32位ESP頭部ESP尾部ESP認(rèn)證數(shù)據(jù)加密的認(rèn)證的序列號(hào)：32比特，一個(gè)單項(xiàng)遞增的計(jì)數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號(hào)不允許重復(fù)3.4ESP協(xié)議傳輸模式下的ESP工作原理Internet負(fù)載IP頭部HostAHostBVPN網(wǎng)關(guān)VPN網(wǎng)關(guān)負(fù)載IP頭部經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭加密數(shù)據(jù)認(rèn)證數(shù)據(jù)3.4ESP協(xié)議隧道模式下的ESP工作原理Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭負(fù)載ESP認(rèn)證ESP尾IP頭ESP頭新IP頭3.4ESP協(xié)議組合IPSec協(xié)議Internet負(fù)載IP頭HostAHostBVPN網(wǎng)關(guān)1VPN網(wǎng)關(guān)2負(fù)載IP頭經(jīng)過(guò)IPSec核心處理以后經(jīng)過(guò)IPSec核心處理以后SourceIP=VPN網(wǎng)關(guān)1DestinationIP=VPN網(wǎng)關(guān)2SourceIP=HostADestinationIP=HostB內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭內(nèi)IP頭ESP尾負(fù)載ESP頭AH頭外IP頭3.5ESP協(xié)議組合AH協(xié)議ESP認(rèn)證ESP尾負(fù)載ESP頭IP頭為什么還要AH協(xié)議負(fù)載IP頭部認(rèn)證數(shù)據(jù)AH頭部認(rèn)證數(shù)據(jù)AH協(xié)議ESP協(xié)議身份認(rèn)證數(shù)據(jù)加密數(shù)據(jù)完整性校驗(yàn)重放攻擊保護(hù)身份認(rèn)證數(shù)據(jù)完整性校驗(yàn)重放攻擊保護(hù)ESP可以取代AH嗎？3.5ESP協(xié)議與AH協(xié)議對(duì)比VPN技術(shù)及其應(yīng)用3.IPSECVPN工作原理概念框架AH協(xié)議ESP協(xié)議密鑰協(xié)商協(xié)議VPN隧道的建立過(guò)程3.6密鑰協(xié)商協(xié)議ISAKMP該框架定義了安全關(guān)聯(lián)的管理和密鑰管理，以及用于交換密鑰產(chǎn)生和認(rèn)證數(shù)據(jù)的報(bào)文負(fù)載，它本身沒(méi)有定義任何密鑰交換協(xié)議。Oakley是一個(gè)可用于ISAKMP框架的密鑰交換協(xié)議，它為安全關(guān)聯(lián)提供密鑰交換和刷新功能。ISAKMP/Oakley階段一主要用來(lái)建立對(duì)ISAKMP消息自身的保護(hù)措施，它并不建立用于保護(hù)用戶數(shù)據(jù)流的安全關(guān)聯(lián)或密鑰。同時(shí)，協(xié)商建立一個(gè)主秘密，以后用于保護(hù)用戶數(shù)據(jù)流的所有秘密都將根據(jù)主密鑰產(chǎn)生。ISAMKMP/Oakley階段二協(xié)商建立安全關(guān)聯(lián)和將用于保護(hù)用戶數(shù)據(jù)流的密鑰。HostAHostB變換#n建議#n…SA變換#1建議#1ISAKMP頭部UDP頭部IP頭部發(fā)起方創(chuàng)建一個(gè)明文的ISAKMP報(bào)文發(fā)給HostB響應(yīng)方SA變換#2建議#2ISAKMP頭部UDP頭部IP頭部HostB用消息2告訴HostA選擇第二個(gè)建議方案完成ISAKMP安全關(guān)聯(lián)屬性的協(xié)商消息1消息2HostA消息3HostB發(fā)起方交換Diffe-Hellman公開值，隨機(jī)數(shù)和身份標(biāo)識(shí)響應(yīng)方雙方得到了用于保護(hù)ISAKMP消息的認(rèn)證與加密密鑰簽名認(rèn)證gaIDNjISAKMP頭部UDP頭部IP頭部簽名認(rèn)證gbIDNrISAKMP頭部UDP頭部IP頭部交換Diffe-Hellman公開值，隨機(jī)數(shù)和身份標(biāo)識(shí)消息4ISAKMP/Oakley階段一工作原理3.6密鑰協(xié)商協(xié)議HostAHostB發(fā)起方HostA向HostB發(fā)送認(rèn)證信息，供HostB確認(rèn)HostA的身份響應(yīng)方相互認(rèn)證了身份，協(xié)商好了SA，得到了密鑰或者密鑰原料B標(biāo)識(shí)B簽名B證書ISAKMP頭部UDP頭部IP頭部A標(biāo)識(shí)A簽名A證書ISAKMP頭部UDP頭部IP頭部HostB向HostA發(fā)送認(rèn)證信息，供HostA確認(rèn)HostB的身份消息5消息6ISAKMP/Oakley階段一工作原理3.6密鑰協(xié)商協(xié)議ISAKMP/Oakley階段二工作原理HostAHostB發(fā)起方向HostB認(rèn)證自己、建議安全關(guān)聯(lián)、交換公開值、選擇nonce等響應(yīng)方此時(shí)雙方可以根據(jù)上述交換的nonceandDiffie-Hellman公開值等信息各自生成一對(duì)密鑰，分別用于保護(hù)兩個(gè)方向上的通信…Hash-1NjSAISAKMP頭部UDP頭部IP頭部ga…Hash-2NrSAISAKMP頭部UDP頭部IP頭部gbHash-3ISAKMP頭部UDP頭部IP頭部向HostA認(rèn)證自己、建議安全關(guān)聯(lián)、交換公開值、選擇nonce等HostA向HostB發(fā)送一個(gè)消息來(lái)證明自己的活性，該消息只包含一個(gè)Hash值此時(shí)兩個(gè)系統(tǒng)就可用協(xié)商好的安全協(xié)議保護(hù)用戶數(shù)據(jù)流了3.6密鑰協(xié)商協(xié)議VPN技術(shù)及其應(yīng)用3.IPSECVPN工作原理概念框架AH協(xié)議ESP協(xié)議密鑰協(xié)商協(xié)議VPN隧道的建立過(guò)程3.7VPN隧道的建立過(guò)程隧道類型Host對(duì)HostHost對(duì)VPN網(wǎng)關(guān)VPN對(duì)VPN網(wǎng)關(guān)RemoteUser對(duì)VPN網(wǎng)關(guān)3.7VPN隧道的建立過(guò)程隧道類型Host對(duì)HostHost對(duì)VPN網(wǎng)關(guān)VPN對(duì)VPN網(wǎng)關(guān)RemoteUser對(duì)VPN網(wǎng)關(guān)Internet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BHosttoHost模式：該模式要求兩邊主機(jī)都支持IPSecVPN網(wǎng)關(guān)可支持也可不支持IPSec安全通道安全通道安全通道主機(jī)必須支持IPSec主機(jī)必須支持IPSecGateway可支持也可不支持IPSecGateway可支持也可不支持IPSecHosttoHost3.7VPN隧道的建立過(guò)程3.7VPN隧道的建立過(guò)程隧道類型Host對(duì)HostHost對(duì)VPN網(wǎng)關(guān)VPN對(duì)VPN網(wǎng)關(guān)RemoteUser對(duì)VPN網(wǎng)關(guān)Internet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BHosttoVPN模式：該模式要求一邊的主機(jī)都支持IPSec

另一邊的VPN網(wǎng)關(guān)必須支持IPSec安全通道安全通道主機(jī)必須支持IPSec主機(jī)可以不支持IPSecGateway可支持也可不支持IPSecGateway必須支持IPSec非安全通道HosttoVPNGateway3.7VPN隧道的建立過(guò)程3.7VPN隧道的建立過(guò)程隧道類型Host對(duì)HostHost對(duì)VPN網(wǎng)關(guān)VPN對(duì)VPN網(wǎng)關(guān)RemoteUser對(duì)VPN網(wǎng)關(guān)Internet公司BVPN網(wǎng)關(guān)AVPN網(wǎng)關(guān)B公司BVPNtoVPN模式：該模式不要求主機(jī)支持IPSec兩邊的VPN網(wǎng)關(guān)必須都支持IPSec非安全通道安全通道主機(jī)可以不支持IPSec主機(jī)可以不支持IPSecGateway必須支持IPSecGateway必須支持IPSec非安全通道VPNtoVPNVPNGatewaytoVPNGateway3.7VPN隧道的建立過(guò)程3.7VPN隧道的建立過(guò)程隧道類型Host對(duì)HostHost對(duì)VPN網(wǎng)關(guān)VPN對(duì)VPN網(wǎng)關(guān)RemoteUser對(duì)VPN網(wǎng)關(guān)Internet公司BISP接入服務(wù)器VPN網(wǎng)關(guān)B安全通道安全通道主機(jī)必須支持IPSecGateway必須支持IPSec非安全通道PSTNRemoteUsertoVPNGateway3.7VPN隧道的建立過(guò)程VPN技術(shù)及其應(yīng)用概念VPN功能IPSECVPN工作原理VPN的安全風(fēng)險(xiǎn)VPN技術(shù)及其應(yīng)用概念VPN功能IPSECVPN工作原理