網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)（微課版）（第5版） 課件 第7章 加密技術(shù)與虛擬專用網(wǎng)絡(luò)

第7章加密技術(shù)與虛擬專用網(wǎng)絡(luò)《網(wǎng)絡(luò)安全技術(shù)與實(shí)訓(xùn)》（微課版）（第5版）主講人：課程引入《中華人民共和國密碼法》2020年1月1日正式施行《網(wǎng)絡(luò)安全審查辦法》

2020年6月1日正式施行

三項(xiàng)國家標(biāo)準(zhǔn)正式發(fā)布2019年12月1日正式施行《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》數(shù)據(jù)安全至關(guān)重要山東大學(xué)王小云教授成功破解MD5學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）密碼是我們黨和國家的“命門”、“命脈”,是國家重要戰(zhàn)略資源。直接關(guān)系國家政治安全、經(jīng)濟(jì)安全、國防安全和信息安全。什么是密碼，第二條規(guī)定,密碼法中的密碼,“是指采用特定變換的方法對信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)”怎么管密碼，第二章(第十三條至第二十條)規(guī)定了核心密碼、普通密碼的主要管理制度。核心密碼、普通密碼用于保護(hù)國家秘密信息和涉密信息系統(tǒng)。怎么用密碼，有線、無線通信中傳遞的國家秘密信息,以及存儲、處理國家秘密信息的信息系統(tǒng)學(xué)習(xí)要點(diǎn)（思政要點(diǎn)）

掌握對稱及非對稱加密及應(yīng)用

了解數(shù)字簽名與PKI（安全意識）掌握VPN分類及應(yīng)用（責(zé)任與擔(dān)當(dāng)）使用PGP進(jìn)行加密（勤敏思學(xué)）33第7章加密技術(shù)與虛擬專用網(wǎng)絡(luò)VPN技術(shù)7.3實(shí)訓(xùn)PGP應(yīng)用現(xiàn)代加密算法7.2加密技術(shù)概述7.17.1加密技術(shù)概述密碼的起源可能要追溯到人類剛剛出現(xiàn)，并且嘗試去學(xué)習(xí)如何通信的時候，人們不得不去尋找方法確保他們通信的機(jī)密。數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來的內(nèi)容，通過這樣的途徑達(dá)到保護(hù)數(shù)據(jù)。7.1加密技術(shù)概述通常一個加密系統(tǒng)至少包括以下4個組成部分：未加密的報(bào)文，也稱明文。加密后的報(bào)文，也稱密文加密、解密設(shè)備或算法加密、解密的密鑰7.1加密技術(shù)概述7.1.1加密技術(shù)的應(yīng)用數(shù)據(jù)保密性——信息不被泄露給未經(jīng)授權(quán)者的特性數(shù)據(jù)完整性——信息在存儲或傳輸過程中保持未經(jīng)授權(quán)不能改變的特性數(shù)據(jù)可用性（認(rèn)證）——信息可被授權(quán)者訪問并使用的特性不可否認(rèn)性——一個實(shí)體不能夠否認(rèn)其行為的特性7.1加密技術(shù)概述7.1.2加密技術(shù)的分類數(shù)據(jù)傳輸加密技術(shù)，對傳輸中的數(shù)據(jù)流進(jìn)行加密，常用的有以下3種鏈路加密的傳輸數(shù)據(jù)僅在數(shù)據(jù)鏈路層進(jìn)行加密，不考慮信源和信宿，它用于保護(hù)通信節(jié)點(diǎn)間的數(shù)據(jù)；節(jié)點(diǎn)加密是在節(jié)點(diǎn)處采用一個與節(jié)點(diǎn)機(jī)相連的密碼裝置，密文在該裝置中被解密并被重新加密，明文不通過節(jié)點(diǎn)機(jī)；端到端加密是數(shù)據(jù)從一端到另一端的加密方式。數(shù)據(jù)在發(fā)送端被加密，在接收端解密，中間節(jié)點(diǎn)處不以明文的形式出現(xiàn)。數(shù)據(jù)存儲加密技術(shù)，數(shù)據(jù)存儲加密技術(shù)用于防止存儲環(huán)節(jié)上的數(shù)據(jù)失密。數(shù)據(jù)存儲加密技術(shù)可分為密文存儲和存取控制兩種。全盤加密技術(shù)是對磁盤進(jìn)行全盤加密，并且采用主機(jī)監(jiān)控、防水墻等其他防護(hù)手段進(jìn)行整體防護(hù)，磁盤加密主要為用戶提供一個安全的運(yùn)行環(huán)境，數(shù)據(jù)自身未進(jìn)行加密。驅(qū)動級加密技術(shù)是信息加密的主流技術(shù)，采用“進(jìn)程+后綴”的方式進(jìn)行安全防護(hù)，用戶可以根據(jù)實(shí)際情況靈活配置33第7章加密技術(shù)與虛擬專用網(wǎng)絡(luò)VPN技術(shù)7.3實(shí)訓(xùn)PGP應(yīng)用現(xiàn)代加密算法7.2加密技術(shù)概述7.17.2現(xiàn)代加密算法按照發(fā)展進(jìn)程來分，數(shù)據(jù)加密經(jīng)歷了古典密碼階段、對稱密鑰密碼階段和公開密鑰密碼階段：古典密碼階段——替代加密、置換加密；對稱密鑰密碼文——數(shù)據(jù)加密標(biāo)準(zhǔn)（DataEncryptionStandard，DES）和高級加密標(biāo)準(zhǔn)（AdvancedEncryptionStandard，AES）；公開密鑰密碼——

RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal、D-H等。數(shù)據(jù)加密通?？煞譃閮纱箢悾骸皩ΨQ式”和“非對稱式”。通過這兩種算法來保障數(shù)據(jù)的機(jī)密性，在數(shù)據(jù)的傳輸過程中加密技術(shù)還需要使用單向加密算法和數(shù)字簽名來保障數(shù)據(jù)的完整性和抗抵賴性。7.2現(xiàn)代加密算法7.2.1對稱加密技術(shù)對稱式加密是一種基于共享密碼的加密技術(shù)，即加密和解密使用同一個密鑰，通常稱為“SessionKey”。典型應(yīng)用為 DES和3DES算法。特點(diǎn)是加密速度快，能夠適應(yīng)大量數(shù)據(jù)和信息的加密。密碼的管理和安全性方面比較欠缺。加密解密密鑰K發(fā)送方接收方明文密文明文7.2現(xiàn)代加密算法DES和3DES算法DES是一種對二元數(shù)據(jù)進(jìn)行加密的算法，數(shù)據(jù)分組長度為64位，密文分組長度也是64位，使用的密鑰為64位，有效密鑰長度為56位，有8位用于奇偶校驗(yàn)。7.2現(xiàn)代加密算法DES和3DES算法3DES使用3個不同的密鑰對數(shù)據(jù)塊進(jìn)行3次（或兩次）加密，該方法比進(jìn)行3次普通加密更加有效。其強(qiáng)度大約和112位的密鑰強(qiáng)度相當(dāng)。7.2現(xiàn)代加密算法2.RC2、RC4、RC5、RC6算法是一種塊式密文，把信息加密成64位數(shù)據(jù)，主要運(yùn)行在16位主機(jī)上，它的密碼長度是可變的，運(yùn)算速度與密碼長度有關(guān)。3.IDEA算法屬于數(shù)據(jù)塊加密算法（BlockCipher）類，使用長度為128位的密鑰，數(shù)據(jù)塊大小為64位。應(yīng)用案例：PGP就使用IDEA作為其分組加密算法，安全套接字層（SSL）也將IDEA包含在其加密算法庫SSLRef中。7.2現(xiàn)代加密算法7.2.2非對稱加密技術(shù)非對稱式加密又稱為公開密鑰加密系統(tǒng)，就是加密和解密所使用的不是同一個密鑰，通常有兩個密鑰，稱為“公鑰”和“私鑰”，它們兩個需要配對使用，否則不能打開加密文件。加密解密發(fā)送方接收方明文密文明文接收方的公鑰接收方的私鑰7.2現(xiàn)代加密算法RSA算法目前最著名、應(yīng)用最廣泛的公鑰系統(tǒng)，適用于數(shù)字簽名和密鑰交換，特別適用于通過Internet傳輸?shù)臄?shù)據(jù)。使用了兩個非常大的素?cái)?shù)來產(chǎn)生公鑰和私鑰。特點(diǎn)：能夠進(jìn)行數(shù)字簽名和密鑰交換運(yùn)算。優(yōu)點(diǎn)：密鑰空間大；缺點(diǎn)：加密速度慢。如果RSA和DES結(jié)合使用，則正好彌補(bǔ)了RSA的缺點(diǎn)，即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長的報(bào)文，所以RSA可解決DES密鑰分配的問題7.2現(xiàn)代加密算法RSA算法應(yīng)用最廣泛的公鑰系統(tǒng)，適用于數(shù)字簽名和密鑰交換，特別適用于通過Internet傳輸?shù)臄?shù)據(jù)。使用了兩個非常大的素?cái)?shù)來產(chǎn)生公鑰和私鑰。特點(diǎn)：能夠進(jìn)行數(shù)字簽名和密鑰交換運(yùn)算。優(yōu)點(diǎn)：密鑰空間大；缺點(diǎn)：加密速度慢。RSA和DES結(jié)合使用，則正好彌補(bǔ)了RSA的缺點(diǎn)，即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長的報(bào)文，所以RSA可解決DES密鑰分配的問題7.2現(xiàn)代加密算法2.DSA算法數(shù)字簽名算法（DigitalSignatureAlgorithm，DSA）僅適用于數(shù)字簽名，是由美國國家安全署發(fā)明的。它是基于離散對數(shù)問題的數(shù)字簽名標(biāo)準(zhǔn)，其安全性與RSA差不多。DSA的一個重要特點(diǎn)是兩個素?cái)?shù)公開。3.Diffie-Hellman算法是一種公開密鑰算法；僅用于密鑰的分發(fā)和交換，不能用于報(bào)文加密。不需要公鑰基礎(chǔ)設(shè)施（PKI）。在密鑰交換式，沒有身份認(rèn)證，容易產(chǎn)生中間人攻擊。計(jì)算量較大，系統(tǒng)容易遭受DOS攻擊。7.2現(xiàn)代加密算法7.2.3單向散列算法（又稱Hash算法）單向散列算法常用于消息摘要，是一種基于密鑰的、加密不同的數(shù)據(jù)轉(zhuǎn)換類型，它通過把一個單向數(shù)學(xué)函數(shù)應(yīng)用于數(shù)據(jù)，將任意長度的一塊數(shù)據(jù)轉(zhuǎn)換為一個定長的、不可逆轉(zhuǎn)的數(shù)據(jù)。這段數(shù)據(jù)通常叫作消息摘要。消息摘要算法可以敏感地檢測到數(shù)據(jù)是否被篡改。消息摘要算法再結(jié)合其他的算法就可以用來保護(hù)數(shù)據(jù)的完整性。單向散列算法廣泛用于數(shù)字簽名和數(shù)據(jù)完整性方面。其中，最常用的散列函數(shù)是MD5和SHA-1。在python中可以使用print（hash（“abcdef”））哈希算法不過是一個更為復(fù)雜的運(yùn)算，它的輸入可以是字符串，可以是數(shù)據(jù)，可以是任何文件，經(jīng)過哈希運(yùn)算后，變成一個固定長度的輸出，該輸出就是哈希值。但是哈希算法有一個很大的特點(diǎn)，就是你不能從結(jié)果推算出輸入，所以又稱為不可逆的算法。7.2現(xiàn)代加密算法MD5算法是使用最普遍的安全散列算法，其輸入為任意長度的消息，按照512位分組處理，輸出為128位的消息摘要。2004年，山東大學(xué)王小云教授攻破了MD5算法2.SHA-1產(chǎn)生一個160位的散列值。SHA-1是流行的用于創(chuàng)建數(shù)字簽名的單向散列算法SHA-2是SHA-1的后繼者,其下又可再分為六個不同的算法標(biāo)準(zhǔn)，包括了:SHA-224、SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256。7.2現(xiàn)代加密算法下載源文件，選擇消息摘要，來確保下載數(shù)據(jù)的完整性，例如SHA256使用消息摘要使用工具或者是利用系統(tǒng)自帶的命令進(jìn)行完整性測試7.2現(xiàn)代加密算法7.2.4數(shù)字簽名數(shù)字簽名可用作數(shù)據(jù)完整性檢查，并提供私碼憑據(jù)，它的目的是認(rèn)證網(wǎng)絡(luò)通信雙方身份的真實(shí)性，防止相互欺騙或抵賴。1.數(shù)字簽名的3個條件收方條件：接收者能夠核實(shí)和確認(rèn)發(fā)送者對消息的簽名發(fā)方條件：發(fā)送者事后不能否認(rèn)和抵賴對消息的簽名公證條件：公證方能確認(rèn)收方的信息，做出仲裁，但不能偽造這一過程2.數(shù)字簽名的方法直接數(shù)字簽名：接收者在獲得消息發(fā)送者的公鑰的前提下，發(fā)送者用其私鑰對整個消息或者消息散列碼進(jìn)行加密來形成數(shù)字簽名。有仲裁的數(shù)字簽名：有仲裁的數(shù)字簽名可以解決直接數(shù)字簽名中容易產(chǎn)生的發(fā)送者否認(rèn)發(fā)送過某個消息的問題。7.2現(xiàn)代加密算法7.2.5公鑰基礎(chǔ)設(shè)施是電子商務(wù)、政務(wù)系統(tǒng)安全實(shí)施的基本保障，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可稱為PKI系。PKI管理加密和證書的發(fā)布，并提供諸如密鑰管理（包括密鑰更新、密鑰恢復(fù)和密鑰委托等）、證書管理（包括證書產(chǎn)生和撤銷等）、策略管理等。PKI系統(tǒng)也允許一個組織通過證書級別或直接交易認(rèn)證等方式來同其他安全域建立信任關(guān)系。典型的PKI系統(tǒng)包括PKI策略、軟硬件系統(tǒng)、證書機(jī)構(gòu)（CertificationAuthority，CA）、注冊機(jī)構(gòu)（RegistrationAuthority，RA）、證書發(fā)布系統(tǒng)、PKI應(yīng)用等。7.2現(xiàn)代加密算法典型的PKI7.2現(xiàn)代加密算法PKI策略定義了一個組織信息安全方面的指導(dǎo)方針，同時也定義了密碼系統(tǒng)使用的處理方法和原則。在PKI中有以下兩種類型的策略。證書策略：用于管理證書的使用。例如，可以確認(rèn)某一CA是選擇在Internet上的公有CA，還是選擇在某一企業(yè)內(nèi)部的私有CA。證書運(yùn)作聲明（CertificatePracticeStatement，CPS）：由商業(yè)證書發(fā)放機(jī)構(gòu)（ControllerofCertifyingAuthoriy，CCA）或者可信的第三方操作的PKI系統(tǒng)需要CPS。它包括CA是如何建立和運(yùn)作的，證書是如何發(fā)行、接收和廢除的，密鑰是如何產(chǎn)生、注冊的，以及密鑰是如何存儲的，用戶是如何得到它的等。7.2現(xiàn)代加密算法2.證書機(jī)構(gòu)（CertificationAuthority，CA）是PKI的信任基礎(chǔ)，它管理公鑰的整個生命周期，其作用包括發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布證書吊銷列表（CertificateRevocationList，CRL）3.注冊機(jī)構(gòu)（RegistrationAuthority，RA）提供用戶和CA之間的一個接口，它獲取并認(rèn)證用戶的身份，向CA提出證書請求。主要完成收集用戶信息和確認(rèn)用戶身份的功能。用戶是指將要向認(rèn)證中心（即CA）申請數(shù)字證書的客戶，可以是個人、團(tuán)體、政府機(jī)構(gòu)等。注冊管理一般由一個獨(dú)立的RA來承擔(dān)。對于一個規(guī)模較小的PKI應(yīng)用系統(tǒng)來說，可把注冊管理的職能交給認(rèn)證中心CA來完成，而不設(shè)立獨(dú)立運(yùn)行的RA個獨(dú)立的RA來承擔(dān)。4.證書發(fā)布系統(tǒng)證書發(fā)布系統(tǒng)負(fù)責(zé)證書的發(fā)放，可以通過用戶自己，或是通過目錄服務(wù)發(fā)放，它可以是一個組織中現(xiàn)存的，也可以是PKI方案提供的7.2現(xiàn)代加密算法5.PKI典型應(yīng)用33第7章加密技術(shù)與虛擬專用網(wǎng)絡(luò)VPN技術(shù)7.3實(shí)訓(xùn)PGP應(yīng)用現(xiàn)代加密算法7.2加密技術(shù)概述7.17.3VPN技術(shù)概述《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》、《網(wǎng)絡(luò)安全審查辦法》第一章總則

第三條中華人民共和國境內(nèi)的安全專用產(chǎn)品進(jìn)入市場銷售,實(shí)行銷售許可證制度。安全專用產(chǎn)品的生產(chǎn)者在其產(chǎn)品進(jìn)入市場銷售之前,必須申領(lǐng)《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》。網(wǎng)絡(luò)安全審查是在中央網(wǎng)絡(luò)安全和信息化委員會領(lǐng)導(dǎo)下，為保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護(hù)國家安全而建立的一項(xiàng)重要制度。2020年4月，國家互聯(lián)網(wǎng)信息辦公室、國家市場監(jiān)督管理總局等12個部門聯(lián)合發(fā)布了《網(wǎng)絡(luò)安全審查辦法》，并于2020年6月1日起正式實(shí)施。網(wǎng)絡(luò)安全審查辦公室設(shè)在國家互聯(lián)網(wǎng)信息辦公室。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國家安全的，應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。7.3VPN技術(shù)概述7.3.1VPN技術(shù)概述VPN（虛擬專用網(wǎng)）是企業(yè)網(wǎng)在公眾網(wǎng)絡(luò)上的延伸，它可以提供與專用網(wǎng)一樣的安全性、可管理性和傳輸性能VPN技術(shù)的概念通過綜合利用訪問控制技術(shù)和加密技術(shù)，并通過一定的密鑰管理機(jī)制，在公共網(wǎng)絡(luò)中建立起安全的“專用”網(wǎng)絡(luò)，保證數(shù)據(jù)在“加密管道”中進(jìn)行安全傳輸?shù)募夹g(shù)。7.3VPN技術(shù)概述VPN，VirtualPrivateNetwork，虛擬專用網(wǎng)，是指利用公用電信網(wǎng)絡(luò)為用戶提供專用網(wǎng)的所有各種功能。合作伙伴隧道總部異地辦事處Internet隧道隧道7.3VPN技術(shù)概述RTARTB協(xié)議A協(xié)議B協(xié)議B協(xié)議B數(shù)據(jù)包封裝包載荷協(xié)議封裝協(xié)議承載協(xié)議封裝協(xié)議頭協(xié)議B頭協(xié)議A頭載荷數(shù)據(jù)隧道PCB7.3VPN技術(shù)概述2.VPN技術(shù)的特點(diǎn) 安全性：用加密技術(shù)對經(jīng)過隧道傳的數(shù)據(jù)進(jìn)行加密。專用性：在非面向連接的公用IP網(wǎng)絡(luò)上建立一個邏輯的、點(diǎn)對點(diǎn)的連接，稱為建立一個隧道。經(jīng)濟(jì)性：它可以使移動用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少。擴(kuò)展性和靈活性：能夠支持通過Intranet和Internet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)。7.3VPN技術(shù)概述3.VPN的處理過程V

PN連接由客戶機(jī)、隧道和服務(wù)器3部分組成,其處理過程如下。受保護(hù)的主機(jī)發(fā)送明文信息到連接公共網(wǎng)絡(luò)的VPN設(shè)備。

VPN設(shè)備根據(jù)網(wǎng)管設(shè)置的規(guī)則，確定是否需要對數(shù)據(jù)進(jìn)行加密或讓數(shù)據(jù)直接通過。對需要加密的數(shù)據(jù)，VPN設(shè)備對整個數(shù)據(jù)包進(jìn)行加密并附上數(shù)字簽名。VPN設(shè)備加上新的數(shù)據(jù)報(bào)頭，其中包括目的地VPN設(shè)備需要的安全信息和一些初始化參數(shù)。VPN設(shè)備對加密后的數(shù)據(jù)、鑒別包，以及源IP地址、目標(biāo)VPN設(shè)備IP地址進(jìn)行重新封裝，重新封裝后的數(shù)據(jù)包通過虛擬通道在公網(wǎng)上傳輸。當(dāng)數(shù)據(jù)包到達(dá)目標(biāo)VPN設(shè)備，數(shù)據(jù)包被解封裝，數(shù)字簽名被核對無誤后，數(shù)據(jù)包被解密7.3VPN技術(shù)概述7.3.2VPN的分類1.按服務(wù)類型分類VPN按照服務(wù)類型可以分為遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）這3種類型。虛擬網(wǎng)L2TP典型配置舉例https:///cn/d_202203/1572032_30005_0.htm#_Ref5190910247.3VPN技術(shù)概述企業(yè)內(nèi)部虛擬網(wǎng)7.3VPN技術(shù)概述企業(yè)擴(kuò)展虛擬網(wǎng)企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN）又稱外聯(lián)網(wǎng)VPN，它通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡(luò)相同的策略，包括安全、服務(wù)質(zhì)量（QualityofService，QoS）、可管理性和可靠性。7.3VPN技術(shù)概述2.按通信協(xié)議分類VPN按照通信協(xié)議可以分為MPLSVPN、PPTP/L2TPVPN、SSLVPN和IPSecVPN。MPLSVPN基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用多協(xié)議標(biāo)記交換（Multi-ProtocolLabelSwitching，MPLS）技術(shù)，簡化核心路由器的路由選擇方式。MPLSVPN能夠利用公用骨干網(wǎng)絡(luò)強(qiáng)大的傳輸能力，同時能夠滿足用戶需求。不足：價(jià)格高、接入比較麻煩、跨運(yùn)營商不便7.3VPN技術(shù)概述PPTP/L2TPVPNPPTP/L2TPVPN是二層VPN，采用較早期的VPN協(xié)議，使用相當(dāng)廣泛。其特點(diǎn)是簡單易行，但可擴(kuò)展性不好，也沒有提供內(nèi)在的安全機(jī)制。最多只能連接255個用戶。端點(diǎn)用戶需要在連接前手動建立加密信道。認(rèn)證和加密受到限制，沒有強(qiáng)加密和認(rèn)證支持。安全程度低，是PPTP/L2TF簡易型VPN最大的弱點(diǎn)。SSLVPN認(rèn)證方式較為單一，只能采用證書，而且一般是單向認(rèn)證；在建立隧道后，管理員對用戶不能進(jìn)行任何限制，無法實(shí)現(xiàn)“網(wǎng)絡(luò)—網(wǎng)絡(luò)”的安全互連。IPSecVPN提供基于互聯(lián)網(wǎng)的加密隧道，用于局域網(wǎng)之間建立安全連接，在遠(yuǎn)程移動辦公等桌面應(yīng)用。7.3VPN技術(shù)概述遠(yuǎn)程接入L2TP典型配置舉例/cn/d_202203/1572032_30005_0.htm#_Ref519091024企業(yè)內(nèi)部虛擬網(wǎng)/cn/d_201911/1244048_30005_0.htm7.3VPN技術(shù)概述7.3.3IPSec互聯(lián)網(wǎng)安全協(xié)議，

IPv4是可選的，提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全，對于IPv6是強(qiáng)制性的。1.IPSec的主要特征對所有IP級的通信進(jìn)行加密和認(rèn)證，它實(shí)現(xiàn)于傳輸層之下，對于應(yīng)用程序和終端用戶來說是透明的。IPSec提供了訪問控制、無連接完整性、數(shù)據(jù)源鑒別、載荷機(jī)密性和有限流量機(jī)密等安全服務(wù)。7.3VPN技術(shù)概述RTARTB站點(diǎn)A站點(diǎn)B加密報(bào)文IPIPsec傳輸模式7.3VPN技術(shù)概述IPsec隧道模式RTARTBIPSecTunnel站點(diǎn)A站點(diǎn)B普通報(bào)文加密報(bào)文IP普通報(bào)文7.3VPN技術(shù)概述2.IPSec的主要作用主要用于IP數(shù)據(jù)包的認(rèn)證和加密，其目的是保證IP層數(shù)據(jù)信息的正確性、完整性和保密性。它的主要作用如下。認(rèn)證：可以確定所接收的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的。數(shù)據(jù)完整性：保證在數(shù)據(jù)從源發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。機(jī)密性：使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。7.3VPN技術(shù)概述3.IPSec的組成由一系列協(xié)議組成的，除IP層協(xié)議安全結(jié)構(gòu)外，還包括驗(yàn)證頭（AH）、封裝安全載荷（ESP）、Internet安全關(guān)聯(lián)SA和密鑰管理協(xié)議（ISAKMP）、InternetIP安全解釋域（DOI），以及Internet密鑰交換協(xié)議（IKE）、Oakley密鑰確定協(xié)議等。7.3VPN技術(shù)概述安全體系結(jié)構(gòu)：包含了一般的概念、安全需求、定義和定義IPSec的技術(shù)機(jī)制。 驗(yàn)證頭AH：用于將每個數(shù)據(jù)包中的數(shù)據(jù)和一個變化的數(shù)字簽名結(jié)合起來，使得通信一方確認(rèn)發(fā)送數(shù)據(jù)的另一方的身份，并且確認(rèn)數(shù)據(jù)在傳過程中沒有被篡改過，但不能為數(shù)據(jù)提供加密，常用的算法有MD5、SHA1 封裝安全載荷ESP：為數(shù)據(jù)提供加密，并對數(shù)據(jù)源進(jìn)行身份驗(yàn)證和一致性檢驗(yàn)，可單獨(dú)使用或與AH聯(lián)合使用，常用的算法有DES、3DES等7.3VPN技術(shù)概述傳輸模式AH封裝隧道模式AH封裝7.3VPN技術(shù)概述隧道模式ESP封裝傳輸模式ESP封裝7.3VPN技術(shù)概述

Internet安全關(guān)聯(lián)SA：一條能夠給在其上傳的數(shù)據(jù)信號提供安全服務(wù)的單工連接。如果需要一個對等關(guān)系，即雙向安全交換，則需要兩個SA。密鑰管理協(xié)議：它是密鑰管理的一組方案，其中Internet密鑰交換協(xié)議IKE是默認(rèn)的密鑰自動交換協(xié)議。InternetIP安全解釋域：彼此相關(guān)的各部分標(biāo)識符及運(yùn)作參數(shù)。Internet密鑰交換協(xié)議IKE：它是一種功能強(qiáng)大的、靈活的協(xié)商協(xié)議，使得VPN節(jié)點(diǎn)之間達(dá)成安全通信的協(xié)定。策略：決定兩個實(shí)體之間能否通信和如何進(jìn)行通信。策略的核心由如下3部分組成：安全關(guān)聯(lián)SA、SAD和SPD。7.3VPN技術(shù)概述4.IPSecVPN的建立建立一個標(biāo)準(zhǔn)的IPSecVPN一般需要以下幾個過程。建立安全關(guān)聯(lián)SA。雙方需要就如何保護(hù)信息、交換信息等公用的安全設(shè)置達(dá)成一致，必須有一種方法，使兩臺VPN之間能夠安全地交換一套密鑰。進(jìn)行隧道封裝，有兩種方式。隧道方式：先將IP數(shù)據(jù)包整個進(jìn)行加密后再加上ESP頭和新的IP頭，這個新的IP頭中包含隧道源/目的地址，該模式不支持多協(xié)議。傳輸方式：原IP包的地址部分不處理，在報(bào)頭與數(shù)據(jù)包之間插入一個AH頭，并將數(shù)據(jù)包進(jìn)行加密，然后在Internet上傳。協(xié)商IKE。建立IKESA的一個已通過身份驗(yàn)證和安全保護(hù)的通道，接著建立IPSecSA，通過已建立的通道為另一個不同協(xié)議協(xié)商安全服務(wù)。IKE的認(rèn)證方式主要有預(yù)共享密鑰和證書方式7.3VPN技術(shù)概述5.VPN產(chǎn)品的選擇VPN技術(shù)的不斷成熟，國內(nèi)多家IT廠商VPN網(wǎng)關(guān)產(chǎn)品。加密速度

加密速度應(yīng)大于或等于網(wǎng)絡(luò)的出口帶寬，以免在VPN安全網(wǎng)關(guān)上產(chǎn)生性能瓶頸。同時也應(yīng)注意加密強(qiáng)度，通常加密強(qiáng)度越高，安全性越好，但加密速度也會降