虚拟专用网络技术

信息安全技术第8讲

虚拟专用网络技术随着因特网的服务焦点转移到电子商务上，对于那些基于传统信息系统的关键性商务应用及数据，公司希望通过因特网来实现方便快捷的访问。通过安全虚拟专用网络的实现，把公司的业务安全、有效地拓展到世界各地。第8讲

虚拟专用网络技术虚拟专用网络(VPN)被定义为通过一个公用网络(通常是因特网)建立的一个临时的安全连接，是一条穿过公用网络的安全、稳定的隧道。VPN是企业网在因特网等公共网络上的延伸，它通过安全的数据通道，帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输，构成一个扩展的公司企业网，如图8.1所示。第8讲

虚拟专用网络技术VPN可用于不断增长的移动用户的全球因特网接入，以实现安全连接，可用于实现企业网站之间安全通信的虚拟专用线路。第8讲

虚拟专用网络技术说得通俗一点，VPN实际上是“线路中的线路”，类型于城市道路上的“公交专用线”，所不同的是，由VPN组成的“线路”并不是物理存在的，而是通过技术手段模拟出来，即是“虚拟”的。这种虚拟专用网络技术可以在一条公用线路中为两台计算机建立一个逻辑上的专用“通道”，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网管们广泛关注。第8讲

虚拟专用网络技术因特网工程任务小组(IETF)已经开始为VPN技术制订标准，基于这一标准的产品，将使各种应用场合下的VPN有充分的互操作性和可扩展性。VPN可以实现不同网络组件和资源之间的相互连接，利用因特网或其他公共互连网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。第8讲

虚拟专用网络技术提高VPN效用的关键问题在于当用户的业务需求发生变化时，用户能很方便地调整他的VPN以适应变化，并且能方便地升级到将来新的TCP/IP技术；而那些提供门类齐全的软、硬件VPN产品的供应商，则能提供一些灵活的选择以满足用户的要求。目前的VPN产品主要运行在IPv4之上，但应当具备升级到IPv6的能力，同时要保持良好的互操作性。第8讲

虚拟专用网络技术IPv6：现有的互联网是在IPv4协议的基础上运行的。IPv6是其下一版本的互联网协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将影响互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。第8讲

虚拟专用网络技术IPv4采用32位地址长度，只有大约43亿个地址，估计在2005～2010年间将被分配完毕，而IPv6采用128位地址长度，几乎可以不受限制地提供地址。除了一劳永逸地解决地址短缺问题以外，IPv6的主要优势还体现在以下几方面：提高网络的整体吞吐量、改善服务质量(QoS)、安全性有更好的保证、支持即插即用和移动性、更好实现多播功能。第8讲

虚拟专用网络技术1.VPN的安全性使用虚拟专用网络涉及到一些传统企业内部网络中不存在的安全问题。第8讲

虚拟专用网络技术在虚拟专用网络中，一个典型的端到端的数据通路可能包含：1)数台不在公司控制之下的机器(例如ISP的接入设备和因特网上的路由器)。2)介于内部网(Intranet)和外部网之间的安全网关(可能是防火墙或者是路由器)。第8讲

虚拟专用网络技术3)一个包含若干主机和路由器的内部网。其中一些机器可能由恶意攻击者操作，有的机器同时参与公司内部的通信以及与公司外部的通信。4)一个外部公共网络(因特网)上面的数据通信来源不仅限于公司网络。在这样一个开放的复杂环境下，很容易被窃听和篡改数据报文的内容，很容易实施拒绝服务的攻击或者是修改数据报文的目的地址的攻击。第8讲

虚拟专用网络技术2.因特网的安全协议IPSec实现VPN通常用到的安全协议主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于链路层，IPSec主要应用于网络层，SOCKSv5应用于会话层。为了解决因特网所面临的不安全因素的威胁，实现在不信任通道上的数据安全传输，使安全功能模块能兼容IPv4和下一代网络协议IPv6，IPSec协议将会是主要的实现VPN的协议。第8讲

虚拟专用网络技术IPSec是IP与Security的简写。IPSec结合使用多种安全技术为IP数据包提供保密性、完整性和真实性。IPSec实际上指的是多个相关的协议，它们在RFC2401-2411和RFC2451中定义，规约已经变得相当复杂。IPSec的主要设计目标是良好和互操作性。如果得到正确的实现，IPSec对那些不支持它的主机和网络不会产生任何负面影响，IPSec的体系结构独立于当前的密码算法，IPSec对于IPv6是必需的，而对IPv4是可选的。第8讲

虚拟专用网络技术(1)IPSec的体系结构IPSec框架主要有两个协议：一个是用于认证的认证首部(AuthenticationHeader，AH)协议和一个用于加密数据的安全封装(EncapsulatingSecurityPayload，ESP)协议。这些安全特征都是作为主要的IP报文首部之后的扩展首部来实现的。AH和ESP可以使用两种模式，即传输模式和隧道模式。第8讲

虚拟专用网络技术1)IPsec文档。IPSec文档被划分成7个组，如图8.2所示。这是由IETF成立的IP安全协议工作组在做了大量的工作之后划分的。第8讲

虚拟专用网络技术体系结构：覆盖了定义IPSec技术的一般性概念、安全需求、定义和机制。ESP协议：覆盖了使用ESP进行分组加密(可选的认证)的格式和一般问题。AH协议：覆盖了使用AH进行分组认证的格式和一般问题。加密算法：描述了怎样将不同的加密算法用于ESP中。第8讲

虚拟专用网络技术认证算法：描述了怎样将不同的认证算法用于AH和ESP可选的认证选项。解释域(DOI)：包含了其他文档需要的为了彼此间相互联系的一些值。这些值包括经过检验的加密和认证算法的标识以及操作参数，例如密钥的生存期。密钥管理：描述密钥管理机制的文档，其中IKE(因特网密钥交换协议)是默认的密钥自动交换协议。第8讲

虚拟专用网络技术2)IPSec的服务。IPSec在IP层提供下列安全服务：访问控制。无连接的完整性(对IP数据包自身的一种检测方法)。数据源的认证。拒绝重发的数据包(部分序列号完整性的一种形式)。保密性(加密)。有限的通信流保密性。第8讲

虚拟专用网络技术(2)AH协议AH协议为IP数据包提供了数据完整性服务和认证服务，并使用一个带密钥的哈希函数以实现认证服务。第8讲

虚拟专用网络技术1)AH协议的原理。AH协议可以保证IP分组的可靠性和数据的完整性。它的原理是发送方将IP分组头、上层数据、公共密钥这3部分通过MD5(或SHA-1)算法进行计算，得出AH首部的认证数据，并将AH首部加入IP分组中。当数据传输到接收方时，接收方将收到的IP分组头、数据部分和公共密钥用相同的MD5(或SHA-1)算法运算，并把得到的结果和收到的数据分组的AH首部进行比较和认证。第8讲

虚拟专用网络技术但是，AH协议并不提供对数据的保密性保护，因此，当数据通过网络时，如果攻击者使用协议分析器照样能窃取敏感数据。第8讲

虚拟专用网络技术2)传输与隧道模式。AH协议服务可以使用两种模式：传输(transport)模式和隧道(tunnel)模式。AH在IPv4和IPv6数据包的实际位置决定于使用何种模式以及AH是应用于一个IPv4还是IPv6数据包。在传输模式中，AH协议仅仅应用于主机实现中，并且除了对选定的IP头域之外还对上层协议提供保护。该模式通过传输安全关联(SecurityAssociation，SA)来提供。第8讲

虚拟专用网络技术AH既可以用于主机，也可以用于安全网关。当在一个安全网关中实现AH以保护传输的通信时，必须使用隧道模式。“隧道”技术是VPN的核心，它允许VPN的数据流被路由通过IP网络，而不管生成数据流的是何种类型的网络或设备。隧道内的数据流可以是IP、IPX、AppleTack或其他类型的数据包。第8讲

虚拟专用网络技术(3)ESP协议ESP协议为通过不可信网络传输的IP数据提供保密性服务。另外，ESP协议还可以提供认证服务。根据所使用的加密类型和方式的不同，ESP的格式也会有所不同。在任何情况下，与加密关联的密钥都是使用SPI(安全参数索引)来选择的。第8讲

虚拟专用网络技术1)ESP协议的加密算法。ESP协议兼容多种密码算法。系统必须有使用密码分组链接(CipherBlockChaining，CBC)模式DES算法：对于要求认证的兼容系统则必须含有NULL算法。同时，也定义了ESP服务使用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。第8讲

虚拟专用网络技术2)传输与隧道模式。与AH相同，ESP也可以用于两种模式：传输模式和隧道模式。这些模式的工作方式与它们在AH中的工作方式类似。但是有一个例外：对ESP，在每一个数据之后将附加一个尾部(trailer)的数据。ESP传输模式只用于实现主机之间的加密(和可选的认证)服务，为上层协议提供保护而不是IP头本身。第8讲

虚拟专用网络技术ESP隧道模式既可以用于主机，也可以用于安全网关。当在一个安全网关中实现ESP时(用于保护用户传输通信流)，必须使用隧道模式，如图8.3所示是一个由4个专用网通过因特网互相连接的隧道模式示例。内部网络上的主机使用因特网是为了传输数据，而不是同其他基于因特网的主机进行交互。在每个内部网络上的安全网关用于终止隧道。第8讲

虚拟专用网络技术(4)安全关联安全关联(SA)是在发送者和接收者之间为进出通信量提供安全服务的一种单向的关系，它是IPSec中的一个基本的概念。每一对使用IPSec的主机必须在它们之间建立一个SA。SA数据库定义了与每一个SA相关联的参数，例如，通信使用何种保护类型(是AH还是ESP)、使用的加密算法、密钥、协议方式(隧道或传输)以及该SA的有效期等。SA在发送者和接收者之间建立一种单向的关系。如果需要进行双向通信，则需要第二个SA。第8讲

虚拟专用网络技术AH协议和ESP协议可以单独使用，也可以组合使用，因为每一种协议都有两种使用模式，这样组合使用就有多种可能的组合方式。但是在这么多可能的组合中只有几个有实际意义的应用。用SA束来实现IPSec的组合，定义了两种组合SA的方式：传输邻接和循环隧道。第8讲

虚拟专用网络技术(5)安全管理IPSec包含两个指定的数据库：安全策略数据库(SecurityPolicyDatabase，SPD)和安全关联数据库(SecurityAssociationDatabase，SAD)。SPD指定了决定所有输入或者输出的IP通信部署的策略；SAD包含有与当前活动的安全关联相关的参数。第8讲

虚拟专用网络技术(6)密钥管理当使用IPSec时，与其他安全协议一样，必须提供密钥管理功能。例如，应提供一种方法，用于与其他人协商协议、加密算法以及在数据交换中使用的密钥。此外，IPSec需要知道实体之间的所有的这样的协定。IETF的IPSec工作组已经指定所有兼容的系统必须同时支持手工和自动的SA和密钥管理。第8讲

虚拟专用网络技术3.VPN应用IPSec提供了在局域网、专用和公用的广域网(WAN)和因特网上安全通信的能力。第8讲

虚拟专用网络技术(1)通过因特网实现远程用户访问一个系统中配备了IP安全协议的最终用户，可以通过调用本地的因特网服务提供商(ISP)来获得对一个公司网络的安全访问，这为在外出差的雇员和远程的工作者减少了长途通信费用。第8讲

虚拟专用网络技术虚拟专用网络支持以安全的方式通过公共互连网络远程访问企业资源。与使用专线拨打长途或电话连接企业的网络接入服务器(NAS)不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接，在拨号用户和企业VPN服务器之间，创建一个跨越因特网或其他公共互连网络的虚拟专用网络，如图8.4所示。第8讲

虚拟专用网络技术客户通过拨号到ISP来连接到因特网，然后和内部网边界上的安全网关建立一个经认证的、加密的安全通道。通过在远程和安全网关之间实行IPSec方式的认证，内部网可以免受那些不必要的或恶意的IP包攻击。通过将远程主机与安全网关之间的数据流进行加密，可以防止窃听。第8讲

虚拟专用网络技术(2)通过因特网实现网络互连一个公司可以在因特网或者公用的广域网上建立安全的虚拟私有网络。这可以使企业主要依赖因特网而减少它构造专用网络的需求，节省了费用和网络管理有负担。通过因特网实现两个相互信任的内部网络安全连接，在这种情况下，即要防范外部对内部网络的攻击，又要保护在因特网上传输数据的安全。例如，一个公司的两个分公司之间通过因特网建立分支机构的VPN，需要满足公司对通信、安全和成本的需求。第8讲

虚拟专用网络技术可以用以下两种方式使用VPN来连接远程局域网络：1)使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通因特网。VPN软件使用与本地ISP建立的连接和因特网在分支机构和企业端路由器之间创建一个虚拟专用网络。第8讲

虚拟专用网络技术2)使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或电话连接企业NAS(网络接入服务器)的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接在分支机构和企业端路由器之间创建一个跨越因特网的虚拟专用网络，如图8.5所示。第8讲

虚拟专用网络技