《工业控制系统信息安全技术与实践》课件 第7、8章 数据加密技术及应用、VPN技术

数据加密技术现代密码系统的组成一个现代密码系统包括：明文、密文、加/解密算法、加/解密密钥。(1)明文/消息(Plaintext/Message)：作为加密输入的原始消息，即消息的原始形式，一般用M表示。(2)密文(Cyphertext)：明文变换后的一种隐蔽形式，一般用C表示。(3)加/解密算法(Encryption/DecryptionAlgorithm)：将明文变换为密文的一组规则称为加密算法；将密文变换为明文的一组规则称为解密算法。加密算法可以用函数E()表示；解密算法可以用函数D()表示。(4)加/解密密钥(Key)：控制加密或解密过程的数据称为加/解密密钥，用K表示（加密密钥Ke，解密密钥Kd）。使用相同的加密算法，通过变换不同的密钥可以得到不同的密文。加密：C=EKe(M)解密：M=DKd(C)对称加密算法概述对称加密算法有时又被称为传统加密算法，是指加密时使用的密钥与解密时使用的密钥相同或者可以相互推算出来的加密算法，即Ke=Kd。由于加密算法是公开的，所以被加密数据的安全性取决于密钥。对称加密算法可以分为两类：流密码和分组加密。流密码是指一次只对明文中的一个比特或一个字节运算的加密算法，有时也被成为序列算法或序列密码，常用的算法包括RC4、SEAL、ZUC(祖冲之算法）等。分组密码是指一次对明文中的一组比特进行运算，这组比特被称为分组。现代计算机加密算法的典型分组大小为64比特，这个长度大到足以防止分析破译，但小到方便使用的程度，常用算法包括DES、IDEA、AES、SM4等。数据加密标准DES

首先，DES把输入的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位，并进行前后置换（输入的第58位换到第一位，第50位换到第2位，依此类推，最后一位是原来的第7位），最终由L0输出左32位，R0输出右32位，根据这个法则经过16次迭代运算后，得到L16、R16，将此作为输入，进行与初始置换相反的逆置换，即得到密文输出。

解密过程：DES算法加密和解密使用相同的算法，但密钥的次序相反。如果各轮加密子密钥分别是K1,K2,K3,…,K16，那么解密子密钥就是K16,K15,K14,…,K1。L0R0L1=R0IPL2=R1L15=R14R1=L0

f(R0,K1)R2=L1

f(R1,K2)R15=L14

f(R14,K15)L16=R15R16=L15

f(R15,K16)IP1f

ff输出密文Y(64bit)明文X(64bit)输入K16(48bit)K2(48bit)K1(48bit)X0的左半边

(32

bit)X0(64bit)X0的右半边

(32

bit)R16L16(64bit)DES算法分析对称加密算法使用“位运算”方式对数据进行加密和解密操作，数据处理效率相对比较高，是加密系统中对消息进行加密的通用方式。DES算法属于对称加密算法，加/解密密钥相同，所以通信双方首先要保证在安全的传输介质上分发密钥，另外通信双方也要同时安全存储密钥。DES算法的一个主要缺点是密钥长度较短，有效密钥仅56比特，密钥空间是256。针对这个弱点的攻击主要是穷举攻击，即利用一个已知明文和密文消息对儿，直到找到正确的密钥，这就是所谓的蛮力攻击(BruteForceAttack)。但是到目前为止，除了用穷举搜索法对DES算法进行攻击以外，还没有发现更有效的办法，这也证明了DES算法具有极高的抗密码分析能力。三重DES(3DES):加密：解密：

三重DES加/解密过程中分别进行了3次DES算法，并且使用了两个不同的密钥，这个方案不仅能够扩大密钥空间，同时可以与单密钥DES加密系统兼容，使用户在升级加密系统的过程中可以减少投入的成本。IDEA算法简介

IDEA是InternationalDataEncryptionAlgorithm(国际数据加密算法)的缩写，是1990年由瑞士联邦技术学院的中国学者莱学嘉(X.J.Lai)博士和著名的密码学家马西(Massey)联合提出的建议标准算法。莱学嘉和马西在1992年进行了改进，强化了抗差分分析的能力。IDEA是对64比特大小的数据块加密的分组加密算法，密钥长度为128比特。该算法用硬件和软件实现都很容易，并且效率高。IDEA自问世以来经历了大量的详细审查，对密码分析具有很强的抵抗能力，在多种商业产品中被使用。高级加密标准AES简介

1997年1月，美国国家标准和技术研究所(NIST)宣布征集新的加密算法。2000年10月2日，由比利时设计者JoanDeameen和VincentRijmen设计的Rijndeal算法以其优秀的性能和抗攻击能力，最终赢得了胜利，成为新一代的加密标准AES(AdvancedEncryptionStandard)。AES加密算法是分组加密算法，分组大小为128比特。AES的密钥长度与轮数相关：轮数为10，密钥为128比特；轮数为12，密钥为192比特；轮数为14，密钥为256比特。SM1/SM4/SM7算法简介

SM1/SM4/SM7算法是我国研发的国家商用密码算法。SM1算法分组长度、秘钥长度都是128bit，算法安全保密强度跟AES相当，但是算法不公开，仅以IP核的形式存在于芯片中，需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品，广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。跟SM1类似，SM4是我国自主设计的分组对称密码算法，于2012年3月21日发布，用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度，都是128bit。SM7算法没有公开，它适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。对称加密工作模式(1)电码本模式：电码本模式简称为ECB(ElectronicCodeBook)。在这种模式下，将需要加密的消息按照块密码的块大小分为数个块，并对每个块进行独立加密。(2)密码分组链模式：密码分组链模式简称CBC(Cipher-BlockChaining)。在CBC模式中，每个明文块先与前一个密文块进行异或后，再进行加密。(3)密码反馈模式：密码反馈模式简称CFB(CipherFeedback)。在CFB模式中，先加密前一个分组，然后将得到的结果与明文相结合产生当前分组，从而有效地改变用于加密当前分组的密钥。(4)输出反馈模式：输出反馈模式简称OFB(OutputFeedback)。OFB模式可以将分组密码变成同步的流密码。它产生密钥流的分组，然后将其与明文分组进行异或，得到密文。(5)计数器模式：计数器模式简称CTR(CounterMode)，也被称为ICM模式（IntegerCounterMode，整数计数模式）和SIC模式（SegmentedIntegerCounter）。与OFB相似，CTR将分组密码变为流密码。

X0Y0

X1Y1

X2Y2

X3Y3…初始向量密钥明文密文加密EEEE

X0Y0

X1Y1

X2Y2

X3Y3…初始向量密钥明文密文解密DDDD密码分组链模式公钥加密算法概述公钥加密算法的一对儿密钥具有如下两个特性：(1)用公钥加密的消息只能用相应的私钥解密，反之亦然。(2)如果想要从一个密钥推知另一个密钥，在计算上是不可行的。公钥加密算法的思想是由W.Difie和Hellman在1976年提出的。使用公钥加密算法，加密和解密时使不同密钥，即。用于加密的密钥称为公钥，可以公开；用于解密的密钥称为私钥，必须被所有者秘密保存。即Ke≠Kd。公钥加密算法的使用过程是：由消息接收方生成一对儿密钥，其中公钥用于加密，可以公开；私钥用于解密，必须由接收方秘密保存。消息发送方利用接收方的公钥加密消息并发送给接收方，接收方利用私钥解密消息。公钥加密算法均基于数学难解问题。基于“大数分解”难题的公钥加密算法包括RSA、ECDSA、Rabin等算法；基于“离散对数”难题的公钥加密算法包括ElGamal、ECC、ECDH、SM2、SM9等算法。RSA算法1)密钥对的产生(1)选择两个大素数p和q。p和q的值越大，RSA越难攻破，推荐公司使用的p和q的乘积是1024比特的量级；(2)计算n和z，其中n=p*q，z=(p-1)*(q-1)；(3)选择小于n的一个数e，并且e与z没有公因数；(4)找到一个d数，使得e*d-1除以z没有余数；(5)公钥是二元组(n,e)，私钥是二元组(n,d)。2)加密与解密加密表示为：c=memodn解密表示为：m=cdmodn接收者发送者E加密算法D解密算法加密密钥PK解密密钥SK明文X密文Y=EPK(X)密钥对产生源明文X=DSK(EPK(X))RSA算法举例设选择了两个素数，p

7,q

17。得到，公开密钥PK

(e,n)

{5,119},

秘密密钥SK

（e,d)={77,119}。明文

1919==20807公开密钥={5,119}加密52476099119及余数

66密文

6666==1.0610秘密密钥={77,119}解密771.27...10119及余数

19

明文

19140138RSA算法存在的问题

RSA算法的安全性依赖于大数分解，但是否等同于大数分解一直未能得到理论上的证明，不管怎样，分解模数n是最显然的攻击方法。目前，人们已经能分解150多个十进制位的大素数。因此，模数n必须选大一些。

RSA算法的主要缺点体现在以下两个方面：

(1)密钥产生很麻烦：由于受到素数产生技术的限制，难以做到一次一密。

(2)加密/解密运算效率低：为保证安全性，n至少也要600比特以上，这样使分组长度太大，运算代价很高。由于进行的都是大数计算，无论是软件还是硬件实现，RSA最快的情况也要比DES慢100倍。因此，速度一直是RSA最主要的缺陷，一般来说只用于少量数据加密。目前，SET协议中要求数据证书认证中心采用2048比特的密钥，其他实体采用1024比特的密钥。RSA算法的优点

使用RSA算法(也包括其他公钥加密算法)进行安全通信，有以下优点：

(1)通信双方事先不需要通过保密信息交换密钥。

(2)密钥持有量大大减小。一个安全通信系统中有m个用户，如果使用公钥加密算法通信，每个用户只需要持有自己的私钥，而公钥可以放置在公共数据库上供其他用户取用，这样整个系统仅需要m对密钥就可以满足相互之间进行安全通信的需要。如果使用对称加密算法进行通信，则每个用户需要拥有(m-1)个密钥，系统总的密钥数量是m*(m-1)/2，这还仅仅只考虑了用户之间只使用一个会话密钥的情况，如此庞大数量密钥的生成、管理、分发确实是一个难以处理的问题。

(3)公钥加密算法还提供了对称加密算法无法或很难提供的服务，如与散列函数联合运用组成数字签名等。公钥加密技术的产生可以说是信息安全领域中的一个里程碑，是PKI(PublicKeyInfrastructure,公钥基础设施)技术的重要支撑。其它公钥加密算法

(1)ECC算法：同RSA算法一样，椭圆曲线加密算法(EllipticCurvesCryptography,ECC)也属于公钥加密算法，其安全性依赖于计算“椭圆曲线上的离散对数”难题。ECC算法优于RSA算法的地方表现在：安全性能高；计算量小，处理速度快；存储空间小；带宽要求低。基于以上优点，ECC加密算法在移动通信和无线通信领域应用广泛。

(2)SM2/SM9算法：SM2/SM9算法是我国研发的国家商用密码算法。SM2是基于椭圆曲线密码的公钥密码算法标准，其秘钥长度256bit，包含数字签名、密钥交换和公钥加密，用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求，由国家密码管理局于2010年12月17号发布。SM2采用的是ECC256位的一种，其安全强度比RSA2048位高，且运算速度快于RSA。SM9是基于标识的公钥加密算法，可以实现基于标识的数字签名、密钥交换协议、密钥封装机制和公钥加密与解密。SM9可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据公开报道，SM9的加密强度等同于3072位密钥的RSA加密算法，于2016年3月28日发布。数字信封公钥加密算法与对称加密算法相比的优点是能够很好地解决密钥分发问题，而缺点是加密效率低。目前的加密系统通常都综合应用对称和公钥加密算法，保证加密运算的效率的同时解决密钥分发问题，这一应用方式被成为数字信封。感谢观看数字签名与验证散列算法概述

散列算法(也被称为散列函数)提供了这样一种服务：它对不同长度的输入消息，产生固定长度的输出。这个固定长度的输出成为原输入消息的“散列”或“消息摘要”(MessageDigest)。

对于一个安全的散列算法，这个消息摘要通常可以直接作为消息的认证标签。所以这个消息摘要又被称为消息的数字指纹。散列函数表示为，所以音译为“哈希”函数。

如下所示是通过MD5散列算法分别计算出的字符串以及一份文件的散列值(128bit)。

MD5() =C50E7667F83F34D1197EB5405702D69C

MD5(

) =3222C661B778BF214E5A28F06889FF99压缩性散列函数的输入长度是任意的。也就是所散列函数可以应用到大小不一的数据上。散列函数的输出长度是固定的。根据目前的计算技术，散列函数的输出长度应至少取128bit。单向性对于任意给定的消息x，计算输出其散列值Hash(x)是很容易的。对于任意给定的散列值h，要发现一个满足Hash(x)=h的x，在计算上不可行。抗碰撞性对于任意给定的消息x，要发现一个满足Hash(y)=Hash(x)的消息y，而y!=x，在计算上是不可行的。要发现满足Hash(x)=Hash(y)的对(x,y)，在计算上是不可行的。散列算法的性质散列算法的构造方式

常用的散列函数的构造方式是Merkle-Damgard加强式迭带结构，简称为MD方式。

MD方式首先对消息进行填充，以满足压缩函数输入长度的要求和保证其安全性。

填充好的消息被分成固定大小的消息块M1,M2,...,ML，初始变量设成某个固定值，然后进行压缩函数的迭代处理。

设压缩函数为f，则散列函数的处理过程为：填充原始消息并将消息分成固定长度的块M1,M2,...,ML，将初始变量H0设成固定值IV，设i从1到L，计算：Hi=f(Hi-1,Mi)。输出：h(M)=g(HL)。典型散列算法MDMD2算法是Rivest在1989年开发出来的，信息的长度是16的倍数，然后以一个16bit的校验和追加到信息的末尾，并根据这个新产生的信息生成128bit的散列值。Rivest在1990年有开发出MD4算法。MD4算法也需要信息的填充，它要求信息在填充后加上448能够被512整除。用64bit表示消息的长度，放在填充比特之后生成128bit的散列值。MD5算法是由Rivest在1991年设计的，在FRC1321中作为标准描述。MD5按512bit数据块为单位来处理输入，产生128bit的消息摘要。SHASHA算法由NIST开发，在1995年公布了其改进版本SHA-1。SHA以512bit数据块为单位来处理输入，但它产生160bit的消息摘要，具有比MD5更强的安全性。在2004年，SHA-2包含SHA-224、SHA-256、SHA-384和SHA-512算法。其中SHA-224算法的分组大小是512bit，消息摘要长度位224bit；SHA-256算法的分组大小是512bit，消息摘要长度位256bit；SHA-384算法的分组大小是1024bit，消息摘要长度为384bit；SHA-512算法的分组大小是1024bit，消息摘要长度位512bit。SM3SM3算法是我国研发的国家商用密码算法。SM3用于替代MD5/SHA-1/SHA-2等国际算法，适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成，可以满足电子认证服务系统等应用需求，于2010年12月17日发布。它是在SHA-256基础上改进实现的一种算法，采用加强式迭带结构，消息分组长度为512bit，输出的摘要值长度为256bit。数字签名与验证机制数据完整性验证

通过消息认证码MAC(MessageAuthenticationCode)可以对消息进行认证。基于密钥哈希函数的函数的MAC形式如下：MAC=Hash(k||M)其中:Hash()是双方协商好的散列函数；k是发送者和接收者共享的密钥；M是消息；||表示比特串的链接。

发送者将消息和认证码MAC一起发送给接收者。接收者收到后用协商好的散列函数对双方共享的密钥k和消息M进行运算，生成认证码MAC’。如果MAC和MAC’相同，则消息通过认证，否则不能通过认证。感谢观看智能制造学院王秀英数字证书数字证书简介

数字证书是网络通信中标志通信实体身份信息的一系列数据，其作用类似于现实生活中的身份证。身份证中包含人的姓名等描述信息，数字证书中也包含了通信实体的基本描述信息；身份证中包含身份证号，用来标识每一个人，数字证书中包含通信实体的公钥；身份证包含国家公共安全机关的签章，所以具有权威性，数字证书中包含可信任的签发机构的数字签名，这个签发机构被称为CA(CertificateAuthority，证书颁发机构)。X.509数字证书的结构

V1版本于1988年发布。1993年，在V1版本基础上增加了两个额外的域，用于支持目录存取控制，从而产生了V2版本。为了适应新的需求，1996年V3版本增加了标准扩展项。2000年，V4版本开始正式使用，但是V4格式仍为V3，黑名单格式仍为V2。算法标识符参数版本发行者唯一标识符证书序列号发行者名称起始时间结束时间主体名称算法参数密钥主体唯一标识符扩展算法标识符参数签名信息签名算法有效期主体的公钥信息签名所有版本V1V2V3X.509数字证书的类型

最终实体证书和CA证书。

(1)最终实体证书是认证机构颁发给最终实体的一种证书，该实体不能再给其他的实体颁发证书。

(2)CA证书也是认证机构颁发给实体的，但该实体可以是认证机构，可以继续颁发最终实体证书和其他类型证书。CA证书有以下几种形式。

自颁发证书：颁发者名字和主体名都是颁发证书的认证机构的名字。

自签名证书：它是自颁发证书的一种特殊形式，自己给自己的证书签名；证书中的公钥与对该证书进行签名的私钥构成公/私钥对儿。

交叉证书：在交叉证书中，主体与颁发者是不同的认证机构。交叉证书用于一个认证机构对另一个认证机构进行身份证明。PKCS#12数字证书与X.509数字证书的比较

PKCS(Public-KeyCryptographyStandards，公钥密码标准)是RSA实验室发布的一系列关于公钥技术的标准。PKCS标准提供了基本的数据格式定义和算法定义，实际上是今天所有PKI实现的基础。

PKCS#12是PKCS标准中的个人信息交换标准(PersonalInformationExchangeSyntax)。

PKCS#12将X.509证书及其相关的非对称密钥对通过加密封装在一起。这使得用户可以通过PKCS#12证书获取自己的非对称密钥对和X.509证书。许多应用都使用PKCS#12标准作为用户私钥和X.509证书的封装形式。因此，有时将封装了用户非对称密钥对儿和X.509证书的PKCS#12文件称之为“私钥证书”，而将X.509证书称为“公钥证书”。SPKI数字证书简介

IETF的SPKI(SimplePublicKeyInfrastructure)工作组认为X.509证书格式复杂而庞大。SPKI提倡使用以公钥作为用户的相关标识符，必要时结合名字和其他身份信息。SPKI的工作重点在于授权而不是标识身份，所以SPKI证书也称为授权证书。SPKI授权证书的主要目的就是传递许可证。同时，SPKI证书也具有授权许可证的能力。

SPKI基于的系统结构和信任模型不再是PKI系统，而是简单分布式安全基础设施SDSI(SimpleDistributedSecurityInfrastructure)。虽然SPKI的标准已经成熟和稳定，但是应用还比较少。数字证书工作原理

如果用户B希望得到用户A的正确公钥，过程如下(前提条件是rootCA是可信的)：

(1)用户B获得用户A的数字证书。

(2)如果用户B信任CA2，则使用CA2的公钥验证CA2的签名，从而验证用户A的数字证书；如果用户B不信任CA2，则进入下一步。

(3)用户B使用rootCA的公钥验证CA2的证书，从而判断CA2是否可信。数字证书的管理

(1)离线申请：用户持有关证件到注册中心进行书面申请，填写按一定标准指定的表格。

(2)在线申请：用户通过互联网到认证中心的相关网站下载申请表格，按内容提示进行填写；也可以通过电子邮件和电话呼叫中心传递申请表格的信息，但有些信息仍需要人工录入，以便进行审核。

注册中心对用户身份信息进行审核，如果通过，则向证书颁发机构提交证书申请请求；证书颁发机构为用户生成证书后，将证书返回给注册中心。如果密钥由证书颁发机构产生，则同时将用户私钥也返回给注册中心，然后由注册中心将证书和私钥返给用户。申请分发撤销更新归档数字证书的管理

1)私下分发

2)资料库发布

轻量级目录访问服务器(LightweightDirectoryAccessProtocol,LDAP)；X.509目录访问服务器；Web服务器；FTP服务器；数据有效性和验证服务器(DataValidationandCertificationServer,DVCS)。

3)协议发布申请分发撤销更新归档数字证书的管理

1)证书撤消列表

在PKI系统中，证书撤消列表是自动完成的，对用户是透明的。CRL中并不存放撤消证书的全部内容，只是存放证书的序列号，以便提高检索速度。

2)在线撤消机制

目前，最普遍的在线证书撤消机制是OCSP(OnlineCertificateStatusProtocol，在线证书状态协议)。

当用户试图访问一个服务器时，在线证书状态协议发送一个对于证书状态信息的请求，服务器回复一个“有效”、“过期”或“未知”的响应。OCSP实时地向用户提供证书状态，比CRL处理快得多。申请分发撤销更新归档数字证书的管理

一个证书的有效期是有限的，这种规定在理论上是基于当前非对称加密算法和密钥长度的可破译性分析。在实际应用中，由于长时间使用同一个密钥有被破译的危险，所以需要定义更换证书和密钥。用户可以向系统提出更新证书的申请，系统根据用户的申请更新用户的证书。但是，通常情况下证书更新由PKI系统自动完成，不需要用户干预。PKI系统会自动到目录服务器中检查证书的有效期，在有效期结束之前，PKI会自动启动更新程序，生成一个新证书来代替旧证书。申请分发撤销更新归档数字证书的管理

由于证书更新的原因，经过一段时间后，每一个用户都会形成多个旧证书和至少一个当前新证书。这一系列旧证书和相应的密钥就组成了用户密钥和证书的历史档案，记录整个密钥历史档案是非常重要的。例如，某用户几年前使用自己的公钥加密的数据或者其他人用自己的公钥加密的数据无法用现在的私钥解密，那么该用户就必须从他的密钥历史档案中，查找到几年前的私钥来解密数据。申请分发撤销更新归档感谢观看本章实训第7章

数据加密技术及应用实验简介实训目的了解XCA软件的基本功能；掌握通过XCA创建根证书的方法；掌握通过XCA创建证书模板方法；掌握通过XCA创建通信实体证书方法。实训准备复习本章内容；熟悉公钥加密算法的基本工作原理；熟悉根证书与实体证书的区别；熟悉X.509证书与PKCS#12证书的区别。实训设备本章实训需要安装并使用XCA软件。实训步骤实训准备创建CA根证书创建证书模板创建通信实体证书安装SCA软件创建数据库选项设置实训步骤实训准备创建CA根证书创建证书模板创建通信实体证书创建新证书证书“主题”设置书“主题”设置证书“扩展项”设置设置密钥用途完成证书设置导出根证书实训步骤实训准备创建CA根证书创建证书模板创建通信实体证书

默认情况下，XCA软件中有以下3个模板：

(1)CA：用于创建CA根证书。

(2)HTTPS_server：用于创建基于SSL协议的安全Web服务器端证书。(3)HTTPS_client：用于创建访问基于SSL协议的安全Web服务器的客户端证书。现在要为工业网络中的防火墙设备创建证书，所以需要创建对应的证书新模板。创建新模板设置模板主题设置模板扩展项设置模板用途实训步骤实训准备创建CA根证书创建证书模板创建通信实体证书设置实体证书的“源”设置实体证书的“主题”完成实体证书的创建导出私钥导出公钥感谢观看VPN技术目录CONTENTS1VPN原理2IPsecVPN3利用菲尼克斯的mGuard实现VPN4本章实训PART1VPN原理1.1VPN概述企业在进行远程网络连接时，通常采用以下两种方式：（1）利用专用的广域网（WAN）基础设施，如点对点租用线路（即专线）、电路交换链路（PSTN或ISDN）和分组交换链路（以太网WAN、ATM或帧中继）等，将多个远程网络进行连接。（2）利用公共的广域网（WAN）基础设施，如数字用户线路（DSL）、电缆、卫星等宽带接入技术，通过Internet进行连接，通常用于小型办公室或远程办公的员工。在使用公共的广域网（WAN）基础设施进行连接时，会带来一定的安全风险，应通过VPN保护传输的数据。1.1VPN概述1.VPN工作原理VPN网关一般采取双网卡结构，外网卡使用公有IP地址接入Internet。1.1VPN概述2.VPN的优点（1）节约成本：利用VPN，企业无需使用昂贵的专用WAN链路，就可以将远程办公室和远程用户通过经济高效的Internet安全地连接到企业内部网络。现在普遍使用的高速宽带技术（例如ADSL和有线电视宽带），使企业可以在降低连接成本的同时增加远程连接的带宽，为连接远程办公室提供经济有效的解决方案。（2）可扩展性：通过VPN和Internet，企业可以在不增加重大基础设施的情况下轻松添加新用户，进行网络扩展。（3）安全性：通过使用先进的加密和身份验证协议，VPN可以防止数据受到未经授权的访问，从而提供最高级别的安全性。1.2VPN分类1.按接入类型分类按VPN接入类型，可分为站点间VPN和远程访问VPN两种。1）站点间VPN1.2VPN分类1.按接入类型分类按VPN接入类型，可分为站点间VPN和远程访问VPN两种。2）远程访问VPN：又称拨号VPN、AccessVPN、VPDN1.2VPN分类2.按VPN隧道协议分类VPN的隧道协议主要有PPTP、L2TP和IPsec三种PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPsec是第三层隧道协议。1.2VPN分类3.按所用的设备类型分类网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要有以下两种：（1）路由器式VPN：这种VPN部署较容易，只要在路由器上添加VPN服务即可。（2）交换机式VPN：主要应用于连接用户较少的VPN网络。1.2VPN分类4.按照实现原理分类按照VPN的实现原理进行分类，可以分为以下两种：（1）重叠VPN：此VPN需要用户自己建立端节点之间的VPN链路，主要包括GRE、L2TP、IPsec等众多技术。（2）对等VPN：由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。1.2VPN分类5.按照VPN的实现方式分类按照VPN的实现方式进行分类，可以分为以下四种：（1）VPN服务器：在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN。（2）软件VPN：可以通过专用的软件实现VPN。（3）硬件VPN：可以通过专用的硬件实现VPN。（4）集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。1.3VPN隧道技术要创建VPN连接，隧道技术（Tunneling）是关键。隧道技术是指利用一种网络协议来传输另一种网络协议，主要利用隧道协议来实现。隧道的双方必须使用相同的隧道协议才能创建隧道。目前常用的网络隧道协议有两种：一种是第2层隧道协议，用于传输二层网络协议，主要应用于构建远程访问VPN；另一种是第3层隧道协议，用于传输三层网络协议，主要应用于构建站点间VPN。1.3VPN隧道技术1.第2层隧道协议第2层隧道协议对应数据链路层，使用数据帧（Frame）作为数据交换单位。第2层隧道协议是先把各种网络协议封装到PPP（PointtoPointProtocol，点对点协议）中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第2层协议进行传输。PPTP（PointtoPointTunnelingProtocol，点对点隧道协议）L2TP（Layer2TunnelingProtocol，二层隧道协议）L2F（Layer2ForwardingProtocol，第二层转发协议）1.3VPN隧道技术2.第3层隧道协议第3层隧道协议对应于网络层，使用数据包（Packet）作为数据交换单位。第3层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第3层协议进行传输。第3层隧道技术通常假定所有配置问题已经完成，这些协议不对隧道进行维护。这与第2层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建、维护和终止。第3层隧道协议的主要代表是IPsec（InternetProtocolSecurity，互联网安全协议）。PART2IPsecVPN2.1IPsec概述IPSec（IPSecurity）是一种开放标准的框架结构，特定的通信方之间在IP层通过加密和数据摘要（hash）等手段，来保证数据包在Internet网上传输时的私密性(Confidentiality)、完整性(DataIntegrity)和真实性(OriginAuthentication)。1.IPsec的特征不限于任何特定的加密、验证、安全算法或密钥技术。可保护网关与网关之间、主机与主机之间或网关与主机之间的路径。工作在网络层，保护和验证参与IPsec的设备之间的IP数据包。可对第

4层到第7层的数据实施保护，可以保护任何应用流量。第

2层协议的协议可以是以太网、ATM或帧中继等。2.1IPsec概述2．IPsec的功能保密性完整性真实性反重播保护2.2IPsec的基本模块IPSec安全协议保密性完整性DH算法组可选择的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真实性2.2IPsec的基本模块IPSec安全协议保密性完整性DH算法组可选择的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真实性2.2IPsec的基本模块IPSec安全协议保密性完整性DH算法组可选择的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真实性2.2IPsec的基本模块ESP（EncapsulatedSecurityPayload，封装安全负载）提供身份验证提供数据完整性提供防重放保护提供数据加密两种IPSec安全协议AH（AuthenticationHeader，验证头部）提供身份验证提供数据完整性提供防重放保护不提供数据加密所有数据均为明文所有数据均已加密Internet2.3IPsec的封装模式传输模式（TransportMode）不使用新的IP头部，封装模式相对简单，传输效率较高通常用于主机与主机之间无法保护原来的IP包头IP包头有效载荷IP包头VPN头有效载荷VPN尾IP包头VPN头有效载荷VPN尾IP包头VPN头IP包头有效载荷VPN尾IP包头未被保护Internet2.3IPsec的封装模式隧道模式（TunnelMode）增加新的IP头通常用于私网与私网之间通过公网进行通信，适用于建立安全VPN隧道保护了原来的IP包头新IP头VPN头IP包头有效载荷VPN尾新IP头VPN头IP包头有效载荷IP包头被保护新IP头VPN头IP包头有效载荷VPN尾VPN尾2.3IPsec的封装模式数据IP包头数据IP包头AH头数据IP包头AH头新IP包头传输模式隧道模式数据认证/完整性数据认证/完整性AH协议对除了TTL等变化值以外的整个IP包进行认证（hash运算），以确保被修改过的数据包可以被检查出来。数据IP包头AH协议在两种封装模式下的处理过程2.3IPsec的封装模式数据IP包头数据IP包头ESP头数据IP包头ESP头新IP包头传输模式隧道模式数据认证/完整性数据认证/完整性ESP协议只是对整个内部IP包进行认证（hash运算）以确保被修改过的数据包可以被检查出来。数据IP包头ESP尾ESP验证数据加密ESP尾ESP验证数据加密ESP协议在两种封装模式下的处理过程2.4IPsecVPN身份验证真实性：数据确实是由特定的对端发出通过身份认证可以保证数据的真实性。常用的身份认证方式包括：Pre-sharedkey，预共享密钥，简称PSKX.509证书2.4IPsecVPN身份验证预共享密钥PSK预先协商密钥；人工秘密交换密钥；少数设备；直接，对称的过程服务器I/O站控制器)

)

)

(

(

(采用PSK的WPA采用PSK的VPN传输2.4IPsecVPN身份验证PSK的边界条件静态IP地址或者DynDNS；动态IP地址仅用于主动模式；在经NAT路由器连接时，PSK是不行的。2.4IPsecVPN身份验证X.509证书每个证书包含一对密钥：一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。用公钥加密过的数据只有对应的私钥才能解开，反之亦然。证书由共同信任的CA发布、分发和验证。X.509证书里含有公钥、身份信息(比如网络主机名，组织的名称或个体名称等)和签名信息（可以是证书签发机构CA的签名，也可以是自签名）。X.509有证书吊销列表和证书合法性验证算法。2.4IPsecVPN身份验证如何获得证书商业证书颁发机构，如VeriSignMicrosoftCA服务器使用软件的自签名证书OpenSSL–XCA–2.4IPsecVPN身份验证两种不同的证书格式PEM格式仅包含公钥必须将其导入到所有尝试与证书所属的设备建立VPN连接的每个设备中。PKCS＃12格式包含公共密钥和对应的私钥机器证书设备的身份证明文件作为某设备的唯一机器证书，导入到特定设备中。2.5VPN安全通道协商过程当需要保护的流量流经VPN网关时，就会触发VPN网关启动IPsecVPN相关的协商过程启动IKE（InternetKeyExchange，Internet密钥交换）阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道；启动IKE阶段2，在上述安全通道上协商IPsec参数，并按协商好的IPsec参数对数据流进行加密、Hash等保护。2.5VPN安全通道协商过程1.IKE（Internet密钥交换）IKE（Internet密钥交换）解决了在不安全的网络环境（如Internet）中安全地建立、更新或共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商SA（安全关联，SecurityAssociation），也可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。1）IKE的作用当应用环境的规模较小时，可以用手工配置SA；当应用环境规模较大、参与的节点位置不固定时，IKE可自动为参与通信的实体协商SA，并对安全关联库（SAD）进行维护，保障通信安全。2）IKE的机制IKE是一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的密钥交换方式。2.5VPN安全通道协商过程2.两个阶段的安全关联IKE使用了两个阶段的安全关联，这一阶段也叫ISAKMPSA密钥交换阶段，协商创建一个通信信道，并对该信道进行身份验证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务；第二阶段也叫IPsec-SA数据交换阶段，使用第一阶段创建的安全通道建立IPsecSA。PART3利用菲尼克斯的mGuard实现VPN利用菲尼克斯的mGuard实现VPN菲尼克斯的安全路由器与防火墙产品mGuard有多达250个IPsec加密的VPN通道，安全装置功能全面，为可用性要求高的场合和复杂的安全架构提供较高的安全性。要实现IPsecVPN的配置，需要满足以下前提条件：（1）两个固件版本在8.6.1以上的mGuard设备。（2）每个mGuard设备都有内部和外部IP地址。（3）这两个mGuard设备之间已经实现网络连接（IP连接），可以通过Internet、WAN或LAN。（4）IPsecVPN连接两侧的防火墙需要打开UDP端口500和4500。（5）（可选）通过DynDNS，为每个mGuard设备设置主机名，例如mG和mG。这两个mGuard设备，一个作为发起方（Initiate），即客户端，另一个作为等待方（Wait），即服务器。VPN连接通常由客户端发起，而服务器则等待来自客户端的连接请求，一旦客户端发起VPN连接请求，则可以建立IPsecVPN隧道。利用菲尼克斯的mGuard实现VPN配置过程可以分为如下几个步骤（若身份验证方式是预共享密钥PSK，前两个步骤可省略）：（1）生成X.509证书和密钥（2）导入X.509机器证书（3）配置IPsecVPN连接（4）查看IPsecVPN连接状态PART4本章实训4.1实训任务分解工业现场的一台PLC需要进行远程配置，同时要保证传输的数据的安全性，此时可利用mGuard的VPN功能实现，将编写好的程序通过安全的VPN通道远程下载到PLC中。4.1实训任务分解可将此实训分解成如下几个任务：（1）按照拓扑对各个设备进行配置，实现网络的连通性；（2）为mGuard1和mGuard2生成X.509证书和密钥；（3）为mGuard1和mGuard2导入X.509证书和密钥；（4）为mGuard1和mGuard2配置IPsecVPN连接；（5）测试VPN连接；（6）在PC3上用抓包软件验证VPN连接；（7）在PC2中将PLC程序通过VPN连接远程下载到PLC中并运行。4.2实现网络连通性按照拓扑图进行网络连接，并分别对每个设备进行必要的配置，实现网络的连通性，使PC2可以与PC1及PLC进行通讯。具体实训步骤如下：步骤1按照拓扑图进行网络连接。步骤2在PC1上，打开控制面板>>网络和Internet>>网络连接，禁用无线网卡，并将以太网的IP地址设置为，子网掩码为，网关为；打开控制面板>>系统和安全，点击“启用或关闭WindowsDefender防火墙”，关闭Windows防火墙。步骤3利用PLCNextEngineer软件将PLC的IP地址设置为0，子网掩码为，网关为。4.2实现网络连通性步骤4在PC2上，打开控制面板>>网络和Internet>>网络连接，禁用无线网卡，并将以太网的IP地址设置为，子网掩码为，网关为；打开控制面板>>系统和安全，点击“启用或关闭WindowsDefender防火墙”，关闭Windows防火墙。步骤5对mGuard1进行复位操作，复位之后mGuard的NetworkMode为Router，连接到mGuard1，按照拓扑图将mGuard1的LAN口地址配置为，子网掩码为，将WAN口地址配置为，子网掩码为，DefaultGateway为，同时将mGuard1的IncomingRules和OutgoingRules防火墙规则设置为“Acceptallconnections”，在Advanced标签设置“AllowallICMPS”，允许接受所有的PING数据包。4.2实现网络连通性步骤6对mGuard2进行复位操作，复位之后mGuard的NetworkMode为Router，连接到mGuard2，按照拓扑图将mGuard2的LAN口地址配置为，子网掩码为，将WAN口地址配置为，子网掩码为，DefaultGateway为，同时将mGuard2的IncomingRules和OutgoingRules防火墙规则设置为“Acceptallconnections”，在Advanced标签设置“AllowallICMPS”，允许接受所有的PING数据包。步骤7将PC3的IP地址设置为00，子网掩码为。步骤8将交换机复位，恢复到出厂设置，并在PC3上用IPAssign软件设置交换机的管理IP地址为，子网掩码为。步骤9在PC2上输入“CMD”，打开命令提示符窗口，用PING命令验证网络的连通性。如果不能连通，则需查找错误原因，连通之后才能进行后续的步骤。4.3生成并导入X.509证书和密钥1.为mGuard1和mGuard2生成X.509证书和密钥用XCA软件分别为mGuard1和mGuard2生成X.509证书和密钥，并导出成“.p12”和“.pem”格式，具体操作步骤见上章实训。4.3生成并导入X.509证书和密钥2.为mGuard1和mGuard2导入X.509证书和密钥分别为mGuard1和mGuard2导入X.509证书和密钥4.4配置并测试IPsecVPN连接1.为mGuard1和mGuar