第8章VPN技术及应用祥解.pptVIP

3）两种典型的L2TP隧道模式 图 NAS-Initiated L2TP隧道模式 图 Client-Initiated L2TP隧道模式 4.GRE 通用路由封装（generic routing encapsulation，GRE）协议是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输。GRE是VPN的第三层隧道协议，在协议层之间采用了隧道的技术。 5.IPSec Internet协议安全性（Internet protocol security，IPSec）不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括认证头、封装安全载荷等协议。 1）AH协议结构 认证头（authentication header，AH）协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。 AH报头位置在IP报头和传输层协议报头之间，如下图所示。AH由IP协议号51标识，该值包含在AH报头之前的协议报头中，如IP报头。AH可以单独使用，也可以与ESP结合使用。 AH报头 图8-14 AH报头 AH完整性检查 2）ESP协议结构 封装安全载荷（encapsulating security payload，ESP）为IP数据包提供完整性检查、认证和加密，可以看做是“超级AH”，因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联是可选的。然而也有一些限制，例如： 完整性检查和认证一起进行。 仅当与完整性检查和认证一起时，“重播”保护才是可选的。“重播”保护只能由接收方选择。 ESP的加密服务是可选的，但如果启用加密，也就同时选择了完整性检查和认证。因为如果仅使用加密，入侵者就可能伪造数据包以发动密码分析攻击。 ESP可以单独使用，也可以和AH结合使用。一般ESP不对整个数据包加密，而是只加密IP包的有效载荷部分，不包括IP报头。但在端到端的隧道通信中，ESP需要对整个数据包加密。 ESP报头、报尾和认证报尾 如下图所示，ESP报头插在IP报头之后，TCP或UDP等传输层协议报头之前。ESP由IP协议号50标识。 图 ESP报头、报尾和认证报尾 认证数据（authentication data） 包括完整性检查和。完整性检查部分包括ESP报头、有效载荷（应用程序数据）和ESP报尾，而ESP只加密有效载荷（应用程序数据）和ESP报尾，如下图所示。 图 ESP的加密部分和完整性检查部分 3）ESP隧道模式和AH隧道模式 在隧道模式下，整个原数据包被当成有效载荷封装了起来，外面附上新的IP报头。其中“内部”IP报头（原IP报头）指定最终的信源和信宿地址，而“外部”IP报头（新IP报头）中包含的常常是安全网关地址。 与传输模式不同，在隧道模式中，原IP地址被当成有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。 ESP隧道模式 AH隧道模式 8.2.2 加密技术 VPN构建在Internet公众数据网络上，为确保私有资料在传输过程中不被其他人浏览、窃取或篡改，所有的数据包在传输过程中均需加密，当数据包传送到专用数据网络后，再将数据包解密。加解密的作用是保证数据包在传输过程中即使被窃听，只能看到一些封锁意义的乱码。 加解密技术是较成熟的安全数据通信技术，VPN可直接利用现有加解密技术。 VPN采用的加密技术 VPN采用何种加密技术依赖于VPN服务器的类型，因此可以分为以下两种情况： （1）对于PPTP服务器，将采用微软点对点加密（Microsoft point-to-point encryption，MPPE）加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。 （2）对于L2TP服务器，将使用IPSec机制对数据进行加密。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。 8.2.3 身份认证技术 身份认证技术是指计算机及网络系统确认操作者身份的过程所应用的技术手段。 在真实世界中，验证一个人的身份主要通过3种方式判定: （1）根据被验证人所知道的信息来证明其身份，假设某些信息只有某个人知道，例如，暗号等，通过询问这个信息就可以确认这个人的身份。 （2）根据被验证人所拥有的东西来证明其身份，假设某一个东西只有某个人有，如印章等。 （3）直接根据被验证人独一无二的身体特征来证明其身份，如指纹、面貌等。 信息系统中，对用户的身份认证手段也大体可以分为这3种，仅通过一个条件的符合来证明一个人的身份称之为单因子认证，由于仅使用一种条件判断用户的身份容易