linux系統(tǒng)下vpn技術分析畢業(yè)論文（含外文翻譯）

1、<p><b>　　畢業(yè)設計（論文）</b></p><p>　　填表時間：2012年6月</p><p>　設計（論文）題目：Linux系統(tǒng)下VPN技術分析</p><p><b>　　摘 要</b></p><p>　　網(wǎng)絡技術迅猛發(fā)展，網(wǎng)絡的規(guī)模越來越大。從局域網(wǎng)、廣域網(wǎng)到全球最大

2、的互聯(lián)網(wǎng)，從封閉式的、自成體系的網(wǎng)絡系統(tǒng)環(huán)境到開放式的網(wǎng)絡系統(tǒng)環(huán)境，這一切無不說明人們在面臨著網(wǎng)絡技術迅猛發(fā)展的同時，也面臨著對網(wǎng)絡建設的挑戰(zhàn)。如何根據(jù)自身需求規(guī)劃、設計網(wǎng)絡系統(tǒng)，選擇什么樣的網(wǎng)絡系統(tǒng)、拓撲結構、服務器、客戶機、網(wǎng)絡操作系統(tǒng)和數(shù)據(jù)庫軟件，由哪些供應商提供以上所說的網(wǎng)絡系統(tǒng)的軟硬件支持，如何開發(fā)網(wǎng)絡上的應用系統(tǒng)，使其充分發(fā)揮網(wǎng)絡系統(tǒng)的作用，取得應有的經(jīng)濟效益，這已不僅涉及簡單的部件組合，而且需要技術和管理知識有機結合起來，

3、其已成為當前網(wǎng)絡建設中亟待解決的問題。</p><p>　　本文主要為深入分析IPsec協(xié)議體系，研究IPsec的工作原理和工作的流程。并且將進一步研究IPsec在Linux環(huán)境中的實現(xiàn)機制，在linux的環(huán)境下搭建一個簡單高效的基于IPsec的VPN連接。</p><p>　　【關鍵詞】 虛擬專用網(wǎng)VPN IPsec Linux OpenSWAN 安全證書</p>

4、<p><b>　　ABSTRACT</b></p><p>　　With the development of network technology, the scale of network is more and more large. The advance from LAN, WAN to the world's largest Internet and the

5、 improvement of the open network environment give us all kinds of knowledge,at the same time,which led people faced with more challenge.According to our own requirements for network,we choose a kind of network system, to

6、pology structure, server, client, network operating system and database software.In addition,what kind of suppliers also need </p><p>　　This paper mainly analyse the IPsec agreement system:study the work pri

7、nciple and procedure of IPsec; research in the realization mechanism of IPsec in Linux; build a simple and efficient connection of VPN based on IPsec in Linux. </p><p>　　【Key words】VPN Ipsec Linux OpenSWA

8、N Certificate</p><p><b>　　目 錄</b></p><p><b>　　前 言1</b></p><p>　　第一章 VPN概述3</p><p>　　第一節(jié) VPN的定義3</p><p>　　一、VPN的優(yōu)缺點分析3</

9、p><p>　　第二節(jié) VPN分類5</p><p>　　一、按接入方式分5</p><p>　　二、按協(xié)議實現(xiàn)類型分5</p><p>　　三、按VPN發(fā)起方式分6</p><p>　　四、按VPN服務類型分7</p><p>　　五、按承載主體分8</p><p

10、>　　第三節(jié) VPN的連接方式9</p><p><b>　　一、傳輸模式9</b></p><p><b>　　二、隧道模式9</b></p><p>　　第四節(jié) VPN關鍵技術10</p><p><b>　　一、隧道技術10</b></p>

11、<p>　　二、加解密技術10</p><p>　　三、密鑰管理技術10</p><p>　　四、身份認證技術11</p><p>　　第五節(jié) 本章小結11</p><p>　　第二章 IPsec概述12</p><p>　　第一節(jié)IPsec簡介12</p><p>　

12、　一、IPsec提供的服務12</p><p>　　二、IPsec具有以下特點：13</p><p><b>　　三、封裝模式13</b></p><p>　　四、IPsec優(yōu)缺點14</p><p>　　第二節(jié) IPsec協(xié)議體系15</p><p>　　一、IPsec基本工作原理1

13、6</p><p><b>　　二、安全關聯(lián)18</b></p><p>　　三、AH頭認證20</p><p>　　四、ESP簡介23</p><p>　　第三節(jié) 因特網(wǎng)密鑰交換IKE25</p><p>　　一、IKE定義25</p><p>　　二、IKE

14、的消息格式26</p><p>　　第四節(jié) 本章小結29</p><p>　　第三章Linux下基于IPsec的VPN實施30</p><p>　　第一節(jié) 設計目標30</p><p><b>　　一、目標30</b></p><p>　　二、平臺選擇以及工具使用30</p>

15、;<p>　　三、基于IPsec支持的linux內(nèi)核編譯33</p><p>　　第二節(jié) 認證與配置網(wǎng)絡模型為40</p><p>　　一、設計的網(wǎng)絡模型40</p><p>　　二、RSA Signature（RSA數(shù)字簽名）認證的配制41</p><p>　　三、x.50Array證書認證的配置44</p&g

16、t;<p>　　第三節(jié) 本章小結49</p><p><b>　　結 論50</b></p><p><b>　　致 謝51</b></p><p><b>　　參考文獻52</b></p><p><b>　　附 錄53</b&

17、gt;</p><p><b>　　一、英文原文53</b></p><p><b>　　二、英文翻譯58</b></p><p><b>　　前 言</b></p><p>　　隨著當今社會的不斷發(fā)展，網(wǎng)絡技術可謂無所不在，信息技術的高速發(fā)展和信息量的飛速膨脹，讓誕生于

18、70年代的Internet得以快速的發(fā)展。到現(xiàn)在無論是公司還是個人辦公，都越來越離不開網(wǎng)絡，許多企業(yè)和政府機構紛紛將自己的局域網(wǎng)連入Internet，然而，擴大的網(wǎng)絡環(huán)境也帶來了一系列的問題：隨著企業(yè)的不斷擴大，分支機構越來越多，合作伙伴越來越多，公司的移動用戶也越來越多，企業(yè)希望能通過無處不在的因特網(wǎng)來實現(xiàn)方便快捷的訪問企業(yè)的內(nèi)部網(wǎng)絡，更好的處理辦公。此時，經(jīng)濟又安全的企業(yè)間的互聯(lián)的VPN便脫穎而出托。它恰好能很好的適應企業(yè)的需求，又

19、在安全性有很好的加密算法。</p><p>　　目前，國內(nèi)企業(yè)內(nèi)部的信息化程度都越來越高，很多公司都建有自己的局域網(wǎng)，并且部署了例如財務系統(tǒng)、ERP系統(tǒng)和OA系統(tǒng)等等，可是建設和維護一個提供遠程基礎數(shù)據(jù)傳輸所需的昂貴費用卻使絕大多數(shù)企業(yè)望而卻步，如果采用DDN（Digital Data Network，數(shù)字數(shù)據(jù)網(wǎng))專線方式，昂貴的網(wǎng)絡運營費用將給企業(yè)帶來沉重的思想負擔。它們只能通過遠程撥號訪問或簡單的FTP傳輸?shù)?/p>

20、手段來維系不同地域信息系統(tǒng)之間數(shù)據(jù)交換的最低要求，這些都嚴重制約了信息系統(tǒng)整體效能的發(fā)揮。雖然Internet為企業(yè)實現(xiàn)數(shù)據(jù)訪問提供了方便，但它的高度開放性和松散管理結構也讓企業(yè)面臨嚴重的網(wǎng)絡安全問題。當下，企業(yè)迫切需要一種低成本的網(wǎng)絡互聯(lián)解決方案，以提供企業(yè)的異地分支機構和合作伙伴或移動用戶與公司總部之間暢通、安全地交換或共享業(yè)務數(shù)據(jù)。</p><p>　　當代，網(wǎng)絡技術迅猛發(fā)展，網(wǎng)絡的規(guī)模也越來越大。從最小的

21、局域網(wǎng)、廣域網(wǎng)到全球最大的互聯(lián)網(wǎng)Internet，從封閉式的、自成體系的網(wǎng)絡系統(tǒng)環(huán)境到開放式的網(wǎng)絡系統(tǒng)環(huán)境，這一切無不都在說明人們在面臨著網(wǎng)絡技術迅猛發(fā)展的同時，也面臨著一個對網(wǎng)絡建設的挑戰(zhàn)。如何根據(jù)自身需求規(guī)劃、設計網(wǎng)絡系統(tǒng)，選擇什么樣的網(wǎng)絡系統(tǒng)、拓撲結構、服務器、客戶機、網(wǎng)絡操作系統(tǒng)和數(shù)據(jù)庫軟件，由哪些供應商提供以上所說的網(wǎng)絡系統(tǒng)的軟硬件支持，如何開發(fā)網(wǎng)絡上的應用系統(tǒng)，使其充分發(fā)揮網(wǎng)絡系統(tǒng)的作用，取得最好的經(jīng)濟效益，這已不僅涉及簡單

22、的部件組合，而且需要技術和管理知識有機結合起來，已成為當前網(wǎng)絡建設中亟待解決的問題。</p><p>　　DDN技術雖然可以實現(xiàn)企業(yè)間互連，但租金昂貴；ADSL寬帶雖然價格低廉，但其只能應用于企業(yè)接入Internet ，不能實現(xiàn)企業(yè)之間的互聯(lián)。由于安全意識淡薄，同時又缺乏應有的安全防范措施，使得公司網(wǎng)絡被非法入侵、數(shù)據(jù)被篡改和竊聽等事件時常發(fā)生。雖然一些企業(yè)采取了一些相應的安全措施如建立自己的防火墻等，但是據(jù)報道

23、有1/3的防火墻已被黑客攻破，許多安全措施也形同虛設。為了防止非法用戶進入內(nèi)部網(wǎng)絡對數(shù)據(jù)進行存取和竊聽，必須認真解決驗證對方身份、防止抵賴、確保數(shù)據(jù)的真實性和完整性等安全問題。</p><p>　　那么，有沒有一種接入方式既可以訪問Internet，又可以實現(xiàn)企業(yè)互連，同時接入費用低廉的方式呢？</p><p>　　為此，各種的網(wǎng)絡安全技術和產(chǎn)品應運而生，其中VPN（Virtual Pri

24、vate Network，虛擬專用網(wǎng)）及其相關技術經(jīng)過多年的實踐、發(fā)展和完善，最終憑借它的方便性、安全性、標準化、成本低等優(yōu)勢脫穎而出，逐步成為現(xiàn)代企業(yè)實現(xiàn)網(wǎng)絡跨地域安全互聯(lián)的主要技術手段，是目前和今后一段時間內(nèi)企業(yè)構建廣域網(wǎng)絡的發(fā)展趨勢，據(jù)有關研究機構統(tǒng)計，企業(yè)通過使用VPN的費用能比專用網(wǎng)節(jié)省60％的資金。</p><p>　　虛擬專用網(wǎng)VPN 技術早在1993年，歐洲虛擬專用網(wǎng)聯(lián)盟（EVUA ）就成立了，當

25、時并力圖在全歐洲范圍內(nèi)推廣VPN 。Internet 的迅猛發(fā)展為VPN 提供了技術基礎，為全球化的企業(yè)提供了VPN市場，這些都使得VPN開始遍布全世界。特別是最近幾年，VPN以迅猛發(fā)展之勢博得了眾多用戶的喜愛和好評。</p><p>　　企業(yè)實際構建虛擬專用網(wǎng)絡需要對一系列與互通和安全相關的問題作出決策，如VPN技術和產(chǎn)品的選用、用戶認證、私有IP地址的分配和傳送、NAT、流量控制等等。</p>

26、<p>　　本文的第一章對VPN（虛擬局域網(wǎng)）做了一些基本概念和實際應用中的介紹。第二章深入研究和闡述了IPsec協(xié)議的體系結構，包括安全協(xié)議AH和ESP，IKE（密鑰管理協(xié)議）和安全關聯(lián)SA等。第三章著重介紹了在Linux環(huán)境下部署基于IPsec的Net-to-Net的VPN，并詳細的描述了IPsec的配置和安全證書的創(chuàng)建，配置和管理。</p><p>　　第一章 VPN概述</p>

27、<p>　　第一節(jié) VPN的定義</p><p>　　VPN(Virtual Private Network)，即虛擬專用網(wǎng)絡?！疤摂M”的概念是相對傳統(tǒng)私有網(wǎng)絡的構建方式而言的，“虛擬”的含義是指在開放，不安全的網(wǎng)絡環(huán)境中利用加密，認證等安全技術構建專用，安全的通信信道，從而模擬出一個“私用”的網(wǎng)絡[1]。</p><p>　　VPN的定義為，VPN是一種運載加密或認證的可通信

28、的網(wǎng)絡，數(shù)據(jù)在VPN中的傳輸是安全的，起安全性由加密，認證等安全技術來保證，起傳輸這是通過開放的，非安全的公用網(wǎng)絡。</p><p>　　VPN的作用：企業(yè)通過公網(wǎng)實現(xiàn)跨地域的系統(tǒng)互聯(lián)必然面臨安全問題。使用公用網(wǎng)絡會導致機構間的傳輸信息容易被竊取，同時攻擊者有可能通過公網(wǎng)對機構的內(nèi)部網(wǎng)絡實施攻擊，因此需要在企業(yè)間建立安全的數(shù)據(jù)通道，該通道應具備以下的基本安全要素：保證數(shù)據(jù)真實性；保證數(shù)據(jù)完整性；保證數(shù)據(jù)的機密性；

29、提供動態(tài)密鑰交換功能和集中安全管理服務；提供安全防護措施和訪問控制等。VPN即能有效解決這些安全問題。</p><p>　　一、VPN的優(yōu)缺點分析</p><p><b>　　1、VPN的優(yōu)缺點</b></p><p>　　幾年前，很多人都認為VPN將逐漸被一些更高級的網(wǎng)絡安全技術和價格更便宜的廣域網(wǎng)取代，并將隨著技術更新而逐漸淘汰。但是，就目

30、前市場調(diào)查來看，VPN技術強大的安全性，高可靠與低成本卻一直在今天吸引著企業(yè)的目光，越來越多的企業(yè)開始重新評估VPN服務。下面就VPN的優(yōu)缺點進行簡單的分析。</p><p>　　（1）、VPN的優(yōu)點：</p><p><b>　?、俟?jié)約成本</b></p><p>　　通過公用網(wǎng)來建立VPN 與建立DDN 、PSTN 等專線方式相比，可以節(jié)省

31、大量的費用開支。VPN的最大吸引力是價格。相對于傳統(tǒng)的廣域網(wǎng)而言，VPN能夠在現(xiàn)有的公網(wǎng)中直接實現(xiàn)連接，比傳統(tǒng)廣域網(wǎng)連接遠程用戶更加便捷，且運營成本幾乎為零。有調(diào)查指出，如果VPN產(chǎn)品替代傳統(tǒng)的組網(wǎng)方式，可以節(jié)約大量的運營成本，甚至會達到60%到80%。這是由于VPN是在Internet上臨時建立的安全專用虛擬網(wǎng)絡，用戶就節(jié)省了租用專線的費用，在運行的資金支出上，除了購買VPN設備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費

32、用，也節(jié)省了長途電話費，故VPN價格更低廉。 ②高安全性</p><p>　　VPN能夠提高水平的安全，私用身份識別和加密協(xié)議避免數(shù)據(jù)受到劫持和修改，能夠很好的阻止數(shù)據(jù)竊取和替他非授權用戶接觸這些數(shù)據(jù)，所以VPN能夠保證內(nèi)部機密數(shù)據(jù)的安全性，保證不同用戶使用權限的可控性，能夠保證用戶信息交換的安全和可靠。使用VPN之后，內(nèi)部網(wǎng)絡的重要數(shù)據(jù)可以在不被侵擾的情況下經(jīng)過加密后進行路線傳輸并安全的存儲。同時還可以

33、有效的對內(nèi)部資源的使用者進行權限控制管理。并記錄所有的重要的通信過程</p><p><b>　　③高速</b></p><p>　　VPN能夠讓公司遠程員工，合作伙伴或者其他授權的用戶利用本地的高速寬帶連接鏈接到企業(yè)的內(nèi)部網(wǎng)絡中。</p><p><b>　　④高靈活性</b></p><p>　

34、　現(xiàn)代企業(yè)的組織結構和商業(yè)活動非常靈活，用戶如果想與合作伙伴聯(lián)網(wǎng)，如果沒有VPN，雙方的信息技術部門就必須協(xié)商如何在雙方之間建立租用線路或幀中繼線路，有了VPN 之后，只需雙方配置安全連接信息即可；當不再需要聯(lián)網(wǎng)時，也很方便拆除連接。使用VPN可以保持企業(yè)工作人員在任何情況下都能夠快速的和安全的完成信息內(nèi)部的交換，并且能夠根據(jù)企業(yè)不斷發(fā)展的網(wǎng)絡規(guī)模迅速的擴展自己。</p><p><b>　　⑤完全控制

35、主動配置</b></p><p>　　企業(yè)可以利用公網(wǎng)或在網(wǎng)絡內(nèi)部自己組建管理VPN，由自己負責用戶的查驗、訪問權、網(wǎng)絡地址配置、安全性和網(wǎng)絡變化管理等重要工作。</p><p>　　（2）、VPN的缺點：</p><p><b>　?、俜侵苯涌煽?lt;/b></p><p>　　由于VPN是基于互聯(lián)網(wǎng)的，企業(yè)不

36、能直接控制它的可靠性和性能，并且多數(shù)企業(yè)需要依靠提供VPN服務的互聯(lián)網(wǎng)服務提供商品保證服務運行</p><p><b>　?、诮ㄔO難度高</b></p><p>　　目前，多數(shù)企業(yè)選擇有互聯(lián)網(wǎng)服務提供商負責運行維護的VPN，而非自己創(chuàng)建和部署。主要原因是VPN網(wǎng)絡建設需要高水平的理解網(wǎng)絡和安全問題，需要認真的規(guī)劃和配置。</p><p><

37、;b>　　③設備兼容性差</b></p><p>　　多數(shù)廠商不愿意或者不能遵守VPN技術標準，不同廠商的VPN產(chǎn)品和解決方案通常是不兼容的，混合使用不同廠商的產(chǎn)品可能會出現(xiàn)技術問題，由此可能導致增加企業(yè)成本。</p><p><b>　?、芄芾韽碗s</b></p><p>　　VPN組網(wǎng)以后，隨著企業(yè)內(nèi)部網(wǎng)絡范圍擴大了，管理

38、問題會比較多。</p><p>　　第二節(jié) VPN分類</p><p>　　根據(jù)不同的需要，可以構建不同類型的VPN；不用的角度，VPN的分類也不相同；不用的廠商在銷售VPN產(chǎn)品的時候，使用了不同的方式的分類；不同的ISP（Internet Service Provider，互聯(lián)網(wǎng)服務提供商）在開展VPN業(yè)務時推出了不同的分類方式，用戶往往可以根據(jù)自己需求劃分VPN[1]。</p&

39、gt;<p><b>　　一、按接入方式分</b></p><p>　　這是用戶和運營商最關心的VPN劃分方式。通常情況下，用戶可能是通過專線或者撥號上網(wǎng)。</p><p><b>　　1、專線VPN</b></p><p>　　由運營商根據(jù)客戶需求，專門建設一條用于VPN通信的通道。他能一直在線，通過專線接

40、入ISP邊緣路由器的用戶提供VPN解決方案</p><p><b>　　2、撥號VPN</b></p><p>　　是一種可以按照用戶需求連接的VPN，它是利用撥號分組交換數(shù)據(jù)網(wǎng)PSTN或者綜合業(yè)務數(shù)字網(wǎng)ISDN接入ISP的用戶提供VPN業(yè)務，可以節(jié)省用戶的長途費用。</p><p>　　二、按協(xié)議實現(xiàn)類型分</p><p&

41、gt;　　這是VPN廠商和ISP最關心的劃分方式。簡單的說VPN是通過公共網(wǎng)絡連接的兩個端點，在它們之間建立一條邏輯連接。邏輯連接可以是在OSI（Open system interconnection,開放系統(tǒng)互連）模型的第二層或第三層建立，根據(jù)邏輯連接模型，將VPN技術劃分成第二層VPN和第三層VPN</p><p><b>　　1、第二層VPN</b></p><p&

42、gt;　　運行在OSI參考模型的第二層，他們是點到點的，通過虛電路在場點之間建立連接性。虛電路是網(wǎng)絡中兩個端點之間的邏輯端到端連接，可以跨越網(wǎng)絡中的多個網(wǎng)絡原件和物理網(wǎng)段。ATM和幀中繼是兩種最流行的第二層VPN技術，另外包括PPTP（點到點隧道協(xié)議），L2F（第二層轉(zhuǎn)發(fā)協(xié)議），L2TP（第二層隧道協(xié)議）等</p><p><b>　　2、第三層VPN</b></p><

43、p>　　遞送報頭位于OSI模型的第三層，常見的第三層VPN包括通用路由封裝GRE，多協(xié)議標簽交換MPLS和互聯(lián)網(wǎng)協(xié)議安全IPsec VPN。第三層VPN可以以點到點的方式連接兩個場點，如GRE和IPsec，也可以在眾多場點之間建立全互連連接性，如MPLS VPN</p><p>　　、通用理由封裝（Generic Routing Encapsulation，GRE）</p><p>

44、　　最早是由Cisco開發(fā)的一種VPN技術，Cisco將GRE作為一種封裝方法開發(fā)，是指一個協(xié)議的數(shù)據(jù)包可以封裝進IP數(shù)據(jù)包中，并且將封裝后的數(shù)據(jù)包通過IP骨干傳輸。</p><p>　　、因特網(wǎng)協(xié)議安全（IPsec）</p><p>　　IPSec不是某種特殊的加密算法或認證算法，也沒有在它的數(shù)據(jù)結構中指定某種特殊的加密算法或認證算法，它只是一個開放的結構，定義在IP數(shù)據(jù)包格式中，為目前

45、流行的數(shù)據(jù)加密或認證的實現(xiàn)提供了數(shù)據(jù)結構，為這些算法的實現(xiàn)提供了統(tǒng)一的體系結構，這有利于數(shù)據(jù)安全方面的措施進一步發(fā)展和標準化。同時，不同的加密算法都可以利用IPSec定義的體系結構在網(wǎng)絡數(shù)據(jù)傳輸過程中實施。</p><p>　　、多協(xié)議標簽交換（Multi-Protocol Label Swaitching，MPLS）</p><p>　　指定了數(shù)據(jù)吧是如何通過一種有效的方式送到目的地的，

46、是一種用戶快速數(shù)據(jù)包交換和路由的體系。相對于其它VPN技術，MPLS VPM的重要優(yōu)點在于靈活性，他允許在VPN場點之間采用任何網(wǎng)絡拓撲。</p><p>　　三、按VPN發(fā)起方式分</p><p>　　這是客戶和ISP最關心的VPN分類.</p><p><b>　　1、客戶發(fā)起</b></p><p>　　VPN服務

47、提供的起始點和終止點是面向客戶的，其內(nèi)部技術構成，實施和管理對VPN客戶可見。需要客戶和隧道服務器方案裝隧道軟件。此時ISP不需要做支持建立隧道的任何工作。經(jīng)過對用戶身份符和口令的驗證，客戶方和隧道服務器極易建立隧道。雙方也可以用加密的方式通信。</p><p><b>　　2、服務器發(fā)起</b></p><p>　　在公司中心部門或ISP處理安裝VPN軟件，客戶無需

48、安裝任何特殊軟件，其內(nèi)部構成，實施和管理對VPN客戶完全透明。</p><p>　　四、按VPN服務類型分</p><p>　　根據(jù)服務類型，VPN業(yè)務可以分為三類，接入VPN，內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。</p><p>　　1、企業(yè)內(nèi)部VPN（Intranet VPN）</p><p>　　在VPN技術出現(xiàn)以前，公司兩異地機構的局域網(wǎng)想要

49、互聯(lián)一般會采用租用專線的方式，雖然該方式也采用隧道等技術，在一端將數(shù)據(jù)封裝后通過專線傳輸?shù)侥康姆浇夥庋b，然后發(fā)往最終目的地。該方式也能提供傳輸?shù)耐该餍?，但是它與VPN技術在安全性上有根本的差異。而且在分公司增多、業(yè)務開展越來越廣泛時，網(wǎng)絡結構趨于復雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的Intranet VPN。利用Internet的線路保證網(wǎng)絡的互聯(lián)性，而利用隧道、加密等VPN特性可以保證信息在整個Intr

50、anet VPN上安全傳輸。Intranet VPN通過一個使用專用連接的共享基礎設施，連接企業(yè)總部、遠程辦事處和分支機構。企業(yè)擁有與專用網(wǎng)絡的相同政策，包括安全、服務質(zhì)量(QoS)、可管理性和可靠性。</p><p>　　2、擴展的企業(yè)內(nèi)部VPN（Extranet VPN）</p><p>　　此種類型由于是不同公司的網(wǎng)絡相互通信，所以要更多地考慮設備的互聯(lián)，地址的協(xié)調(diào)，安全策略的協(xié)商等

51、問題。利用VPN技術可以組建安全的Extranet，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內(nèi)部網(wǎng)絡的安全。Extranet VPN通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。企業(yè)擁有與專用網(wǎng)絡的相同政策，包括安全、服務質(zhì)量(QoS)、可管理性和可靠性。</p><p>　　3、遠程訪問VPN（Access VPN）</p><p&

52、gt;　　與傳統(tǒng)的遠程訪問網(wǎng)絡相對應，在該方式下遠端用戶不再是如傳統(tǒng)的遠程網(wǎng)絡訪問那樣，通過長途電話撥號到公司遠程接入端口，而是撥號接入到用戶本地的ISP ，利用VPN 系統(tǒng)在公眾網(wǎng)上建立一個從客戶端到網(wǎng)關的安全傳輸通道。這種方式最適用于公司內(nèi)部經(jīng)常有流動人員遠程辦公的情況。出差員工撥號接入到用戶本地的ISP ，就可以和公司的VPN 網(wǎng)關建立私有的隧道連接，不但保證連接的安全，同時負擔的電話費用大大降低。</p><

53、p><b>　　五、按承載主體分</b></p><p>　　這是客戶和ISP最關心的問題?？蛻粢话銜越╒PN或外包VPN，這通常決定由建設VPN的成本，復雜度等多方面的決定。</p><p><b>　　1、自建VPN</b></p><p>　　企業(yè)在駐地安裝VPN的客戶端軟件，在企業(yè)網(wǎng)邊緣安裝VPN網(wǎng)關軟件，

54、完全獨立于運營商建設自己的VPN網(wǎng)絡，運營商不需要做任何對VPN的支持工作。選擇之間VPN的客戶，一般資金充足，擁有相當?shù)膶I(yè)技術力量，而且在安全性等方面對網(wǎng)絡有特殊要求，需要自行控制VPN網(wǎng)絡。另外，用戶和站點分布范圍廣，數(shù)量較多，對保密和可用性有一定要求，而對實時業(yè)務要求不高的中小企業(yè)，還有在內(nèi)部網(wǎng)中止鍵VPN部門的子網(wǎng)企業(yè)，也需要自建VPN。</p><p><b>　　2、外包VPN</b

55、></p><p>　　用戶將VPN及遠程外包給某一服務提供商，用戶將得到安全策略管理，用戶管理以及獲得技術支持。企業(yè)可以因此降低組建和運維VPN的費用，而運營商也可以因此開拓新的IP業(yè)務增值服務市場，獲得更好的收益，并提高客戶的保持力和忠誠度。</p><p>　　第三節(jié) VPN的連接方式</p><p><b>　　一、傳輸模式</b>

56、;</p><p>　　傳輸模式連接用于在設備的真正源和目的IP地址之間傳輸數(shù)據(jù)時使用。</p><p>　　傳輸模式是使用封裝方法，防火墻將UDP段封裝在VPN的數(shù)據(jù)包或者段里面；VPN封裝包含的信息將幫助目標設備確認被保護的信息；VPN信息接著會封裝進一個IP數(shù)據(jù)包，而源設備是防火墻，目標設備是系統(tǒng)日志服務器。</p><p><b>　　二、隧道模式

57、</b></p><p>　　傳輸模式的一種限制是它不具備很好的擴展性，因為保護是基于每一臺設備的。因此，當更多的設備需要在兩個不用區(qū)域以安全的方式相互通信時，應該使用隧道模式。在隧道模式中，實際的源和目標設備通常不保護流量，相反，某些中間設備用于保護這些流量。代表其他設備提供VPN保護的設備通常被稱呼為VPN網(wǎng)關</p><p>　　隧道模式的封裝過程，區(qū)域的防火墻產(chǎn)生一個系

58、統(tǒng)日志信息，將它封裝到一個UDP中，并放入IP數(shù)據(jù)包；當VPN網(wǎng)關收到區(qū)域PIX的系統(tǒng)日志IP數(shù)據(jù)包后，VPN網(wǎng)關會封裝整個帶有VPN保護信息的數(shù)據(jù)包；接著，VPN網(wǎng)關將這個信息放入到另一個IP數(shù)據(jù)包中。</p><p>　　圖1.1 傳輸模式與隧道模式的報頭區(qū)別</p><p>　　第四節(jié) VPN關鍵技術</p><p><b>　　一、隧道技術&

59、lt;/b></p><p>　　隧道技術是VPN的基礎技術，也是VPN的核心技術。它類似于點地點連接技術，在公網(wǎng)建立一條數(shù)據(jù)隧道，讓數(shù)據(jù)包通過這條隧道傳輸。它將原始數(shù)據(jù)包進行加密，信息結構變換，協(xié)議封裝和壓縮后，嵌入另一種協(xié)議數(shù)據(jù)包后在網(wǎng)絡中傳輸，使得只有被授權的用戶才能對隧道中的數(shù)據(jù)包進行解釋和處理，且隧道是專用的，從而保護遠程用戶或主機和專用網(wǎng)絡之間的連接，</p><p>　

60、　1、隧道技術在VPN的實現(xiàn)中具體有如下主要作用</p><p>　?、僖粋€IP隧道可以調(diào)整任何形式的有效負載，是遠程用戶能夠透明的撥號上網(wǎng)來訪問企業(yè)的IP</p><p>　?、趯Φ鼓軌蚶梅庋b技術同時調(diào)整多個用戶或多個不同形式的有效負載。</p><p>　?、凼褂盟淼兰夹g訪問企業(yè)網(wǎng)時，企業(yè)網(wǎng)不會向公網(wǎng)報告它的IP地址</p><p>　

61、　④隧道技術允許接收者濾掉或報告?zhèn)€人的隧道連接。</p><p><b>　　二、加解密技術</b></p><p>　　加密技術是數(shù)據(jù)通信中一項較為成熟的技術。利用加密技術保證傳輸數(shù)據(jù)的安全是VPN安全技術的核心。為了適應VPN的工作特點，目前VPN均采用對稱加密體制和公鑰加密體制相結合的方法。</p><p>　　對稱密鑰使用同一把鑰匙來對

62、信息提供安全的保護。因為同一吧要是用于建立和檢查安全保護，該算法相對比較簡單而且非常有效率。因此，對稱算法，工作速度非?？?。VPN目前常用的對稱密碼加密算法有：DES，3DES，RC4，RC5等</p><p>　　公鑰加密體制，或非對稱加密體制，是通信各方使用的兩個不同的密鑰，私鑰被源安全的收藏，永遠都不會和其他的設備共享，公鑰可以送給其他設備。非對稱密鑰可以用于加密數(shù)據(jù)和執(zhí)行驗證功能。當前常見的公鑰體制有RS

63、A</p><p><b>　　三、密鑰管理技術</b></p><p>　　密鑰管理技術的主要任務是如何實現(xiàn)在公用數(shù)據(jù)網(wǎng)上安全的傳遞密鑰而不被竊取。密鑰管理包括，從密鑰的產(chǎn)生到密鑰的銷毀的各個方面。主要表現(xiàn)于管理體制，管理協(xié)議和密鑰的產(chǎn)生，分配，更換和注入</p><p>　　密鑰的分發(fā)有兩種方法:1通過手工配置的方式.2采用密鑰交換協(xié)議動態(tài)

64、分發(fā)，適合于復雜網(wǎng)絡的情況，而且密鑰可快速更新，可以顯著提高VPN的應用的安全性。</p><p><b>　　四、身份認證技術</b></p><p>　　身份認證是為了保證操作者的物理身份與數(shù)字身份相對性，它是防護網(wǎng)絡資產(chǎn)的第一道關口。VPN需要解決的首要問題就是網(wǎng)絡上用戶與設備的身份認證，如果沒有一個萬無一失的身份認證方案，不管其他安全設施有多嚴密。整個VPN功

65、能都將失效。身份認證技術可劃分為非PKI身份認證和PKI體系身份認證</p><p><b>　　第五節(jié) 本章小結</b></p><p>　　本章主要從VPN的定義，分類以及在架構VPN服務器中所用到的相關技術，做了詳細的分析，這些在實際現(xiàn)實的架構中，為VPN的建設提供了實用的認知的指導，也為我在下面的建設VPN的時候，知道了會用到的相關技術，例如數(shù)據(jù)的加密，解密，

66、證書的管理等。本章中，在介紹VPN的優(yōu)缺點時，我們理性的了解到，VPN在給我們巨大方便的同時，仍然存在某些的不足。事務都具有兩面性，在運用VPN時，如何來規(guī)避一些它自身的缺點，從而為用戶帶來更好的體驗，是我們研究的方向。章節(jié)中還具體分析了VPN在實際生活中的分類，我們可以通過自己或企業(yè)的具體需求，規(guī)劃自己的VPN。根據(jù)不同的VPN，也可以了解到，他們之間的區(qū)別，以及和IPS運營商之間的聯(lián)系，這些都可以使在實際的建設中帶來方便。安全，是現(xiàn)

67、在互聯(lián)網(wǎng)上最值得大家關注的對象，VPN的安全也不例，VPN說到底，還是要在公網(wǎng)上傳播數(shù)據(jù)的，如何保證這些數(shù)據(jù)的安全性，這對任何一個架設VPN的同學都是令人感到頭疼的事情，世上沒有絕對安全的東西，但是我們也不能不對VPN做安全管理。本章中，介紹了VPN建設中所用到的一些隧道技術，安全技術，最大的保障了VPN數(shù)據(jù)在傳送過程中的安全性。</p><p>　　第二章 IPsec概述</p><p&

68、gt;　　第一節(jié)IPsec簡介</p><p>　　IPsec（IP Security）是IETF制定的三層隧道加密協(xié)議，它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學的安全保證。</p><p>　　IPSec不是某種特殊的加密算法或認證算法，也沒有在它的數(shù)據(jù)結構中指定某種特殊的加密算法或認證算法，它只是一個開放的結構，定義在IP數(shù)據(jù)包格式中，為目前流行的數(shù)據(jù)加密

69、或認證的實現(xiàn)提供了數(shù)據(jù)結構，為這些算法的實現(xiàn)提供了統(tǒng)一的體系結構，這有利于數(shù)據(jù)安全方面的措施進一步發(fā)展和標準化[11]。同時，不同的加密算法都可以利用IPSec定義的體系結構在網(wǎng)絡數(shù)據(jù)傳輸過程中實施。</p><p>　　IPSec協(xié)議是一個應用廣泛、開放的VPN安全協(xié)議。IPSec適應向Ipv6遷移，它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護，進行透明的安全通信。IPSec提供了如何使敏感數(shù)據(jù)在開放的網(wǎng)絡（如Interne

70、t）中傳輸?shù)陌踩珯C制。IPSec工作在網(wǎng)絡層，在參加IPSec的設備（如路由器）之間為數(shù)據(jù)的傳輸提供保護，主要是對數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認證。</p><p>　　一、IPsec提供的服務</p><p>　　1、數(shù)據(jù)機密性（Confidentiality）</p><p>　　IPsec發(fā)送方在通過網(wǎng)絡傳輸包前對包進行加密。</p><p

71、>　　2、數(shù)據(jù)完整性（Data Integrity）</p><p>　　IPsec接收方對發(fā)送方發(fā)送來的包進行認證，以確保數(shù)據(jù)在傳輸過程中沒有被篡改。</p><p>　　3、來源認證（Data Authentication）</p><p>　　IPsec在接收端可以認證發(fā)送IPsec報文的發(fā)送端是否合法。</p><p>　　4、

72、防重放（Anti-Replay）</p><p>　　IPsec接收方可檢測并拒絕接收過時或重復的報文。</p><p>　　二、IPsec具有以下特點：</p><p>　?。?）支持IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）</p><p>　　可實現(xiàn)密鑰的自動協(xié)商功能，減少了密鑰協(xié)商的開銷?？梢酝ㄟ^IKE建立和

73、維護SA的服務，簡化了IPsec的使用和管理。</p><p>　?。?）所有使用IP協(xié)議進行數(shù)據(jù)傳輸?shù)膽孟到y(tǒng)和服務都可以使用IPsec，而不必對這些應用系統(tǒng)和服務本身做任何修改。</p><p>　?。?）對數(shù)據(jù)的加密是以數(shù)據(jù)包為單位的，而不是以整個數(shù)據(jù)流為單位，這不僅靈活而且有助于進一步提高IP數(shù)據(jù)包的安全性，可以有效防范網(wǎng)絡攻擊</p><p><b&

74、gt;　　三、封裝模式</b></p><p>　　1、隧道（tunnel）模式</p><p>　　用戶的整個IP數(shù)據(jù)包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個新的IP數(shù)據(jù)包中。通常，隧道模式應用在兩個安全網(wǎng)關之間的通訊。</p><p>　　2、傳輸（transport）模式</p><p>

75、;　　只是傳輸層數(shù)據(jù)被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭后面。通常，傳輸模式應用在兩臺主機之間的通訊，或一臺主機和一個安全網(wǎng)關之間的通訊[4]。</p><p>　　不同的安全協(xié)議在tunnel和transport模式下的數(shù)據(jù)封裝形式如圖2.1所示，data為傳輸層數(shù)據(jù)。</p><p>　　圖2.1傳輸模式與隧道模式的封裝情況</p&g

76、t;<p>　　四、IPsec優(yōu)缺點</p><p>　　1、IPsec的優(yōu)點</p><p>　?、買Psec工作在傳輸層之下，因此對應用層是透明的，當在路由器或者防火墻上安裝IPsec時，無需要更改用戶或服務器系統(tǒng)中的軟件設置。即使在終端系統(tǒng)中執(zhí)行IPsec，應用程序等上層軟件也不會受影響。另外，IPsec也可以為單個用戶提供主機到主機的安全隧道，保護客戶的敏感信息。IP

77、sec選擇在IP成是一種很好的選擇，更好級別的服務只能保護某一種協(xié)議，更低級別的服務則只能保護某一種通信媒體，而IPsec則可以保護IP之上的任何協(xié)議和IP之下的任何通信媒體。</p><p>　　②IPsec具有模塊化的設計，即使選擇不同的算法，也不會影響到其他部分的實現(xiàn)，不同用戶群可以根據(jù)自己的需求選擇合適的算法集</p><p>　?、跧Psec使用包過濾的方式進行訪問控制。則按可以

78、減少握手的時間，一次握手就可以傳送大量的數(shù)據(jù)，尤其適用于傳輸數(shù)據(jù)量大的應用</p><p>　　④VPN交換機的分離通道特性為IPsec客戶端提供同時對internet，extranet和本地網(wǎng)絡訪問的支持，該技術可以設置權限，允許用戶的訪問權限，如允許本地打印和文件共享訪問，允許直接internet訪問和允許安全外網(wǎng)訪問，該特性使用用戶在安全條件下合理方便的使用網(wǎng)絡資源，既有安全性又有靈活性。</p>

79、;<p>　　IPsec定義了開放的體系結構和框架。</p><p>　　2、IPsec的缺點</p><p>　　IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動態(tài)分配地址時不太適合于IPSec；除了TCP/IP協(xié)議以外，IPSec不支持其它協(xié)議；除了包過濾外，它沒有指定其它訪問控制方法；對于采用NAT方式訪問公共網(wǎng)絡的情況難以處理；IPSec目前還僅支持單播

80、的（Unicast）IP數(shù)據(jù)包，不支持多播（Multicast）和廣播（Broadcast）的IP數(shù)據(jù)包[14]。</p><p>　　第二節(jié) IPsec協(xié)議體系</p><p>　　下圖2.2為IPsec體系結構</p><p>　　圖2.2 Ipec協(xié)議體系 </p><p>　　IPsec體系文檔是RFC2401，它定義了IPsec的基

81、礎結構，指定IP包的機密性和身份認證使用的傳輸安全協(xié)議ESP或AH實現(xiàn)，包好了一半的概念，安全需求，定義和定義IPsec的技術機制。</p><p>　　ESP（Encapsulate Serurity Payload，封裝安全載荷），定義了為通 信提供機密性，完整性保護和抗重播服務的額具體實現(xiàn)方法，以及ESP頭在ESP實現(xiàn)中應插入IP頭的位置，ESP載荷格式，各字段的語義，取值方式以及對進入分組和外出分

82、組的處理過程。</p><p>　　AH（Authentication Header，認證頭），定義了為通信提供完整性和看重放服務的具體實現(xiàn)方法，以及AH頭在AH實現(xiàn)中應插入IP頭的位置，AH頭的語法格式，各字段的語義，取值方式以及實施AH時對進入和外出分組的處理過程。</p><p>　　認證算法，定義了對ESP的認證算法為散列函數(shù)MC5或SHA的HMAC版本。</p>&

83、lt;p>　　加密算法，定義了DES-DBC作為ESP的加密算法以及如何實現(xiàn)DES-CBC算法和初始化矢量的生成。</p><p>　　IKE（Internet Key Exchange，因特網(wǎng)密鑰交換），定義了IPsec通信雙方如何動態(tài)建立共享安全參數(shù)和經(jīng)認證過的密鑰。IKE的功能包括：加密/鑒別算法和密鑰的協(xié)商，密鑰的生成，交換及管理，通信的模式保護，密鑰的生存期等。</p><p&

84、gt;　　IPsec DOI（Domain of Interpretation，解釋域），IKE定義了安全參數(shù)如何協(xié)商，以及共享密鑰如何建立，但沒有定義協(xié)商內(nèi)容，協(xié)商內(nèi)容與IKE協(xié)議本身分開實現(xiàn)。協(xié)商的內(nèi)容被歸于一個單獨的文檔內(nèi)，名為IPsec DOI</p><p>　　策略，是兩個實體間通信的規(guī)則，它決定采用什么協(xié)議，什么加密算法和認證算法來通信，策略不當可能造成不能正常工作。</p><

85、p>　　一、IPsec基本工作原理</p><p>　　IP協(xié)議本身不繼承任何安全特性，在傳輸過程中很容易偽造IP包的地址，修改其內(nèi)容，重播以前的包，以及攔截并查看包的內(nèi)容[2]。因此，在internet上傳遞IP數(shù)據(jù)包可能會遇到身份欺騙，數(shù)據(jù)的完整性破壞，數(shù)據(jù)的隱私性破壞等安全威脅。</p><p>　　IPsec可以有效的保護IP數(shù)據(jù)包的安全，主要采取的保護形勢為：數(shù)據(jù)源驗證，無

86、連接數(shù)據(jù)的完整性驗證，數(shù)據(jù)內(nèi)容的機密性，抗重播保護等。比如，AH或ESP協(xié)議進行身份認證的保護，也可以進行數(shù)據(jù)完整性的保護。使用ESP或AH協(xié)議，可以對IP數(shù)據(jù)包或三層協(xié)議進行保護，其中，AH可以認證數(shù)據(jù)的起源地，保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的重播。ESP除具有AH的所有能力之外，還可以選為數(shù)據(jù)流提供機密性保障。</p><p>　　IPsec虛擬隧道接口對報文的加封裝/即封裝發(fā)生在隧道接口上[8]。用戶流

87、量到達實施IPsec配置的設備后，需要IPsec處理的報文會被轉(zhuǎn)發(fā)到IPsec虛擬隧道接口上進行加封裝/接封裝。</p><p>　　接口加封裝如下圖2.3</p><p>　　圖2.3 IPsec虛擬隧道接口對報文進行加封裝的過程</p><p>　　Router將從入接口接收到的IP明文送到轉(zhuǎn)發(fā)模塊進行處理；</p><p>　　轉(zhuǎn)發(fā)模塊

88、依據(jù)路由查詢結果，將IP明文發(fā)送到IPsec虛擬隧道接口進行加封裝，原始IP報文本封裝在新的IP報文中，新的IP頭中的源地址和目的地址分別為賽道接口的源地址和目的地址</p><p>　　IPsec虛擬隧道接口完成對IP明文的加封裝處理后，將IP密文送到轉(zhuǎn)發(fā)模塊進行處理.</p><p>　　轉(zhuǎn)發(fā)模塊進行第二次路由查詢后，將IP密文通過隧道接口的實際物理接口轉(zhuǎn)發(fā)出去</p>

89、<p>　　接口解封裝如下圖2.4</p><p>　　圖2.4 IPsec虛擬隧道接口對報文進行解封裝的過程</p><p>　　Router將從入接口接收到的IP密文送到轉(zhuǎn)發(fā)模塊進行處理；</p><p>　　轉(zhuǎn)發(fā)模塊識別到此IP密文的目的地為本設備的隧道接口地址切IP協(xié)議號為AH或ESP時，會將IP密文送到相對應的IPsec虛擬隧道接口進行接封裝，

90、將IP密文的外層IP頭去掉，對內(nèi)層IP報文進行解密處理。</p><p>　　IPsec虛擬隧道接口完成對IP密文的解封裝處理后，將IP明文重新送回轉(zhuǎn)發(fā)模塊處理；</p><p>　　轉(zhuǎn)發(fā)模塊進行第二次路由查詢后，將IP明文從隧道的技術物理接口轉(zhuǎn)發(fā)出去。</p><p><b>　　二、安全關聯(lián)</b></p><p>

91、<b>　　1、定義</b></p><p>　　安全關聯(lián)（Security Association，SA），是IPsec的基礎。AH和ESP都使用SA，SA是兩個通信實體經(jīng)過協(xié)商建立起來的一種提供安全服務的連接。它規(guī)定用來保護數(shù)據(jù)的IPsec協(xié)議類型，加密算法，認證方式，加密和認證密鑰，密鑰生存時間以及防重放攻擊序列號等，位所承載的流量提供安全服務。SA是一個單向的邏輯連接，在一次通信中，

92、IPsec需要建立兩個SA，一個用于入站通信，另外一個用于出站通信。</p><p>　　通過一個三元組參數(shù)可以唯一標識每個SA，包括參數(shù)索引SPI，源IP地址，目的IP地址和特定的安全協(xié)議（AH和ESP）。SA只適用于點到點通信。</p><p>　　SPI是一個32位證書，并且是為了唯一標識SA參勝的，SPI在AH和ESP頭中傳輸，所以，IPsec數(shù)據(jù)包的接收方易于識別SPI，并利用它

93、連同源/目的IP地址和協(xié)議來搜索SPD，以確定與該數(shù)據(jù)包相關聯(lián)的SA</p><p><b>　　2、SA的功能</b></p><p>　　SA所能夠提供的安全服務取決于所選擇的安全協(xié)議，SA的工作模式，SA終點和協(xié)議內(nèi)所選擇的服務。</p><p>　　AH可以為接收端提供抗重播服務，防止拒絕服務攻擊。當不需要或不允許使用數(shù)據(jù)的保密性時，最

94、好使用AH協(xié)議。AH也可以用于需要對IP頭做認證服務的情形。AH為IP數(shù)據(jù)流提供了高強度的密碼認證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。</p><p>　　ESP為流量可選擇提供保密服務，保密服務的強度取決于ESP所使用的加密算法。ESP也可以提供認證服務。使用ESP SA隧道模式可以加密內(nèi)部IP頭，隱藏流量的源/目的IP地址，進一步可以利用ESP填充字段隱藏數(shù)據(jù)包的真實長度。ESP也可用于撥號方式的移動用戶

95、，在用戶和企業(yè)之間建立隧道模式的ESP SA。</p><p>　　3、SA數(shù)據(jù)庫（SAD）</p><p>　　IPsec使用選擇符選擇應該使用的SA，而選擇符是根據(jù)IP層和傳輸層的信息標志生成的。IPsec系統(tǒng)用中的安全策略數(shù)據(jù)庫和安全聯(lián)盟數(shù)據(jù)庫與SA緊密相關。SPD規(guī)定所有來之主機，安全網(wǎng)關等的IP包應該使用安全策略，SAD包含每個SA的相關參數(shù)，它是將所有的SA以某種數(shù)據(jù)結構集中存

96、儲的列表。</p><p><b>　?。?）、選擇符</b></p><p>　　選擇符是從網(wǎng)絡層包頭和傳輸層幀頭中提取出來的，由目的地址，源地址，名字，協(xié)議和上層端口組成，用于選擇為包提供的安全服務</p><p>　?。?）、安全策略數(shù)據(jù)庫（SPD）</p><p>　　SPD是根據(jù)IP包的源地址、目的地址、入數(shù)據(jù)

97、還是出數(shù)據(jù)等，規(guī)定以何種方式對IP包提供服務，是SA的基礎。</p><p>　　SPD的策略是有序的，對于出數(shù)據(jù)流或入數(shù)據(jù)流的三種處理方式如下：</p><p>　　①丟棄，不處理包，只是簡單的丟棄</p><p>　?、诶@過IPsec，不需要IPsec保護包，生成普通的IP包送出</p><p>　?、蹜肐Psec對包提供保護，且SPD

98、必須說明希望提供安全服務、協(xié)議和算法</p><p>　?。?）、安全聯(lián)盟數(shù)據(jù)庫（SAD）</p><p>　　SAD中包含現(xiàn)有的SA條目，每個SA包括一個三元組，用于唯一標識這個SA。該三元組包含一個SPI，一個用于輸入處理SA的源IP地址或一個用于處理SA的目的IP地址和一個特定的協(xié)議。一個SAD條目包含以下內(nèi)容：</p><p>　　①本方序列號計數(shù)器：用于產(chǎn)

99、生AH或ESP頭的序列號字段，僅用于外出的數(shù)據(jù)包。</p><p>　　②對方序列號溢出標志：標識序列號計數(shù)器是否溢出。</p><p>　?、劭怪胤糯翱冢河糜跊Q定進入的AH或ESP數(shù)據(jù)包是否為重放的，僅用于進入數(shù)據(jù)包。</p><p>　　④AH驗證算法、密鑰等</p><p>　　⑤ESP加密、密鑰等</p><p&g

100、t;　?、轊SP驗證算法、密鑰等</p><p>　　⑦SA的生存期，表示SA能夠存在的最長時間。</p><p>　?、噙\行模式：是傳輸模式還是隧道模式</p><p>　?、崧窂阶淼箓鬏攩卧獏?shù)PMTU：所考察的路徑的MTU以及生存時間TTL變量</p><p>　?。?）、SA的密鑰管理</p><p>　　SA

101、的管理主要包括創(chuàng)建和刪除,有以下兩種管理方式：</p><p>　?、偈止す芾恚篠A的內(nèi)容由管理員手工指定，手工維護。但是，手工維護容易出錯，而且手工建立的SA沒有生存周期限制，有安全隱患。</p><p>　?、贗KE自動管理：一般來說，SA的自動建立和動態(tài)維護是通過IKE進行的。利用IKE創(chuàng)建和刪除SA。如果安全策略要求建立安全、保密的連接，但又不存在相應的SA，IPsec的內(nèi)核會立刻

102、啟動IKE來協(xié)商SA</p><p><b>　　三、AH頭認證</b></p><p><b>　　1、AH簡介</b></p><p>　　在IP協(xié)議中，驗收IP數(shù)據(jù)報完整性是通過頭部的校驗和來保證的。這樣，當修改IP頭后，可以對修改過得IP頭重新計算校驗和并代替之間的校驗和，從而讓接受主機無法知道數(shù)據(jù)報已經(jīng)修改。通過

103、應用認證頭協(xié)議可以增加IP數(shù)據(jù)包的安全性[9]。</p><p>　　AH為IP包提供數(shù)據(jù)完整性校驗，身份認證和可選的抗重播保護，但是AH不對受保護的IP包加密。AH的作用是IP數(shù)據(jù)流提供高強度的密碼認證，以確保被修改過的數(shù)據(jù)報可以被檢查出來。AH可單獨使用，也可以與ESP結合使用，在隧道模式中嵌套使用。</p><p><b>　　AH頭格式</b></p&

104、gt;<p>　　AH被用來保證IP包在傳輸過程中是不被修改的，并且由指定發(fā)送人將它發(fā)送除去的新的非重播的數(shù)據(jù)包，AH頭格式如下表。2.1</p><p>　　表2.1 AH頭格式</p><p>　　下一個頭（8bit），指示下一個負載的協(xié)議的類型</p><p>　　載荷長度（8bit），AH的負載長度</p><p>　　

105、保留（8bit），供將來使用</p><p>　　安全參數(shù)索引SPI，SPI是為了唯一標識SA而生成的一個32位整數(shù)， 它包含在AH頭標和ESP頭標中，其值1~255被IANA留作將來使用，0被保留，運用SPI，在相同的源，目的節(jié)點的數(shù)據(jù)流可以建立多個SA</p><p>　　序列號（32bit），單調(diào)增加的32為無符號整數(shù)，利用該域抵抗重發(fā)攻擊</p&

106、gt;<p>　　認證數(shù)據(jù)，是一個長度可變的域，長度為32比特的整數(shù)倍，具體格式隨認證算法變化兒不同。該認證數(shù)據(jù)也被稱為數(shù)據(jù)報的完整性校驗值。</p><p><b>　　2、AH處理</b></p><p>　　下表2.2是一個標準數(shù)據(jù)包的格式</p><p>　　表2.2 原始數(shù)據(jù)包格式</p><p>

107、;　　上表為我們常用的IPv4數(shù)據(jù)包的信息，其中proto字段描述了傳輸層的協(xié)議類型。</p><p>　　我們常見的傳輸層類型表如下表2.3</p><p>　　表2.3 傳輸層協(xié)議表</p><p>　　AH用于認證一但不對IP流量做加密，它提供主要的目的是確保我們是在和我們想通信的主機之間通信，通過對傳輸?shù)臄?shù)據(jù)檢測是否其被修改來防止攻擊者捕捉了之前通訊的數(shù)據(jù)包

108、，并藏是修改后重新發(fā)回給網(wǎng)絡，讓我們接受，這種攻擊行為稱呼為數(shù)據(jù)重演。</p><p>　　AH認證是通過計算出IP包頭中除TTL或頭效驗的所有字段的hash值，并將它存在新的AH頭中的一起發(fā)送給另外一端來實現(xiàn)。</p><p>　　3、AH報具體處理步驟：</p><p>　?。?）、對外出的數(shù)據(jù)包的處理</p><p>　　查找對應的SA

109、，更具待處理的數(shù)據(jù)包，構造出選擇符（源IP地址，目的IP地址，協(xié)議號，通信端口），并以此選擇符位索引檢查的SPI。加入按索引檢查到的SPI條目，該分組應受到AH保護，則按SPI條目直接只指向的SA條目找到用以處理數(shù)據(jù)的SA。如果SPI指向SA為空。則采用IKE協(xié)議協(xié)商新的SA。</p><p>　　按SA條目給出的處理模式，在適當?shù)牡胤讲迦階H頭和外部IP頭。在傳輸模式的AH實現(xiàn)中，帶添加的IP頭為原IP頭，對于

110、隧道模式，將重新構造新的IP頭，添加到AH載荷前面。</p><p>　　對AH載荷的相應字段進行填充。</p><p>　　對AH處理后的數(shù)據(jù)報，重新計算IP頭效驗和。如果處理后的數(shù)據(jù)包的長度大于本地MTC，則進行IP分段。處理完畢的IPsec分組被交給數(shù)據(jù)鏈路層或IP層重新路由。</p><p>　?。?）對進入數(shù)據(jù)包的處理</p><p&g

111、t;　　數(shù)據(jù)包重組，對于收到的數(shù)據(jù)包，查看是否是一個完整的受AH保護的數(shù)據(jù)包，如果得到一個數(shù)據(jù)包指示一個IP包的分段，則必須保留這個分段，直到收到屬于該數(shù)據(jù)包的所有分段，并成功重組后，在進行后續(xù)處理。</p><p>　　查找SA，三元組（SAID，目的IP地址，協(xié)議號，SPI），用于標識一個SA。由待處理的IPsec數(shù)據(jù)包提取SAID魅力用它作為索引對SADB進行檢索，找到相應的處理該數(shù)據(jù)包的SA。如果沒有找到

112、，則丟棄該數(shù)據(jù)包，并將次事件記錄于日志中。</p><p>　　序列號檢查，如果次數(shù)據(jù)包的序列號落在該活動SA的滑動窗口內(nèi)，切不是一個重復收到的數(shù)據(jù)包，則表明此數(shù)據(jù)包是有效的，繼續(xù)后續(xù)處理，否則丟棄該數(shù)據(jù)包，并將此記錄于日志中。</p><p>　　檢查ICV字段的值，首先將AH頭中的ICV字段保存下來，然后將這個字段清零，按鑒別算法和鑒別密鑰，與發(fā)送端相同的計算方式計算一個散列輸出。該散