沈鑫剡编著(网络安全)教材配套课件第10章资料

2006工程兵工程学院 计算机教研室网络安全第十章虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全第第1010章章 虚拟专用网络虚拟专用网络本章主要内容本章主要内容nVPNVPN概述概述；n第三层隧道和第三层隧道和IPSecIPSec；n第二层隧道和第二层隧道和IPSecIPSec；nSSL VPNSSL VPN。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全10.1 VPN概述概述本讲主要内容本讲主要内容n企业网和远程接入；企业网和远程接入；nVPN定义和需要解决的问题；定义和需要解决的问题；nVPN分类。分类。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、企业网和远程接入一、企业网和远程接入n使用本地地址；使用本地地址；n专用点对点链路互连；专用点对点链路互连；n数据在内部网络内传输；数据在内部网络内传输；n分组交换结点完全属于内部网络；分组交换结点完全属于内部网络；n网络资源由单一单位管理。网络资源由单一单位管理。专用网络结构专用网络结构缺点：互连子网的专用点缺点：互连子网的专用点对点物理链路的低效率、对点物理链路的低效率、高费用和不方便。高费用和不方便。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、企业网和远程接入一、企业网和远程接入n可以随时随地连接到可以随时随地连接到PSTN PSTN；n可以按需建立与路由器可以按需建立与路由器R R之间的语音信之间的语音信道。道。实现远程接入的网络结构实现远程接入的网络结构缺点缺点：需要支付昂贵的长：需要支付昂贵的长途费用；语音信道利用率途费用；语音信道利用率不高；语音信道的数据传不高；语音信道的数据传输速率受到严格限制。输速率受到严格限制。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、VPN定义和需要解决的问题定义和需要解决的问题 用互联网实现分布在不同地区的多个局域用互联网实现分布在不同地区的多个局域网之间的互连网之间的互连虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、VPN定义和需要解决的问题定义和需要解决的问题用互联网实现远程终端与路由器用互联网实现远程终端与路由器R R之间的互连之间的互连虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、VPN定义和需要解决的问题定义和需要解决的问题互联网实现互连的网络结构特点：互联网实现互连的网络结构特点：n接入方便；接入方便；n费用低廉；费用低廉；n传输速率不是固定的；传输速率不是固定的；n通过互联网完成数据传输过程；通过互联网完成数据传输过程；n私有私有IPIP地址和全球地址和全球IPIP地址。地址。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、VPN定义和需要解决的问题定义和需要解决的问题互联网实现互连的网络结构需要解决的问题：互联网实现互连的网络结构需要解决的问题：n私有私有IPIP地址地址n以私有以私有IPIP地址为源和目的地址为源和目的IPIP地址的地址的IPIP分组经过互联网传分组经过互联网传输的问题。输的问题。n保密性和完整性保密性和完整性n保证经过互联网传输的信息的保密性和完整性。保证经过互联网传输的信息的保密性和完整性。n双向身份鉴别双向身份鉴别n必须完成两端之间的双向身份鉴别过程。必须完成两端之间的双向身份鉴别过程。n服务质量服务质量n需要互联网为企业局域网之间传输的数据提供服务质量保证。需要互联网为企业局域网之间传输的数据提供服务质量保证。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、VPN定义和需要解决的问题定义和需要解决的问题 虚拟专用网络（虚拟专用网络（VPNVPN）是一种通过）是一种通过InternetInternet实现企业局域网之间互连和远程终实现企业局域网之间互连和远程终端与内部网络之间互连，但又使其具有专用端与内部网络之间互连，但又使其具有专用网络所具有的安全性的技术。网络所具有的安全性的技术。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、VPN定义和需要解决的问题定义和需要解决的问题 虚拟专用网络（虚拟专用网络（VPNVPN）是一种通过）是一种通过InternetInternet实现企业局域网之间互连和远程终实现企业局域网之间互连和远程终端与内部网络之间互连，但又使其具有专用端与内部网络之间互连，但又使其具有专用网络所具有的安全性的技术。网络所具有的安全性的技术。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全 隧道是基于互联网建立的、具有语音信道和隧道是基于互联网建立的、具有语音信道和SDHSDH点对点物点对点物理链路传输特性的传输通路，以私有理链路传输特性的传输通路，以私有IPIP地址为源和目的地址为源和目的IPIP地地址的址的IPIP分组能够从隧道一端传输到隧道另一端。隧道使得互分组能够从隧道一端传输到隧道另一端。隧道使得互联网对于企业局域网、远程终端与内部网络是透明的。联网对于企业局域网、远程终端与内部网络是透明的。二、二、VPN定义和需要解决的问题定义和需要解决的问题用用IPIP隧道互连子网的隧道互连子网的VPNVPN结构结构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全 需要经过隧道传输的需要经过隧道传输的PDUPDU可以是以私有可以是以私有IPIP地址为源和目的地址为源和目的IPIP地址的地址的IPIP分组，也可以是链路层帧，如点对点协议（分组，也可以是链路层帧，如点对点协议（PPPPPP）帧。帧。二、二、VPN定义和需要解决的问题定义和需要解决的问题隧道实现远程终端与内部网络之间互连隧道实现远程终端与内部网络之间互连虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全双向身份鉴别双向身份鉴别 可以完成隧道两端之间双向身份鉴别过程，以此保证隧可以完成隧道两端之间双向身份鉴别过程，以此保证隧道两端或是将企业局域网接入互联网的边界路由器，或是远道两端或是将企业局域网接入互联网的边界路由器，或是远程终端和将内部网络接入互联网的边界路由器。程终端和将内部网络接入互联网的边界路由器。保密性和完整性保密性和完整性 通过加密和报文摘要算法保证经过隧道传输的信息的保通过加密和报文摘要算法保证经过隧道传输的信息的保密性和完整性。密性和完整性。二、二、VPN定义和需要解决的问题定义和需要解决的问题虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全 隧道用于实现企业局域网之间以私有隧道用于实现企业局域网之间以私有IPIP地址为源和目的地址为源和目的IPIP地址的地址的IPIP分分组的传输过程。组的传输过程。通过安全关联，一是可以完成隧道两端之间的双向身份鉴别过程，二通过安全关联，一是可以完成隧道两端之间的双向身份鉴别过程，二是可以实现经过安全关联传输的以隧道两端的全球是可以实现经过安全关联传输的以隧道两端的全球IPIP地址为源和目的地址为源和目的IPIP地地址的址的IPIP分组的保密性和完整性。分组的保密性和完整性。三、三、VPN分类分类第三层隧道和第三层隧道和IPSecIPSec虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全 隧道用于实现隧道用于实现PPPPPP帧传输过程。帧传输过程。通过安全关联，一是可以完成隧道两端之间的双向身份鉴别过程，二通过安全关联，一是可以完成隧道两端之间的双向身份鉴别过程，二是可以实现经过安全关联传输的以隧道两端的全球是可以实现经过安全关联传输的以隧道两端的全球IPIP地址为源和目的地址为源和目的IPIP地地址的址的IPIP分组的保密性和完整性。分组的保密性和完整性。三、三、VPN分类分类第二层隧道和第二层隧道和IPSecIPSec虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全 SSLVPN SSLVPN也是一种实现远程终端访问内部网络资源的技术，也是一种实现远程终端访问内部网络资源的技术，SSL VPNSSL VPN的的核心设备是核心设备是SSL VPNSSL VPN网关，网关，SSL VPNSSL VPN网关一端连接互联网，另一端连接内部网关一端连接互联网，另一端连接内部网络。网络。三、三、VPN分类分类SSL VPNSSL VPN虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全 远程终端通过远程终端通过HTTPSHTTPS访问访问SSL VPNSSL VPN网关。以此实现远程终端与网关。以此实现远程终端与SSL VPNSSL VPN网关之间的网关之间的双向身份鉴别，保证远程终端与双向身份鉴别，保证远程终端与SSL VPNSSL VPN网关之间传输的数据的保密性和完整性。网关之间传输的数据的保密性和完整性。SSL VPN SSL VPN网关作为中继设备，可以将远程终端访问内部网络资源的请求消息转发网关作为中继设备，可以将远程终端访问内部网络资源的请求消息转发给内部网络中的服务器，也将内部网络服务器发送的响应消息，转发给远程终端。给内部网络中的服务器，也将内部网络服务器发送的响应消息，转发给远程终端。三、三、VPN分类分类SSL VPNSSL VPN虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全10.2 第三层隧道和第三层隧道和IPSec本讲主要内容本讲主要内容nVPNVPN结构；结构；n内部网络之间内部网络之间IPIP分组传输过程；分组传输过程；nIPSecIPSec和安全传输过程。和安全传输过程。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、一、VPNVPN结构结构 企业有三个分布在不同地方的内部网络，企业有三个分布在不同地方的内部网络，每一个内部网络通过边界路由器连接到每一个内部网络通过边界路由器连接到InternetInternet。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、一、VPNVPN结构结构虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、一、VPNVPN结构结构 边界路由器之间建立第三层隧道，隧道两边界路由器之间建立第三层隧道，隧道两端分别是边界路由器连接端分别是边界路由器连接InternetInternet的接口，因的接口，因此，隧道可以用边界路由器连接此，隧道可以用边界路由器连接InternetInternet的接的接口的口的IPIP地址标识。地址标识。边界路由器用于实现内部网络之间互连时，边界路由器用于实现内部网络之间互连时，第三层隧道等同于实现边界路由器互连的点对第三层隧道等同于实现边界路由器互连的点对点链路，因此，第三层隧道两端还需分配网络点链路，因此，第三层隧道两端还需分配网络地址相同的私有地址相同的私有IPIP地址。地址。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、内部网络之间内部网络之间IP分组传输过程分组传输过程 终端终端A A向服务器向服务器B B传输的数据封装成以终端传输的数据封装成以终端A A的私有的私有IPIP地址为源地址为源IPIP地址、地址、以服务器以服务器B B的私有的私有IPIP地址为目的地址为目的IPIP地址的地址的IPIP分组。分组。经过隧道传输时，该经过隧道传输时，该IPIP分组封装成分组封装成GREGRE格式，格式，GREGRE格式作为净荷封装成格式作为净荷封装成以边界路由器以边界路由器R1R1连接连接InternetInternet的接口的全球的接口的全球IPIP地址为源地址为源IPIP地址、以边界路地址、以边界路由器由器R2R2连接连接InternetInternet的接口的全球的接口的全球IPIP地址为目的地址为目的IPIP地址的地址的IPIP分组。分组。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、内部网络之间内部网络之间IP分组传输过程分组传输过程 终端终端A A至服务器至服务器B B的的IPIP分组传输路径由三段路径组成，分分组传输路径由三段路径组成，分别是终端别是终端A A边界路由器边界路由器R1R1，边界路由器，边界路由器R1R1边界路由器边界路由器R2R2和和边界路由器边界路由器R2R2服务器服务器B B。其中终端。其中终端A A边界路由器边界路由器R1R1和边界和边界路由器路由器R2R2服务器服务器B B这两段路径是内部网络中的传输路径，可这两段路径是内部网络中的传输路径，可以直接传输以终端以直接传输以终端A A的私有的私有IPIP地址地址192.168.1.1192.168.1.1为源为源IPIP地址、地址、以服务器以服务器B B的私有的私有IPIP地址地址192.168.2.3192.168.2.3为目的为目的IPIP地址的地址的IPIP分组。分组。边界路由器边界路由器R1R1边界路由器边界路由器R2R2这一段传输路径是这一段传输路径是InternetInternet中的传输路径，中的传输路径，IPIP分组必须封装成以边界路由器分组必须封装成以边界路由器R1R1连接连接InternetInternet的接口的全球的接口的全球IPIP地址地址192.1.1.1192.1.1.1为源为源IPIP地址、以地址、以边界路由器边界路由器R2R2连接连接InternetInternet的接口的全球的接口的全球IPIP地址地址192.1.2.1192.1.2.1为为目的目的IPIP地址的隧道报文。地址的隧道报文。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、IPSec和安全传输过程和安全传输过程 建立安全关联分为两个阶段，一是建立安全传输通道，建立建立安全关联分为两个阶段，一是建立安全传输通道，建立安全传输通道时需要完成双向身份鉴别过程，协商安全传输信息安全传输通道时需要完成双向身份鉴别过程，协商安全传输信息时采用的加密算法和报文摘要算法，以及密钥生成机制。二是建时采用的加密算法和报文摘要算法，以及密钥生成机制。二是建立安全关联，建立安全关联时需要约定安全协议（立安全关联，建立安全关联时需要约定安全协议（ESPESP或或AHAH）、）、加密算法和报文摘要算法。加密算法和报文摘要算法。最后通过定义最后通过定义IPIP分组类型，确定经过安全关联传输的分组类型，确定经过安全关联传输的IPIP分组。分组。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、IPSec和安全传输过程和安全传输过程 （1 1）安全传输通道相关的信息）安全传输通道相关的信息身份鉴别机制：证书身份鉴别机制：证书+私钥；私钥；加密算法：加密算法：3DES3DES；报文摘要算法：报文摘要算法：MD5MD5；密钥分发协议：密钥分发协议：Diffie-HellmanDiffie-Hellman，选择组号为，选择组号为2 2的参数。的参数。（2 2）安全关联相关的信息）安全关联相关的信息安全协议：安全协议：ESPESP；加密算法：加密算法：AESAES；MACMAC算法：算法：HMAC-MD5-96HMAC-MD5-96。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、IPSec和安全传输过程和安全传输过程 （3 3）IPIP分组分类标准分组分类标准对于边界路由器对于边界路由器R1R1：源源IPIP地址：地址：192.1.1.1192.1.1.1；目的目的IPIP地址：地址：192.1.2.1192.1.2.1；协议：协议：GREGRE。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、IPSec和安全传输过程和安全传输过程 边界路由器边界路由器R1R1和边界路由器和边界路由器R2R2需要拥有用于证明自己的标需要拥有用于证明自己的标识符与公钥之间绑定关系的证书，且证书能够被对方验证。识符与公钥之间绑定关系的证书，且证书能够被对方验证。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、IPSec和安全传输过程和安全传输过程 第一次交互过程双方约定安全传输通道使用的加密算法第一次交互过程双方约定安全传输通道使用的加密算法3DES3DES和报文摘和报文摘要算法要算法MD5MD5，同时完成用于生成密钥种子，同时完成用于生成密钥种子KSKS的随机数的随机数YAYA和和YBYB的交换过程。的交换过程。第二次交互过程双方约定安全关联使用的安全协议第二次交互过程双方约定安全关联使用的安全协议ESPESP，ESPESP使用的加使用的加密算法密算法AESAES和和MACMAC算法算法HMAC-MD5-96HMAC-MD5-96。同时通过证书和数字签名完成双方身份。同时通过证书和数字签名完成双方身份鉴别过程。第二次交互过程双方传输的信息是用鉴别过程。第二次交互过程双方传输的信息是用3DES3DES加密算法和通过密钥加密算法和通过密钥种子种子KSKS推导出的密钥推导出的密钥K K加密后的密文。加密后的密文。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、IPSec和安全传输过程和安全传输过程 成功建立安全关联后，边界路由器成功建立安全关联后，边界路由器R1R1将将IPIP分组分分组分类标准与该安全关联绑定，所有符合类标准与该安全关联绑定，所有符合IPIP分组分类标准分组分类标准的的IPIP分组通过该安全关联进行传输。分组通过该安全关联进行传输。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、IPSec和安全传输过程和安全传输过程n建立建立R1至至R2的安全关的安全关联后，联后，R1传输给传输给R2的的数据进行安全处理；数据进行安全处理；n由于由于R1至至R2的安全关的安全关联采用隧道模式，隧道联采用隧道模式，隧道报文作为报文作为ESP净荷；净荷；n根据根据ESP操作过程，先操作过程，先对对ESP净荷和尾部进行净荷和尾部进行加密，然后对加密，然后对ESP首部首部和成为密文的和成为密文的ESP净荷净荷和尾部计算消息鉴别码；和尾部计算消息鉴别码；n整个整个ESP报文作为隧道报文作为隧道格式的净荷，外层格式的净荷，外层IP首首部中的源和目的部中的源和目的IP地址地址是隧道两端的是隧道两端的IP地址。地址。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全10.3 第二层隧道和第二层隧道和IPSec本讲主要内容本讲主要内容n远程接入过程；远程接入过程；nPPPPPP帧封装过程；帧封装过程；nL2TPL2TP；nVPNVPN接入控制过程；接入控制过程；nIPSecIPSec和安全传输过程；和安全传输过程；nCisco Easy VPNCisco Easy VPN。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、远程接入过程一、远程接入过程n建立远程终端与接入控制设备之间的点对点语音信道；建立远程终端与接入控制设备之间的点对点语音信道；n建立基于点对点语音信道的建立基于点对点语音信道的PPPPPP链路；链路；n接入控制设备完成对远程终端的身份鉴别过程；接入控制设备完成对远程终端的身份鉴别过程；n接入控制设备为远程终端分配私有接入控制设备为远程终端分配私有IPIP地址，并创建一项将该私有地址，并创建一项将该私有IPIP地址与远地址与远程终端和接入控制设备之间点对点语音信道绑定在一起的动态路由项。程终端和接入控制设备之间点对点语音信道绑定在一起的动态路由项。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、远程接入过程一、远程接入过程n建立远程终端与接入控制设备之间可以传输建立远程终端与接入控制设备之间可以传输PPPPPP帧的第二层隧道；帧的第二层隧道；n建立基于第二层隧道的建立基于第二层隧道的PPPPPP链路；链路；n接入控制设备完成对远程终端的身份鉴别过程；接入控制设备完成对远程终端的身份鉴别过程；n接入控制设备为远程终端分配私有接入控制设备为远程终端分配私有IPIP地址，并创建一项将该私有地址，并创建一项将该私有IPIP地址与远地址与远程终端和接入控制设备之间第二层隧道绑定在一起的动态路由项。程终端和接入控制设备之间第二层隧道绑定在一起的动态路由项。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、远程接入过程一、远程接入过程n传统拨号接入过程需要通过呼叫连接建立过程建传统拨号接入过程需要通过呼叫连接建立过程建立远程终端与接入控制设备之间的点对点语音信立远程终端与接入控制设备之间的点对点语音信道，远程终端与接入控制设备之间通过点对点语道，远程终端与接入控制设备之间通过点对点语音信道完成音信道完成PPPPPP帧传输过程。远程终端与接入控帧传输过程。远程终端与接入控制设备独占点对点语音信道。制设备独占点对点语音信道。n第二层隧道接入过程需要在远程终端与接入控制第二层隧道接入过程需要在远程终端与接入控制设备之间建立基于设备之间建立基于InternetInternet的用于传输的用于传输PPPPPP帧的帧的第二层隧道。远程终端与接入控制设备之间通过第二层隧道。远程终端与接入控制设备之间通过第二层隧道完成第二层隧道完成PPPPPP帧传输过程。帧传输过程。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、PPP帧封装过程帧封装过程 PPP PPP帧通过第二层隧道传输前，必须封装成帧通过第二层隧道传输前，必须封装成以第二层隧道两端的全球以第二层隧道两端的全球IPIP地址为源和目的地址为源和目的IPIP地地址的址的IPIP分组。分组。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、PPP帧封装过程帧封装过程虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、PPP帧封装过程帧封装过程n标志：标志：8 8位，目前只定义位，目前只定义1 1位标志位位标志位T T，当该位标志位置，当该位标志位置1 1时，表明该时，表明该第二层隧道格式是控制消息，当该位标志位置第二层隧道格式是控制消息，当该位标志位置0 0时。表明该第二层隧时。表明该第二层隧道格式是数据消息。封装道格式是数据消息。封装PPPPPP帧的第二层隧道格式是数据消息，因此，帧的第二层隧道格式是数据消息，因此，T T标志位置标志位置0 0。n会话标识符：会话标识符：3232位，唯一标识第二层隧道。会话标识符具有本地意位，唯一标识第二层隧道。会话标识符具有本地意义，接收端通过第二层隧道格式中的会话标识符确定传输数据的第义，接收端通过第二层隧道格式中的会话标识符确定传输数据的第二层隧道。二层隧道。nCookieCookie：3232位或位或6464位，是会话标识符的补充，也用于标识传输数据位，是会话标识符的补充，也用于标识传输数据的第二层隧道。的第二层隧道。Cookie Cookie有着比会话标识符更强的随机性，因此，除有着比会话标识符更强的随机性，因此，除非攻击者能够截获经过第二层隧道传输的数据，否则，很难伪造用非攻击者能够截获经过第二层隧道传输的数据，否则，很难伪造用于在特定第二层隧道中传输的第二层隧道格式。于在特定第二层隧道中传输的第二层隧道格式。CookieCookie同样具有本同样具有本地意义，接收端通过第二层隧道格式中的地意义，接收端通过第二层隧道格式中的CookieCookie确定传输数据的第确定传输数据的第二层隧道。二层隧道。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TP 终端发起建立第二层隧道方式终端发起建立第二层隧道方式 前提是远程终端已经连接到前提是远程终端已经连接到InternetInternet上，且已经分上，且已经分配全球配全球IPIP地址。地址。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TP ISP ISP接入控制设备发起建立第二层隧道方式接入控制设备发起建立第二层隧道方式 终端通过接入网络与终端通过接入网络与ISPISP接入控制设备相连，接入网接入控制设备相连，接入网络可以是络可以是PSTNPSTN、非对称数字用户线路（、非对称数字用户线路（ADSLADSL）和以太网）和以太网等。等。ISPISP接入控制设备通过接入控制设备通过InternetInternet与接入控制设备相连，与接入控制设备相连，ISPISP接入控制设备和接入控制设备连接接入控制设备和接入控制设备连接InternetInternet的接口分的接口分配全球配全球IPIP地址。地址。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TP 终端与接入控制设备之间的虚拟点对点链路由两段传输通路组成，一段是接入终端与接入控制设备之间的虚拟点对点链路由两段传输通路组成，一段是接入网络中终端与网络中终端与ISPISP接入控制设备之间的传输通路，另一段是接入控制设备之间的传输通路，另一段是ISPISP接入控制设备与接入接入控制设备与接入控制设备之间的第二层隧道。由控制设备之间的第二层隧道。由ISPISP接入控制设备完成这两段传输通路之间的交接。接入控制设备完成这两段传输通路之间的交接。将将ISPISP接入控制设备称为接入控制设备称为L2TPL2TP接入集中器（接入集中器（LACLAC）。内部网络连接）。内部网络连接InternetInternet的接的接入控制设备称为入控制设备称为L2TPL2TP网络服务器（网络服务器（LNSLNS）。）。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TP虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TPn T T、L L和和S S标志位必须置标志位必须置1 1，T T标志位置标志位置1 1表明是控制消息，表明是控制消息，L L标志标志位置位置1 1表明长度字段有效，表明长度字段有效，S S标志位置标志位置1 1表明发送和接收序号字表明发送和接收序号字段（段（NSNS和和NRNR）有效。版本字段给出）有效。版本字段给出L2TPL2TP的版本号，这里是的版本号，这里是3 3，表明是表明是L2TPv3L2TPv3。n长度字段给出从长度字段给出从T T标志位起到控制消息结束所包含的字节数。标志位起到控制消息结束所包含的字节数。n控制连接标识符用于接收端确定传输控制消息的控制连接，它控制连接标识符用于接收端确定传输控制消息的控制连接，它具有本地意义。具有本地意义。n发送序号（发送序号（NSNS）和接收序号（）和接收序号（NRNR）的含义和）的含义和TCPTCP首部中的序号首部中的序号和确认序号相同，用于确认应答和重传机制。和确认序号相同，用于确认应答和重传机制。n属性值对（属性值对（AVPAVP）用于传输建立控制连接或第二层隧道所需要）用于传输建立控制连接或第二层隧道所需要的参数。的参数。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n建立控制连接的目的一是可靠传输建建立控制连接的目的一是可靠传输建立第立第2层隧道所需要的控制消息，二是层隧道所需要的控制消息，二是协商双方支持的虚拟线路类型，三是协商双方支持的虚拟线路类型，三是认证双方身份，认证双方身份的机制认证双方身份，认证双方身份的机制是双方配置共享密钥，用共享密钥计是双方配置共享密钥，用共享密钥计算消息认证码（算消息认证码（HAMC），即报文摘），即报文摘要；要；n可靠传输采用确认应答和重传机制，可靠传输采用确认应答和重传机制，发送序号（发送序号（NS）和接收序号（）和接收序号（NR）用于签别重复接收的控制消息和对正用于签别重复接收的控制消息和对正确接收的控制消息进行确认应答；确接收的控制消息进行确认应答；n连接标识符只有本地意义，通过控制连接标识符只有本地意义，通过控制连接传输的控制消息必须携带对应的连接传输的控制消息必须携带对应的连接标识符。连接标识符。三、三、L2TP虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全n建立第建立第2层隧道过程就是双方层隧道过程就是双方协商虚拟线路类型和会话标协商虚拟线路类型和会话标识符（如果需要，包含识符（如果需要，包含Cookie）的过程；）的过程；n传输控制消息过程中可以通传输控制消息过程中可以通过消息认证码认证发送者身过消息认证码认证发送者身份，对控制消息进行完整性份，对控制消息进行完整性检测。检测。三、三、L2TP虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TP虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TPnT T标志位为标志位为0 0，表示是，表示是L2TPv3L2TPv3数据消息；数据消息；n版本字段为版本字段为3 3，表示是，表示是L2TPv3L2TPv3；n会话标识符是创建第二层隧道时数据接收端分配的本会话标识符是创建第二层隧道时数据接收端分配的本地会话标识符；地会话标识符；n如果创建第二层隧道时，第二层隧道两端约定如果创建第二层隧道时，第二层隧道两端约定cookiecookie，紧随会话标识符的是，紧随会话标识符的是cookiecookie。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TPPPPPPP帧封装过程帧封装过程虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全三、三、L2TPnPPPPPP帧中的协议、数据和帧中的协议、数据和CRCCRC字段值成为字段值成为L2TPv3L2TPv3数据消数据消息的净荷；息的净荷；nL2TPv3L2TPv3数据消息封装成目的端口号为数据消息封装成目的端口号为17011701的的UDPUDP报文；报文；nUDPUDP报文封装成以远程终端的全球报文封装成以远程终端的全球IPIP地址地址3.3.3.33.3.3.3为源为源IPIP地址、以路由器地址、以路由器R R连接连接InternetInternet接口的全球接口的全球IPIP地址地址7.7.7.77.7.7.7为目的为目的IPIP地址的地址的IPIP分组。分组。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、四、VPN接入控制过程接入控制过程n路由器路由器R R为了实现远程终端为了实现远程终端VPNVPN接入过程，需要在注册用户接入过程，需要在注册用户库中配置注册用户名、口令和鉴别机制；库中配置注册用户名、口令和鉴别机制；n为了给远程终端分配用于访问内部网络资源的本地为了给远程终端分配用于访问内部网络资源的本地IPIP地址，地址，需要在路由器需要在路由器R R中定义本地中定义本地IPIP地址池。地址池。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、四、VPN接入控制过程接入控制过程 远程终端启远程终端启动动VPNVPN接入接入过程前，需过程前，需要创建要创建VPNVPN连接，创建连接，创建VPNVPN连接过连接过程中输入程中输入LNSLNS（路由（路由器器R R）的）的IPIP地址。地址。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、四、VPN接入控制过程接入控制过程 创建创建VPNVPN连接后，可以连接后，可以通过启动通过启动VPNVPN连接开始连接开始远程终端接入内部网络远程终端接入内部网络过程，用户名和密码必过程，用户名和密码必须是须是LNSLNS（路由器（路由器R R）注）注册用户库包含的有效用册用户库包含的有效用户名和密码，如用户户名和密码，如用户A A和和PASSAPASSA。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、四、VPN接入控制过程接入控制过程n建立远程终端与路由器建立远程终端与路由器R R之间的第二层隧道；之间的第二层隧道；n远程终端与路由器远程终端与路由器R R之间建立基于第二层隧道的之间建立基于第二层隧道的PPPPPP链路；链路；n路由器路由器R R完成对远程终端用户的身份鉴别过程；完成对远程终端用户的身份鉴别过程；n路由器路由器R R在本地在本地IPIP地址池中选择一个未使用的本地地址池中选择一个未使用的本地IPIP地址，地址，如如192.168.2.1192.168.2.1，将其分配给远程终端，并在路由表中创建，将其分配给远程终端，并在路由表中创建一项将该本地一项将该本地IPIP地址和远程终端与路由器地址和远程终端与路由器R R之间的第二层隧之间的第二层隧道绑定在一起的路由项。道绑定在一起的路由项。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、四、VPN接入控制过程接入控制过程虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、四、VPN接入控制过程接入控制过程n远程终端构建以远程终端本地远程终端构建以远程终端本地IPIP地址地址192.168.2.1192.168.2.1为源为源IPIP地地址、以内部网络址、以内部网络WebWeb服务器本地服务器本地IPIP地址地址192.168.1.7192.168.1.7为目的为目的IPIP地址的地址的IPIP分组；分组；n该该IPIP分组封装成分组封装成PPPPPP帧；帧；nPPPPPP帧被封装成帧被封装成L2TPv3L2TPv3数据消息；数据消息；nL2TPv3L2TPv3数据消息封装成目的端口号为数据消息封装成目的端口号为17011701的的UDPUDP报文；报文；nUDPUDP报文封装成以远程终端全球报文封装成以远程终端全球IPIP地址地址3.3.3.33.3.3.3为源为源IPIP地址、地址、以路由器以路由器R R连接连接InternetInternet的接口的全球的接口的全球IPIP地址地址7.7.7.77.7.7.7为目的为目的IPIP地址的地址的IPIP分组。分组。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全四、四、VPN接入控制过程接入控制过程 物理层和链路层由远程终端连接的网络决定。物理层和链路层由远程终端连接的网络决定。L2TPv3L2TPv3、UDPUDP和外层和外层IPIP实现建立第二层隧道，将实现建立第二层隧道，将PPPPPP帧封装成适合经过第二层隧道传输的外帧封装成适合经过第二层隧道传输的外层层IPIP分组的功能。分组的功能。PPPPPP实现远程接入控制和将内层实现远程接入控制和将内层IPIP分组封装成分组封装成PPPPPP帧的帧的功能。远程终端的内层功能。远程终端的内层IPIP实现构建用于访问内部网络的内层实现构建用于访问内部网络的内层IPIP分组，确分组，确定远程终端与路由器定远程终端与路由器R R之间的第二层隧道为输出链路的功能。之间的第二层隧道为输出链路的功能。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全五、五、IPSec和安全传输过程和安全传输过程n第二层隧道两端之间实现安全传输的前提是，建立两端之间双向安全关第二层隧道两端之间实现安全传输的前提是，建立两端之间双向安全关联。如果采用联。如果采用IKEIKE动态建立安全关联的方法，第二层隧道两端需要配置动态建立安全关联的方法，第二层隧道两端需要配置与建立安全传输通道和安全关联相关的信息，这些信息包括安全传输通与建立安全传输通道和安全关联相关的信息，这些信息包括安全传输通道采用的加密算法、报文摘要算法和密钥生成机制等，安全关联使用的道采用的加密算法、报文摘要算法和密钥生成机制等，安全关联使用的安全协议（安全协议（ESPESP或或AHAH）、加密算法和）、加密算法和MACMAC算法等。算法等。n如果采用人工配置安全关联的方法，需要针对每一个安全关联，人工配如果采用人工配置安全关联的方法，需要针对每一个安全关联，人工配置安全协议（置安全协议（ESPESP或或AHAH）、）、SPISPI、加密算法、加密算法、MACMAC算法、加密密钥、算法、加密密钥、MACMAC密密钥等。钥等。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全五、五、IPSec和安全传输过程和安全传输过程 封装成封装成ESPESP报文报文后，后，IPIP首部中的协议首部中的协议字段值改为字段值改为5050，表明，表明IPIP分组净荷是分组净荷是ESPESP报报文，文，ESPESP首部中的下首部中的下一个首部字段值为一个首部字段值为1717，表明，表明ESPESP报文净荷报文净荷是是UDPUDP报文。报文。SPISPI为为12341234。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全六、六、Cisco Easy VPN Cisco Easy VPNCisco Easy VPN只需要在内部网络只需要在内部网络LNSLNS上配置上配置与建立安全关联相关的参数。当远程用户启动接入与建立安全关联相关的参数。当远程用户启动接入内部网络过程，且内部网络内部网络过程，且内部网络LNSLNS确定该远程用户是确定该远程用户是注册用户后，内部网络注册用户后，内部网络LNSLNS一方面完成该远程终端一方面完成该远程终端的接入控制过程，另一方面向该远程终端推送与建的接入控制过程，另一方面向该远程终端推送与建立安全关联相关的参数。该远程终端接收到内部网立安全关联相关的参数。该远程终端接收到内部网络络LNSLNS推送的与建立安全关联相关的参数后，完成推送的与建立安全关联相关的参数后，完成远程终端与内部网络远程终端与内部网络LNSLNS之间的双向安全关联建立之间的双向安全关联建立过程。过程。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全六、六、Cisco Easy VPN 远程终端与内部网络连接远程终端与内部网络连接InternetInternet的路由器之间不是的路由器之间不是通过第二层隧道协议建立第二层隧道，而是建立第三层隧道。通过第二层隧道协议建立第二层隧道，而是建立第三层隧道。远程终端与内部网络远程终端与内部网络LNSLNS之间的双向安全关联采用隧道模式。之间的双向安全关联采用隧道模式。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全六、六、Cisco Easy VPN虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全六、六、Cisco Easy VPN 第一阶段是建立安全传输通道，即第一阶段是建立安全传输通道，即IKEIKE安全关联。该阶安全关联。该阶段的任务是双方协商安全传输通道使用的加密算法、报文摘段的任务是双方协商安全传输通道使用的加密算法、报文摘要算法，完成双向身份鉴别过程，完成要算法，完成双向身份鉴别过程，完成Diffie-HellmanDiffie-Hellman参数参数交换过程。交换过程。第二阶段的任务是由路由器第二阶段的任务是由路由器R R完成对远程用户的身份鉴完成对远程用户的身份鉴别过程，并向远程终端推送网络信息，同时，在路由表中创别过程，并向远程终端推送网络信息，同时，在路由表中创建用于指明通往远程终端的传输路径的路由项。建用于指明通往远程终端的传输路径的路由项。第三阶段的任务是由路由器第三阶段的任务是由路由器R R向远程终端推送与安全关向远程终端推送与安全关联相关的参数，建立路由器联相关的参数，建立路由器R R与远程终端之间的安全关联。与远程终端之间的安全关联。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全六、六、Cisco Easy VPN虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全六、六、Cisco Easy VPN 远程终端发送给内部网络远程终端发送给内部网络WebWeb服务器的数据，封装成以远服务器的数据，封装成以远程终端内部网络本地程终端内部网络本地IPIP地址地址192.168.2.1192.168.2.1为源为源IPIP地址、内部地址、内部网络网络WebWeb服务器本地服务器本地IPIP地址地址192.168.1.7192.168.1.7为目的为目的IPIP地址的内层地址的内层IPIP分组。分组。内层内层IPIP分组远程终端至路由器分组远程终端至路由器R R的传输过程中，封装成的传输过程中，封装成ESPESP报文，报文，ESP ESP报文首部中下一个首部字段值为报文首部中下一个首部字段值为4 4，表明，表明ESPESP报文净荷为内层报文净荷为内层IPIP分组。分组。完成加密和消息鉴别码运算过程后的完成加密和消息鉴别码运算过程后的ESPESP报文被封装成报文被封装成UDPUDP报文，用端口号报文，用端口号45004500表明表明UDPUDP报文净荷是报文净荷是ESPESP报文。报文。UDP UDP报文封装成以远程终端全球报文封装成以远程终端全球IPIP地址地址3.3.3.33.3.3.3为源为源IPIP地地址、以路由器址、以路由器R R连接连接InternetInternet接口的全球接口的全球IPIP地址地址7.7.7.77.7.7.7为目为目的的IPIP地址的外层地址的外层IPIP分组。分组。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全10.4 SSL VPN 本讲主要内容本讲主要内容 n第二层隧道和第二层隧道和IPSecIPSec的缺陷；的缺陷；nSSL VPNSSL VPN实现原理。实现原理。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、第二层隧道和一、第二层隧道和IPSecIPSec的缺陷的缺陷VPNVPN对远程终端的访问权限没有限制对远程终端的访问权限没有限制虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、第二层隧道和一、第二层隧道和IPSecIPSec的缺陷的缺陷家庭局域网中的终端无法访问其他内部网络家庭局域网中的终端无法访问其他内部网络虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全一、第二层隧道和一、第二层隧道和IPSecIPSec的缺陷的缺陷 无论是无论是IP Sec+IP Sec+第二层隧道，还是第二层隧道，还是Cisco Cisco Easy VPNEasy VPN，远程终端都要安装专用客户端。，远程终端都要安装专用客户端。无论是无论是IP Sec+IP Sec+第二层隧道，还是第二层隧道，还是Cisco Cisco Easy VPNEasy VPN，内部网络对于远程终端都不是透明，内部网络对于远程终端都不是透明的。的。无法实现基于用户授权。无法实现基于用户授权。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、SSL VPN实现原理实现原理 SSL VPN SSL VPN结构的核心设备是结构的核心设备是SSL VPNSSL VPN网关，它一端连接网关，它一端连接InternetInternet，分配全，分配全球球IPIP地址，另一端连接内部网络，分配内部网络本地地址，另一端连接内部网络，分配内部网络本地IPIP地址。与其他实现内地址。与其他实现内部网络和部网络和InternetInternet互联的路由器不同，互联的路由器不同，SSL VPNSSL VPN网关对于远程终端，等同于网关对于远程终端，等同于连接在连接在InternetInternet上的上的WebWeb服务器，远程终端可以用访问其他连接在服务器，远程终端可以用访问其他连接在InternetInternet上的上的WebWeb服务器一样的方式登录服务器一样的方式登录SSL VPNSSL VPN网关。为了实现数据远程终端与网关。为了实现数据远程终端与SSL SSL VPNVPN之间的安全传输，远程终端和之间的安全传输，远程终端和SSL VPNSSL VPN网关之间采用应用层安全协议网关之间采用应用层安全协议HTTPSHTTPS。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、SSL VPN实现原理实现原理 SSL VPN SSL VPN网关通过连接内部网络的接口建立与内部网络各网关通过连接内部网络的接口建立与内部网络各个服务器之间的传输通路，通过相应的应用层协议完成访问内个服务器之间的传输通路，通过相应的应用层协议完成访问内部网络中各个服务器的过程。部网络中各个服务器的过程。虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、SSL VPN实现原理实现原理虚拟专用网络虚拟专用网络虚拟专用网络虚拟专用网络计算机网络安全计算机网络安全计算机网络安全计算机网络安全二、二、SSL VPN实现原理实现原理n建立远程终端与建立远程终端与SSL VPNSSL VPN网关之间的网关之间的TCPTCP连接；连接；n建立远程终端与建立远程终端与SSL VPNSSL VPN网关之间的网关之间的SSLSSL会话；会话；n远程终端登录远程终端登录SSL VPNSSL VPN网关；网关；n远程终端向远程终端向SSL VPN