第4章-訪問(wèn)控制與VPN技術(shù)要點(diǎn)課件

《計(jì)算機(jī)網(wǎng)絡(luò)安全》

課程講義清華大學(xué)出版社1第四章訪問(wèn)控制與VPN技術(shù)

2本章內(nèi)容訪問(wèn)控制的概念、模型

訪問(wèn)控制中AAA組件

虛擬專用網(wǎng)（VPN）技術(shù)

3學(xué)習(xí)目標(biāo)了解訪問(wèn)控制技術(shù)的概念和特點(diǎn)

掌握訪問(wèn)控制分類

掌握AAA技術(shù)

理解VPN的定義及其類型

掌握VPN的各種隧道協(xié)議

44.1訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)的基本概念 訪問(wèn)控制（AccessControl）是針對(duì)越權(quán)使用資源的防御措施，即判斷使用者是否有權(quán)限使用、或更改某一項(xiàng)資源，并且防止非授權(quán)的使用者濫用資源。 訪問(wèn)控制通常包含以下三方面含義： 一是機(jī)密性控制，保證數(shù)據(jù)資源不被非法讀出； 二是完整性控制，保證數(shù)據(jù)資源不被非法增加、改寫、刪除和生成； 三是有效性控制，保證資源不被非法訪問(wèn)主體使用和破壞。

54.1訪問(wèn)控制技術(shù)

訪問(wèn)控制技術(shù)的基本概念 訪問(wèn)控制系統(tǒng)一般包括： （1）主體：發(fā)出訪問(wèn)操作、存取要求的主動(dòng)方，通常指用戶或用戶的某個(gè)進(jìn)程。 （2）客體：被調(diào)用的程序或欲存取的數(shù)據(jù)訪問(wèn)。 （3）安全訪問(wèn)政策：一套規(guī)則，用以確定一個(gè)主體是否對(duì)客體擁有訪問(wèn)能力。64.1訪問(wèn)控制技術(shù)

訪問(wèn)控制模型

訪問(wèn)控制功能組件包括了下列四個(gè)部分：

1）發(fā)起者；

2）訪問(wèn)控制實(shí)施功能AEF；

3）訪問(wèn)控制決策功能ADF；

4）目標(biāo)（Target）。74.1訪問(wèn)控制技術(shù)

訪問(wèn)控制組件的分布

AEF所提供的功能可以獨(dú)立成一個(gè)功能組件，稱為AEFComponent，簡(jiǎn)稱為AEC；同樣的，ADF所提供的功能也可獨(dú)立成一個(gè)功能組件，稱為ADFComponent，簡(jiǎn)稱為ADC。AEC及ADC可以有不同的組合方式。

84.1訪問(wèn)控制技術(shù)

訪問(wèn)控制組件的分布

ADF能由一個(gè)或多個(gè)ADF組件實(shí)現(xiàn)，且AEF能由一個(gè)或多個(gè)AEF組件實(shí)現(xiàn)。如圖所示為訪問(wèn)控制組件間的關(guān)系的示例。這里描述的關(guān)系只適用于單個(gè)發(fā)起者和單個(gè)目標(biāo)，其他示例可能包括使用多于一個(gè)ADC和AEC。94.1訪問(wèn)控制技術(shù)

訪問(wèn)控制活動(dòng)

（1）建立訪問(wèn)控制策略的表示 （2）建立訪問(wèn)控制信息ACI的表示 （3）給發(fā)起者和目標(biāo)分配ACI （4）綁定ACI到發(fā)起者、目標(biāo)和訪問(wèn)請(qǐng)求 （5）使ADI對(duì)ADF可用 （6）修改ACI （7）撤銷ADI （8）ACI轉(zhuǎn)發(fā)104.1訪問(wèn)控制技術(shù)

訪問(wèn)控制與其它安全措施的關(guān)系

（1）身份認(rèn)證

身份認(rèn)證與訪問(wèn)控制盡管有某些共性和聯(lián)系，但服務(wù)卻是不相同的。身份認(rèn)證是判斷訪問(wèn)者是否具有其聲稱的身份的處理過(guò)程。訪問(wèn)控制是信息安全保密防范的第二道防線，它是身份認(rèn)證成功的基礎(chǔ)上，取得用戶身份，根據(jù)身份信息和授權(quán)數(shù)據(jù)庫(kù)決定是否能夠訪問(wèn)某個(gè)資源。 在某些系統(tǒng)中用于身份認(rèn)證的驗(yàn)證設(shè)施與ADF搭配在一起。在分布式系統(tǒng)中，不需要搭配這些功能，并且可使用分離的發(fā)起者ACI，因此身份僅被簡(jiǎn)單地當(dāng)作發(fā)起者綁定ACI的一部分。114.1訪問(wèn)控制技術(shù)

訪問(wèn)控制與其它安全措施的關(guān)系

（2）數(shù)據(jù)完整性 數(shù)據(jù)完整性服務(wù)能用于確保在訪問(wèn)控制組件內(nèi)或組件之間輸入和輸出的完整性。 （3）數(shù)據(jù)機(jī)密性 在一些安全策略控制下，可要求數(shù)據(jù)機(jī)密性服務(wù)以便對(duì)訪問(wèn)控制組件或訪問(wèn)控制組件之間的某些輸入和某些輸出實(shí)現(xiàn)機(jī)密性，例如，防止收集敏感信息。124.1訪問(wèn)控制技術(shù)

訪問(wèn)控制與其它安全措施的關(guān)系

（4）安全審計(jì) 安全審計(jì)技術(shù)是一種事后追查手段。審計(jì)系統(tǒng)根據(jù)審計(jì)設(shè)置記錄用戶的請(qǐng)求和行為，同時(shí)入侵檢測(cè)系統(tǒng)實(shí)時(shí)或非實(shí)時(shí)地檢測(cè)是否有入侵行為。訪問(wèn)控制和審計(jì)系統(tǒng)都要依賴于身份認(rèn)證系統(tǒng)提供的“信息”——用戶的身份。

ACI可用來(lái)審計(jì)一個(gè)特定發(fā)起者的訪問(wèn)請(qǐng)求。需要收集若干審計(jì)線索，以便能夠準(zhǔn)確地識(shí)別哪個(gè)發(fā)起者執(zhí)行了哪些訪問(wèn)請(qǐng)求。

134.1訪問(wèn)控制技術(shù)

訪問(wèn)控制顆粒和容度

訪問(wèn)控制策略可在不同的顆粒級(jí)別上定義目標(biāo)。每一個(gè)顆粒級(jí)別有它自己邏輯上的分離策略，并可使用不同AEF與ADF組件。 通過(guò)規(guī)定一種策略，容度可用來(lái)對(duì)一個(gè)目標(biāo)集實(shí)施訪問(wèn)控制，只有在對(duì)包含這些目標(biāo)的一個(gè)目標(biāo)被允許訪問(wèn)時(shí)，該策略才允許訪問(wèn)這些目標(biāo)。容度也應(yīng)用在包含于大組里的發(fā)起者子組。在一個(gè)元素被包含在另一個(gè)元素之中的情況下，在試圖訪問(wèn)經(jīng)密封的元素之前，有必要給發(fā)起者賦予“通過(guò)”該密封元素的訪問(wèn)權(quán)力。14

4.2訪問(wèn)控制的分類

強(qiáng)制訪問(wèn)控制（MAC）

指系統(tǒng)強(qiáng)制主體服從事先制定的訪問(wèn)控制策略，在八十年代得到普遍應(yīng)用，主要用于多層次安全級(jí)別的軍事應(yīng)用中。

在MAC系統(tǒng)中，所有主體和客觀都被分配了安全標(biāo)簽以標(biāo)識(shí)一個(gè)安全等級(jí)。當(dāng)主體訪問(wèn)客體時(shí)，調(diào)用強(qiáng)制訪問(wèn)控制機(jī)制，根據(jù)主體的安全等級(jí)和訪問(wèn)方式，比較主體的安全等級(jí)和客體的安全等級(jí)，從而確定是否允許主體對(duì)客體的訪問(wèn)。15

4.2訪問(wèn)控制的分類

自主訪問(wèn)控制（DAC）

在確認(rèn)主體身份及所屬的組的基礎(chǔ)上，對(duì)訪問(wèn)進(jìn)行限定的一種控制策略。在這種方式下，主體可以按照自己的意愿精確指定系統(tǒng)中的其他對(duì)其客體的訪問(wèn)權(quán)。其實(shí)現(xiàn)理論基礎(chǔ)是訪問(wèn)控制矩陣，將系統(tǒng)的安全狀態(tài)描述為一個(gè)矩陣，矩陣的行表示系統(tǒng)中的主體，列表示系統(tǒng)中的客體，每個(gè)元素表示主體對(duì)客體所擁有的訪問(wèn)權(quán)限。

16

4.2訪問(wèn)控制的分類

自主訪問(wèn)控制（DAC）

為提高效率，系統(tǒng)不保存整個(gè)矩陣，在具體實(shí)現(xiàn)時(shí)是基于矩陣的行或列來(lái)實(shí)現(xiàn)訪問(wèn)控制策略。目前，主要有兩種實(shí)現(xiàn)方式: （1）基于行（主體）的DAC實(shí)現(xiàn) 通過(guò)在每個(gè)主體上都附加一個(gè)該主體可以訪問(wèn)的客體的明細(xì)表來(lái)表現(xiàn)，根據(jù)表中信息的不同可分為以下三種形式：①權(quán)能表②前綴表③口令 （2）基于列（客體）的DAC實(shí)現(xiàn) 通過(guò)對(duì)每個(gè)客體附加一個(gè)可訪問(wèn)它的明細(xì)表來(lái)表示，有以下兩種形式：①保護(hù)位②訪問(wèn)控制列表ACL

17

4.2訪問(wèn)控制的分類

基于角色的訪問(wèn)控制（RBAC）

RBAC模型通過(guò)引入“角色”的概念，將訪問(wèn)控制中的主體對(duì)象和對(duì)應(yīng)權(quán)限解耦。RBAC是目前公認(rèn)的解決大型企業(yè)的統(tǒng)一資源訪問(wèn)控制的有效訪問(wèn)方法，其具備的兩個(gè)特征是： ①由于角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對(duì)要慢得多，從而減小授權(quán)管理的復(fù)雜性，降低管理開(kāi)銷。 ②可以靈活地支持企業(yè)的安全策略，并對(duì)企業(yè)變化有很大的伸縮性。

18

4.2訪問(wèn)控制的分類

基于角色的訪問(wèn)控制（RBAC）

（1）RBAC的相關(guān)概念 ①角色（Role）：指一個(gè)組織或任務(wù)中的工作或位置，代表了一種資格、權(quán)利和責(zé)任。 ②用戶（User）：一個(gè)可以獨(dú)立訪問(wèn)計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)或數(shù)據(jù)表示的其他資源的主體。 ③權(quán)限（Permission）：表示對(duì)系統(tǒng)中的客體進(jìn)行特定模式的訪問(wèn)操作，這與實(shí)現(xiàn)的機(jī)制密切相關(guān)。 19

4.2訪問(wèn)控制的分類

基于角色的訪問(wèn)控制（RBAC）

RBAC模型可以分為4種類型，分別是基本模型RBAC0（CoreRBAC）、角色分級(jí)模型RBAC1（HierarchalRBAC）、角色限制模型RBAC2（ConstraintRBAC）和統(tǒng)一模型RBAC3（CombinesRBAC）。RBAC基本模型包含了RBAC標(biāo)準(zhǔn)最基本的內(nèi)容

20

4.2訪問(wèn)控制的分類

基于任務(wù)的訪問(wèn)控制（TBAC）

所謂任務(wù),就是用戶要進(jìn)行的一個(gè)個(gè)操作的統(tǒng)稱。任務(wù)是一個(gè)動(dòng)態(tài)的概念，每項(xiàng)任務(wù)包括其內(nèi)容、狀態(tài)、執(zhí)行結(jié)果、生命周期等。

TBAC從任務(wù)角度進(jìn)行授權(quán)控制，在任務(wù)執(zhí)行前授予權(quán)限，在任務(wù)完成后收回權(quán)限。TBAC中，訪問(wèn)權(quán)限是與任務(wù)綁定在一起的，權(quán)限的生命周期隨著任務(wù)的執(zhí)行被激活，并且對(duì)象的權(quán)限隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化，當(dāng)任務(wù)完成后權(quán)限的生命周期也就結(jié)束了，因此它屬于一種主動(dòng)安全模型。 21

4.2訪問(wèn)控制的分類

基于任務(wù)的訪問(wèn)控制（TBAC）

TBAC的一些相關(guān)概念如下所示。 ①授權(quán)步：是指在一個(gè)工作流程中對(duì)處理對(duì)象的一次處理過(guò)程。它是訪問(wèn)控制所能控制的最小單元。 ②授權(quán)結(jié)構(gòu)體：是由一個(gè)或多個(gè)授權(quán)步組成的結(jié)構(gòu)體。它們?cè)谶壿嬌鲜锹?lián)系在一起的。授權(quán)結(jié)構(gòu)體分為一般授權(quán)結(jié)構(gòu)體和原子授權(quán)結(jié)構(gòu)體。 ③任務(wù)：是工作流程中的一個(gè)邏輯單元。它是一個(gè)可區(qū)分的動(dòng)作，可能與多個(gè)用戶相關(guān)，也可能包括幾個(gè)子任務(wù)。 ④依賴：是指授權(quán)步之間或授權(quán)結(jié)構(gòu)體之間的相互關(guān)系，包括順序依賴、失敗依賴、分權(quán)依賴和代理依賴。依賴反映了基于任務(wù)的訪問(wèn)控制的原則。

22

4.2訪問(wèn)控制的分類

其它訪問(wèn)控制方式 （1）基于角色-任務(wù)的訪問(wèn)控制模型 （2）基于規(guī)則策略的訪問(wèn)控制模型 （3）面向服務(wù)的訪問(wèn)控制模型 （4）基于狀態(tài)的訪問(wèn)控制模型 （5）基于行為的訪問(wèn)控制模型23

4.3AAA技術(shù)

AAA技術(shù)概述

AAA包含三個(gè)方面的內(nèi)容：認(rèn)證（Authentication）、授權(quán)（Authorization）、審計(jì)（Accounting），現(xiàn)在人們常常將它們稱作為“3A”。AAA已成為網(wǎng)絡(luò)安全策略研究的重要部分，其主要目的是管理哪些用戶可以訪問(wèn)網(wǎng)絡(luò)服務(wù)器，具有訪問(wèn)權(quán)的用戶可以得到哪些服務(wù)，如何對(duì)正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行審計(jì)。

AAA的工作相當(dāng)簡(jiǎn)單。AAA設(shè)置在路由器或者PIX或者任何其他這樣的設(shè)備上，這些設(shè)備都需要AAA對(duì)接入設(shè)備本身或者與設(shè)備相連的網(wǎng)絡(luò)的用戶進(jìn)行限制。24

4.3AAA技術(shù)

認(rèn)證

認(rèn)證用于識(shí)別用戶，在允許遠(yuǎn)程登錄訪問(wèn)網(wǎng)絡(luò)資源之前對(duì)其身份進(jìn)行識(shí)別。整個(gè)認(rèn)證通常是采用用戶輸入用戶名與密碼來(lái)進(jìn)行權(quán)限審核。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。由AAA服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫(kù)中每個(gè)用戶的標(biāo)準(zhǔn)一一核對(duì)。如果符合，那么該用戶認(rèn)證通過(guò)，如果不符合，則拒絕提供網(wǎng)絡(luò)連接。如設(shè)立授權(quán)參數(shù)的話，就必須依據(jù)授權(quán)參數(shù)進(jìn)行訪問(wèn)和使用。25

4.3AAA技術(shù)

授權(quán)

授權(quán)是用戶或設(shè)備被給予對(duì)網(wǎng)絡(luò)資源受控制的訪問(wèn)權(quán)限的過(guò)程。授權(quán)讓網(wǎng)絡(luò)管理員控制誰(shuí)能夠在網(wǎng)絡(luò)中做些什么。它也可以通過(guò)PPP服務(wù)連接的用戶賦予指定的IP地址，要求用戶使用特定類型的服務(wù)進(jìn)行連接，或者配置callback之類的高級(jí)特性。 當(dāng)啟動(dòng)AAA授權(quán)時(shí)，網(wǎng)絡(luò)接入服務(wù)器使用從用戶配置文件檢索到的信息來(lái)配置用戶的會(huì)話，這些信息要么位于本地用戶數(shù)據(jù)庫(kù)，要么位于安全服務(wù)器上。完成這個(gè)工作之后，如果用戶設(shè)置文件的信息允許的話，用戶就會(huì)被授予訪問(wèn)特定服務(wù)器的權(quán)限。26

4.3AAA技術(shù)

審計(jì)

審計(jì)是AAA的最后一個(gè)組件。審計(jì)是網(wǎng)絡(luò)接入服務(wù)器用來(lái)報(bào)告認(rèn)證的和/或授權(quán)的用戶及設(shè)備所做行為進(jìn)行統(tǒng)計(jì)的過(guò)程，AAA服務(wù)器通過(guò)遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)或者終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)進(jìn)行統(tǒng)計(jì)。審計(jì)負(fù)責(zé)進(jìn)一步的工作并記錄被認(rèn)證和/或者被授權(quán)的用戶的行為。另外，審計(jì)也可以用來(lái)跟蹤接入設(shè)備狀態(tài)和終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)或遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)通信。 審計(jì)信息以統(tǒng)計(jì)記錄的形式在接入設(shè)備和終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)或遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)服務(wù)器之間進(jìn)行交換。每個(gè)統(tǒng)計(jì)記錄包含統(tǒng)計(jì)屬性-值對(duì)，并儲(chǔ)存在終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)或遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)服務(wù)器上。27

4.4VPN概述

AAA協(xié)議

目前最常用的AAA協(xié)議包含RADIUS和TACACS+兩種。眾多廠商都支持AAA協(xié)議，如微軟內(nèi)置的Internet身份認(rèn)證服務(wù)，可以支持RADIUS，CISCOACS可支持RADIUS和TACACS+協(xié)議。

（1）遠(yuǎn)程鑒權(quán)撥入用戶服務(wù)（RADIUS） （2）終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)（TACACS+）28

4.4VPN概述

VPN基本概念

虛擬專用網(wǎng)（VirtualPrivateNetwork，VPN）是指利用密碼技術(shù)和訪問(wèn)控制技術(shù)在公共網(wǎng)絡(luò)中建立的專用通信網(wǎng)絡(luò)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專用網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成，虛擬專用網(wǎng)絡(luò)對(duì)用戶端透明，用戶好像使用一條專用線路進(jìn)行通信。

29

4.4VPN概述

VPN的技術(shù)要求

（1）安全保障 （2）服務(wù)質(zhì)量（QoS）保證 （3）可擴(kuò)展性和靈活性 （4）可管理性 從VPN的技術(shù)相對(duì)于傳統(tǒng)專用網(wǎng)具有明顯的優(yōu)勢(shì)，體現(xiàn)在： （1）可以降低成本 （2）可擴(kuò)展性強(qiáng) （3）提供安全保證30

4.4VPN概述

VPN類型

（1）遠(yuǎn)程訪問(wèn)虛擬網(wǎng)（AccessVPN） 該類型的VPN主要用來(lái)處理可移動(dòng)用戶、遠(yuǎn)程交換和小部門遠(yuǎn)程訪問(wèn)企業(yè)本部的連通性。當(dāng)出差人員需要和企業(yè)或相關(guān)部門聯(lián)系時(shí)，便可以利用本地相應(yīng)的軟件接入Internet，通過(guò)Internet和企業(yè)網(wǎng)絡(luò)中相關(guān)的VPN網(wǎng)關(guān)建立一條安全通道。用戶使用這條可以提供不同級(jí)別的加密和完整性保護(hù)的通道，可以傳輸不同級(jí)別保護(hù)的信息。如果用戶所在地沒(méi)有這些軟件，只要ISP的接入設(shè)備可以提供VPN服務(wù)的話，用戶也可以撥入ISP，由ISP提供的VPN設(shè)備和企業(yè)本部的VPN網(wǎng)關(guān)進(jìn)行安全通道的連接。31

4.4VPN概述

VPN類型

（2）企業(yè)內(nèi)部虛擬網(wǎng)（IntranetVPN） 企業(yè)內(nèi)部虛擬網(wǎng)主要是利用Internet來(lái)連接企業(yè)的遠(yuǎn)程部門。傳統(tǒng)的企業(yè)內(nèi)部網(wǎng)絡(luò)的實(shí)現(xiàn)中，通常是采用專線方式來(lái)連接企業(yè)和各個(gè)遠(yuǎn)程部門的，這樣需要為每一個(gè)遠(yuǎn)程部門申請(qǐng)一條專線，其運(yùn)行、維護(hù)和管理費(fèi)用之高是不言而喻的，且很多時(shí)候帶寬都得不到有效利用。而VPN只需企業(yè)的遠(yuǎn)程部門通過(guò)公用網(wǎng)絡(luò)和企業(yè)本部互聯(lián)，并且由遠(yuǎn)程部門網(wǎng)絡(luò)的VPN網(wǎng)關(guān)和企業(yè)本部網(wǎng)絡(luò)的VPN網(wǎng)關(guān)負(fù)責(zé)建立安全通道，在保證數(shù)據(jù)的機(jī)密性、完整性的同時(shí)又能大大的降低了整個(gè)企業(yè)網(wǎng)互聯(lián)的運(yùn)行和管理費(fèi)用。32

4.4VPN概述

VPN類型

（3）企業(yè)擴(kuò)展虛擬網(wǎng)（ExtranetVPN） 該類型網(wǎng)絡(luò)主要是用來(lái)連接相關(guān)企業(yè)和客戶的網(wǎng)絡(luò)，傳統(tǒng)的實(shí)現(xiàn)方案中，主要也存在費(fèi)用較高，需要進(jìn)行復(fù)雜的配置等諸多不便。而VPN可以在一定程度上解決這些問(wèn)題，通過(guò)Internet的互聯(lián)，在降低了整個(gè)網(wǎng)絡(luò)的運(yùn)行費(fèi)用的同時(shí)又能在其他軟件的輔助下較好地進(jìn)行用戶訪問(wèn)控制與管理。33

4.4VPN概述

VPN的安全技術(shù)

1、隧道技術(shù) 隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道實(shí)質(zhì)上是一種封裝，它把一種協(xié)議A封裝在另一種協(xié)議B中傳輸，實(shí)現(xiàn)協(xié)議A對(duì)公用網(wǎng)絡(luò)的透明性。隧道根據(jù)相應(yīng)的隧道協(xié)議來(lái)創(chuàng)建。 隧道可以按照隧道發(fā)起點(diǎn)位置，劃分為自愿隧道和強(qiáng)制隧道。自愿隧道由用戶或客戶端計(jì)算機(jī)通過(guò)發(fā)送VPN請(qǐng)求進(jìn)行配置和創(chuàng)建，此時(shí)，用戶端計(jì)算機(jī)作為隧道的一個(gè)端點(diǎn)。強(qiáng)制隧道由支持VPN的撥號(hào)接入服務(wù)器配置和創(chuàng)建，此時(shí)，作為隧道端點(diǎn)是位于客戶計(jì)算機(jī)和隧道服務(wù)器之間的遠(yuǎn)程接入服務(wù)器作為隧道客戶端。34

4.4VPN概述

VPN的安全技術(shù)

隧道技術(shù)在VPN的實(shí)現(xiàn)中具有如下主要作用： （1）一個(gè)IP隧道可以調(diào)整任何形式的有效負(fù)載，使遠(yuǎn)程用戶能夠透明地?fù)芴?hào)上網(wǎng)來(lái)訪問(wèn)企業(yè)的IP、1PX或AppleTalk網(wǎng)絡(luò)。 （2）隧道能夠利用封裝技術(shù)同時(shí)調(diào)整多個(gè)用戶或多個(gè)不同形式的有效負(fù)載。 （3）使用隧道技術(shù)訪問(wèn)企業(yè)網(wǎng)時(shí)，企業(yè)網(wǎng)不會(huì)向Internet報(bào)告它的IP網(wǎng)絡(luò)地址。 （4）隧道技術(shù)允許接受者濾掉或報(bào)告?zhèn)€人的隧道連接。35

4.4VPN概述

VPN的安全技術(shù)

2、加解密技術(shù) 加密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)。利用加密技術(shù)保證傳輸數(shù)據(jù)的安會(huì)是VPN安全技術(shù)的核心。為了適應(yīng)VPN工作特點(diǎn)，目前VPN中均采用對(duì)稱加密體制和公鑰加密體制相結(jié)合的方法。 VPN目前常用的對(duì)稱密碼加密算法有：DES、3DES、RC4、RC5、IDEA、CAST等。 當(dāng)前常見(jiàn)的公鑰體制有RSA、D-H和橢圓曲線等，相應(yīng)的加密算法都已應(yīng)用于VPN實(shí)際實(shí)現(xiàn)中。36

4.4VPN概述

VPN的安全技術(shù)

3、密鑰管理技術(shù) 密鑰管理技術(shù)的主要任務(wù)是如何實(shí)現(xiàn)在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)有SKIPISAKMP/OAKLEY SKIP基于一個(gè)D-H公鑰密碼體制數(shù)字證書。SKIP隱含地在通信雙方實(shí)現(xiàn)了一個(gè)D-H交換，它簡(jiǎn)單易行，對(duì)公鑰操作次數(shù)少，節(jié)省系統(tǒng)資源，但由于公鑰長(zhǎng)期暴露，因而存在著安全隱患。

ISAKMP/OAKLEY協(xié)議（又稱IKE），即通常所說(shuō)的因特網(wǎng)密鑰交換協(xié)議。它綜合了OAKLEY和SKEME的優(yōu)點(diǎn)，形成了一套具體的驗(yàn)證加密材料生成技術(shù)，以協(xié)商共享的安全策略。37

4.4VPN概述

VPN的安全技術(shù)

4、身份認(rèn)證技術(shù)

VPN中最常用的是用戶名/口令或智能卡認(rèn)證等方式。 身份認(rèn)證是通信雙方建立VPN的第一步，保證用戶名/口令，特別是用戶口令的機(jī)密性至關(guān)重要。在VPN實(shí)現(xiàn)上，除了強(qiáng)制要求用戶選擇安全口令外，還特別采用對(duì)用戶口令數(shù)據(jù)加密存放或使用一次性口令等技術(shù)。智能卡認(rèn)證具有更強(qiáng)的安全性，它可以將用戶的各種身份信息及公鑰證書信息等集中在一張卡片上進(jìn)行認(rèn)證，做到智能卡的物理安全就可以在很大程度上保證認(rèn)證機(jī)制的安全。38

4.5VPN隧道協(xié)議

VPN隧道協(xié)議

VPN具體實(shí)現(xiàn)是采用隧道技術(shù)，而隧道是通過(guò)隧道協(xié)議實(shí)現(xiàn)的，隧道協(xié)議規(guī)定了隧道的建立，維護(hù)和刪除規(guī)則以及怎樣將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道協(xié)議可分為第二層（鏈路層）隧道協(xié)議第三層（網(wǎng)絡(luò)層）隧道協(xié)議。

39

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

1、PPTP PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）是在PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）的基礎(chǔ)上開(kāi)發(fā)的一種新的增強(qiáng)型隧道協(xié)議。利用PPP協(xié)議的身份驗(yàn)證、加密和協(xié)議配置機(jī)制，PPTP為遠(yuǎn)程訪問(wèn)和VPN連接提供了一條安全路徑。 PPTP通過(guò)控制連接來(lái)創(chuàng)建、維護(hù)和終止一條隧道，并使用GRE（通用路由封裝）對(duì)經(jīng)過(guò)加密、壓縮處理的PPP幀進(jìn)行封裝。通過(guò)PPTP，用戶可以采用撥號(hào)方式接入到公共網(wǎng)絡(luò)。

40

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

PPTP通信由主要由以下兩部分組成： （1）PPTP控制連接 PPTP的控制連接是一種必須通過(guò)一系列PPTP消息來(lái)創(chuàng)建、維護(hù)與終止的邏輯連接。PPTP控制連接通信過(guò)程使用PPTP客戶端上動(dòng)態(tài)分配的TCP端口以及PPTP服務(wù)器上編號(hào)為1723的反向IANATCP端口。PPTP控制連接數(shù)據(jù)包包括一個(gè)IP報(bào)頭，一個(gè)TCP報(bào)頭和PPTP控制信息。

41

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

PPTP控制連接的過(guò)程如下： ①在PPTP客戶端上動(dòng)態(tài)分配的TCP端口與編號(hào)為1723的TCP端口之間建立一條TCP連接。 ②PPTP客戶端發(fā)送一條用以建立PPTP控制連接的消息。 ③PPTP服務(wù)器通過(guò)一條PPTP消息進(jìn)行響應(yīng)。 ④PPTP客戶端發(fā)送另一條消息，并且選擇一個(gè)用以對(duì)從PPTP客戶端向服務(wù)器發(fā)送數(shù)據(jù)的PPTP隧道進(jìn)行標(biāo)識(shí)的調(diào)用ID。 ⑤PPTP服務(wù)器通過(guò)進(jìn)行應(yīng)答，并且為自己選擇一個(gè)用以對(duì)從服務(wù)器向客戶端發(fā)送數(shù)據(jù)的PPTP隧道進(jìn)行標(biāo)識(shí)的調(diào)用ID。 ⑥PPTP客戶端發(fā)送一條PPTPSet-Link-Info消息，以便指定PPP協(xié)商選項(xiàng)。42

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

（2）PPTP數(shù)據(jù)隧道 當(dāng)通過(guò)PPTP連接發(fā)送數(shù)據(jù)時(shí)，PPP幀將使用GRE報(bào)頭進(jìn)行封裝，GRE報(bào)頭包含了用以對(duì)數(shù)據(jù)包所使用的特定PPTP隧道進(jìn)行標(biāo)識(shí)的信息。 初始PPP有效載荷如IP數(shù)據(jù)報(bào)、IPX數(shù)據(jù)報(bào)或NetBEUI幀等經(jīng)過(guò)加密后，添加PPP報(bào)頭，封裝形成PPP幀。PPP幀再進(jìn)一步添加GRE報(bào)頭，經(jīng)過(guò)第二層封裝形成GRE報(bào)文，在第三層封裝時(shí)添加IP報(bào)頭。數(shù)據(jù)鏈路層封裝是IP數(shù)據(jù)報(bào)多層封裝的最后一層，依據(jù)不同的外發(fā)物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾。43

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

PPTP數(shù)據(jù)包的在接收端的處理過(guò)程如下： ①處理并去除數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾。 ②處理并去除IP報(bào)頭。 ③處理并去除GRE和PPP報(bào)頭。 ④如需要，對(duì)PPP有效載荷即傳輸數(shù)據(jù)進(jìn)行解密或解壓縮。 ⑤對(duì)傳輸數(shù)據(jù)直接接收或者轉(zhuǎn)發(fā)處理。44

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

2、L2F（第二層轉(zhuǎn)發(fā)協(xié)議） L2F是由Cisco公司提出的可以在多種傳輸網(wǎng)絡(luò)上建立多協(xié)議的一種隧道協(xié)議，當(dāng)然它也采用了tunneling技術(shù)，主要面向遠(yuǎn)程或撥號(hào)用戶的使用。L2F可以在多種傳輸介質(zhì)（如ATM、FR）上建立VPN通信隧道。它可以將鏈路層協(xié)議封裝起來(lái)進(jìn)行傳輸，因此網(wǎng)絡(luò)的鏈路層獨(dú)立于用戶的鏈路層協(xié)議。 L2F遠(yuǎn)程接入過(guò)程為：遠(yuǎn)程用戶按照常規(guī)方式撥號(hào)到ISP的接入服務(wù)器NAS，建立PPP連接，NAS根據(jù)用戶名等信息再發(fā)起第二重連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。整個(gè)過(guò)程中，L2F隧道的建立和配置對(duì)于用戶來(lái)說(shuō)是完全透明的。

45

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

3、L2TP（第二層隧道協(xié)議） L2TP是一種工業(yè)標(biāo)準(zhǔn)Internet隧道協(xié)議，它把鏈路層PPP幀分裝在公共網(wǎng)絡(luò)設(shè)施（如IP、ATM、FR）中進(jìn)行隧道傳輸。L2TP結(jié)合了PPTP協(xié)議以及L2F協(xié)議的優(yōu)點(diǎn)，能以隧道方式使PPP數(shù)據(jù)包通過(guò)各種網(wǎng)絡(luò)協(xié)議。L2TP隧道的維護(hù)不在獨(dú)立的連接上進(jìn)行，數(shù)據(jù)信息的傳輸是通過(guò)多級(jí)封裝實(shí)現(xiàn)的。在安全性上，L2TP僅僅定義了控制包的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。 L2TP系統(tǒng)由認(rèn)證模塊、日志模塊、LAC（L2TP訪問(wèn)集中器）模塊和LNS（L2TP網(wǎng)絡(luò)服務(wù)器）模塊組成。46

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

3、L2TP（第二層隧道協(xié)議） （1）認(rèn)證模塊 認(rèn)證模塊有一個(gè)極為重要的數(shù)據(jù)資源——用戶認(rèn)證數(shù)據(jù)庫(kù)，庫(kù)中由多個(gè)用戶信息記錄組成。每個(gè)用戶記錄由用戶號(hào)、用戶組、用戶真實(shí)姓名、用戶認(rèn)證協(xié)議、用戶使能狀態(tài)構(gòu)成和CHAP共享秘密組成。當(dāng)然，這里的用戶對(duì)LNS而言是LAC，對(duì)LAC而言是LNS。47

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

（2）日志模塊 日志模塊作為一個(gè)函數(shù)庫(kù)使用，如WrSysLo（）接口，日志功能是成熟系統(tǒng)的一大標(biāo)志。本系統(tǒng)不僅提供一般的系統(tǒng)日志，還對(duì)L2TP的包進(jìn)行分類分級(jí)，如系統(tǒng)日志、數(shù)據(jù)包（包括PPP）日志和控制包日志都以獨(dú)立的日志文件存在，在必要的時(shí)候，通過(guò)日志級(jí)別可審計(jì)不同的日志。48

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

（3）LAC模塊 LAC用于發(fā)起呼叫，接收呼叫和建立隧道，為用戶提供網(wǎng)絡(luò)接入服務(wù)，具有PPP端系統(tǒng)和L2TP協(xié)議處理能力。

當(dāng)入站調(diào)用請(qǐng)求到達(dá)時(shí)，將由LAC生成入站調(diào)用消息；檢測(cè)LNS的連接，如果沒(méi)有建立，則初始化到LNS的連接；生成新的出站控制包，加入控制消息，設(shè)置狀態(tài)為SCCRQ，生成挑戰(zhàn)，并標(biāo)示挑戰(zhàn)位為真；發(fā)出控制連接請(qǐng)求包，等待開(kāi)始控制連接響應(yīng)包；當(dāng)收到開(kāi)始連接的響應(yīng)，如果一切正常，則根據(jù)主機(jī)名和本文的主機(jī)名計(jì)算挑戰(zhàn)值，與期望值一致，就發(fā)送開(kāi)始控制連接包，否則發(fā)送停止控制連接包，清除隧道；等待HELLO包；在一定的時(shí)間延遲內(nèi)，如收到HELLO包，則創(chuàng)建成功，發(fā)出ACK包，否則清除隧道。49

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

（4）LNS模塊 當(dāng)收到一個(gè)控制連接請(qǐng)求包的請(qǐng)求時(shí)，首先檢查連接請(qǐng)求包是否可以接收，如果是，則生成一個(gè)新的控制連接響應(yīng)包，生成挑戰(zhàn)值，并在包中指明期望的響應(yīng)值，發(fā)出控制連接響應(yīng)包，否則發(fā)出停止控制連接包，清除隧道；等待接收控制連接包，看是否可以接收，如果是則計(jì)算挑戰(zhàn)值，如果與控制連接包中的期望值一致，發(fā)出HELLO包，等待；如果收到ACK包則表明控制連接創(chuàng)建成功。50

4.5VPN隧道協(xié)議

第二層隧道協(xié)議

L2TP的建立過(guò)程是： ①用戶通過(guò)公共電話網(wǎng)或ISDN撥號(hào)至本地接入服務(wù)器LAC，LAC接收呼叫并進(jìn)行基本的辨別。 ②當(dāng)用戶被確認(rèn)為合法用戶時(shí)，就建立一個(gè)通向LNS的撥號(hào)VPN隧道。 ③企業(yè)內(nèi)部的安全服務(wù)器（如RADIUS）鑒定撥號(hào)用戶。 ④LNS與遠(yuǎn)程用戶交換PPP信息，分配IP地址。 ⑤端到端的數(shù)據(jù)從撥號(hào)用戶傳到LNS。51

4.5VPN隧道協(xié)議

第三層隧道協(xié)議

1、GRE 通用路由封裝（GRE）是網(wǎng)絡(luò)中通過(guò)隧道將通信從一個(gè)專用網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)專用網(wǎng)絡(luò)的協(xié)議，它屬于網(wǎng)絡(luò)層協(xié)議。 它的運(yùn)行過(guò)程通常是這樣的：當(dāng)路由器接收了一個(gè)需要封裝的上層協(xié)議數(shù)據(jù)報(bào)文，首先這個(gè)報(bào)文按照GRE協(xié)議的規(guī)則被封裝在GRE協(xié)議報(bào)文中，而后再交給IP層，由IP層再封裝成IP協(xié)議報(bào)文便于網(wǎng)絡(luò)的傳輸，等到達(dá)對(duì)端的GRE協(xié)議處理網(wǎng)關(guān)時(shí)，按照相反的過(guò)程處理，就可以得到所需的上層協(xié)議的數(shù)據(jù)報(bào)文了。

52

4.5VPN隧道協(xié)議

第三層隧道協(xié)議

1、GRE

GRE具有如下優(yōu)點(diǎn)： ①多協(xié)議的本地網(wǎng)可以通過(guò)單一協(xié)議的骨干網(wǎng)實(shí)現(xiàn)傳輸； ②可以將一些不能連續(xù)的子網(wǎng)連接起來(lái)，用于組建VPN； ③擴(kuò)大了網(wǎng)絡(luò)的工作范圍。包括那些路由網(wǎng)關(guān)有限的協(xié)議，例如IPX包最多可轉(zhuǎn)發(fā)16次，而在一個(gè)隧道連接中看上去只經(jīng)過(guò)一個(gè)路由器。53

4.5VPN隧道協(xié)議

第三層隧道協(xié)議

1、GRE

傳輸?shù)念^是IPv4的頭。有效載荷分組可以是IPv4的頭，或者其它協(xié)議。GRE允許非IP協(xié)議在有效載荷中傳輸。使用IPv4頭的GRE分組被歸入IP協(xié)議，類型號(hào)為47。當(dāng)為GRE生成過(guò)濾時(shí)這是一條很重要的信息。當(dāng)GRE中封裝的分組是IPv4時(shí)，GRE頭協(xié)議類型域被設(shè)定為0x800。

54

4.5VPN隧道協(xié)議

第三層隧道協(xié)議

1、GRE 基于RFC1701的GRE頭格式。55

4.5VPN隧道協(xié)議

第三層隧道協(xié)議

2、IPSec

IPSec的定義如下：網(wǎng)絡(luò)層中的一個(gè)安全協(xié)議，為提供加密安全服務(wù)而開(kāi)發(fā)，該服務(wù)可以靈活地支持認(rèn)證、完整性、訪問(wèn)控制以及數(shù)據(jù)一致性。IPSec是安全聯(lián)網(wǎng)的長(zhǎng)期方向，它通過(guò)端對(duì)端的安全性來(lái)提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與Internet的攻擊。

IPSec安全結(jié)構(gòu)包括3個(gè)基本協(xié)議：AH協(xié)議為IP包提供信息源驗(yàn)證和完整性保證；ESP協(xié)議提供加密保證；密鑰管理協(xié)議提供雙方交流時(shí)的共享安全信息。 56

4.5VPN隧道協(xié)議

第三層隧道協(xié)議

2、IPSec

IPSec采用兩種工作方式：隧道模式和傳輸模式。 隧道方式中，整個(gè)用戶的IP數(shù)據(jù)包被用來(lái)計(jì)算ESP包頭，整個(gè)IP包被加密并和ESP包頭一起被封裝在一個(gè)新的IP包內(nèi)。真正的源地址和目的地址被隱藏起來(lái)。 傳輸模式中，只有高層協(xié)議（TCP、UDP等）及數(shù)據(jù)進(jìn)行加密。此模式下，源地址、目的地址及所有IP包頭的內(nèi)容都不加密。57

4.5VPN隧道協(xié)議

第三層隧道協(xié)議

2、IPSec

IPSecVPN可以被分為兩大類：LAN-to-LANIPSec實(shí)現(xiàn)和遠(yuǎn)程訪問(wèn)客戶端。 （1）LAN-to-LANIPSec實(shí)現(xiàn) LAN-to-LANI