信息安全技術（HCIA-Security）（微課版）（第2版） 教案 項目11 加密技術應用

教案《信息安全技術》第頁ADDINCNKISM.UserStyle授課周次與課時：第11周第41-44課時累計44課時課程名稱：信息安全技術授課課題：加密技術應用教學目標：掌握密碼學的定義掌握密碼學的應用掌握VPN的概念描述掌握VPN的配置和描述教學要點：1.教學重點：VPN的分類與定義2.教學難點：不同VPN的原理及配置思政目標：加強學生對網絡空間虛擬性認識，遵守法律，明確權利和義務；時代楷模：通過對孫家棟院士優(yōu)秀事件的講解，鼓勵學生向優(yōu)秀人物學習，只要國家需要就去做，不計較個人得失；科技強國，通過對孫家棟院士優(yōu)秀事件的學習，讓學生加強技能訓練，掌握核心技術，技能強國，科技強國；課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】網絡空間不是“法外之地”。網絡空間是虛擬的，但運用網絡空間的主體是真實存在的，大家都應該遵守法律，明確各方的權利和義務。思政主題：時代楷模大國工匠科技強國孫家棟是中國第一枚導彈、第一顆人造地球衛(wèi)星、第一顆遙感探測衛(wèi)星、第一顆返回式衛(wèi)星的技術負責人、總設計師，是中國通信衛(wèi)星、氣象衛(wèi)星、資源探測衛(wèi)星、北斗導航衛(wèi)星等第二代應用衛(wèi)星的工程總師，是中國探月工程總設計師，中國科學院院士，中國“兩彈一星”功勛科學家。他領導下所發(fā)射的衛(wèi)星奇跡般地占整個中國航天飛行器的三分之一。2009年，獲得中國國家最高科技獎?！爸袊陌l(fā)展依然任重道遠，我們一定要跟著黨中央，和大家一起共同努力，盡個人微薄之力，把我們國家的事業(yè)搞好，真正實現(xiàn)中國夢，富起來、強起來，完成好我們這一代人的歷史使命?！睂O家棟說。我們要學習孫家棟院士愛黨愛國、忠誠事業(yè)的堅定信念和立足本崗、攻堅克難、創(chuàng)新工作、勇攀高峰的精神，為實現(xiàn)中華民族的偉大復興努力奮斗。本章我們要學習的主要內容是加密技術的應用，密碼技術和VPN技術的使用保證了數據傳輸的安全。我國航天技術在飛速發(fā)展的同時，加密技術也得到了高速發(fā)展，為我國航天技術的發(fā)展保駕護航?！拘抡n講授】1加密學1.1加密學定義密碼學是研究編制密碼和破譯密碼的技術科學。研究密碼變化的客觀規(guī)律，應用于編制密碼以保守通信秘密的，稱為編碼學；應用于破譯密碼以獲取通信情報的，稱為破譯學，總稱密碼學。密碼學（在西歐語文中，源于希臘語kryptós“隱藏的”，和gráphein“書寫”）是研究如何隱秘地傳遞信息的學科。在現(xiàn)代特別指對信息以及其傳輸的數學性研究，常被認為是數學和計算機科學的分支，和信息論也密切相關。著名的密碼學者RonRivest解釋道：“密碼學是關于如何在敵人存在的環(huán)境中通信”，自工程學的角度，這相當于密碼學與純數學的異同。1.2密碼學應用密碼學是信息安全等相關議題，如認證、訪問控制的核心。密碼學的首要目的是隱藏信息的含義，并不是隱藏信息的存在。密碼學也促進了計算機科學，特別是在于電腦與網絡安全所使用的技術，如訪問控制與信息的機密性。密碼學已被應用在日常生活：包括自動柜員機的芯片卡、電腦使用者存取密碼、電子商務等等。2VPN簡介2.1 VPN定義虛擬專用網VPN(VirtualPrivateNetwork)是一種“通過共享的公共網絡建立私有的數據通道，將各個需要接入這張?zhí)摂M網的網絡或終端通過通道連接起來，構成一個專用的、具有一定安全性和服務質量保證的網絡”。在此定義中，包含兩個關鍵點：（1）虛擬：用戶不再需要擁有實際的專用長途數據線路，而是利用Internet的長途數據線路建立自己的私有網絡。（2）專用網絡：用戶可以為自己制定一個最符合自己需求的網絡。2.2 VPN分類按業(yè)務用途類型劃分 按照業(yè)務用途類型，可以將VPN劃分為遠程訪問虛擬網（AccessVPN）、企業(yè)內部虛擬網（IntranetVPN）和企業(yè)擴展虛擬網（ExtranetVPN），這三種類型的VPN分別與傳統(tǒng)的遠程訪問網絡、企業(yè)內部的Intranet以及企業(yè)網和相關合作伙伴的企業(yè)網所構成的Extranet相對應。按實現(xiàn)層次劃分按實現(xiàn)層次劃分，VPN可以分為SSLVPN、三層VPN（L3VPN）和二層VPN（L2VPN）。① SSLVPN 從概念角度來說，SSLVPN即指采用SSL（SecuritySocketLayer）協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術。SSL協(xié)議是網景公司提出的基于WEB應用的安全協(xié)議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。SSL（安全套接層）協(xié)議是一種在internet上保證發(fā)送信息安全的通用協(xié)議，采用B/S結構（Browser/Server，瀏覽器/服務器模式）。它處在應用層，SSL用公鑰加密通過SSL連接傳輸的數據來工作。SSL協(xié)議指定了在應用程序協(xié)議和TCP/IP之間進行數據交換的安全機制，為TCP/IP連接提供數據加密、服務器認證以及可選擇的客戶機認證。SSL協(xié)議可分為兩層：SSL記錄協(xié)議(SSLRecordProtocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議(SSLHandshakeProtocol）：它建立在SSL記錄協(xié)議之上，用于在實際的數據傳輸開始前，通信雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。② L3VPN三層VPN主要是指VPN技術工作在協(xié)議棧的網絡層。以IPSecVPN技術為例，IPSec報頭與IP報頭工作在同一層次，封裝報文時或者是以IPinIP的方式進行封裝，或者是IPSec報頭與IP報頭同時對數據載荷進行封裝。除IPSecVPN技術外，主要的三層VPN技術還有GREVPN。GREVPN產生的時間比較早，實現(xiàn)的機制也比較簡單。GREVPN可以實現(xiàn)任意一種網絡協(xié)議在另一種網絡協(xié)議上的封裝。與IPSec相比，安全性沒有得到保證，只能提供有限的簡單的安全機制。③ L2VPN與三層VPN類似，二層VPN則是指VPN技術工作在協(xié)議棧的數據鏈路層，即數據鏈路層。二層VPN主要包括的協(xié)議有點到點隧道協(xié)議（PPTP，Point-to-PointTunnelingProtocol）、二層轉發(fā)協(xié)議（L2F，Layer2Forwarding）以及二層隧道協(xié)議（L2TP，Layer2TunnelingProtocol）。按VPN應用場景劃分每種VPN都有自己的應用場景，根據應用場景我們可以做如下區(qū)分。站點到站點VPN（Site-to-SiteVPN）該VPN用于兩個局域網之間建立連接?？刹捎玫腣PN技術：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。個人到站點VPN（Client-to-SiteVPN）該VPN用于客戶端與企業(yè)內網之間建立連接?？刹捎玫腣PN技術：SSL、IPSec、L2TP、L2TPoverIPSec。2.3L2TPVPNL2TP（Layer2TunnelProtocol）稱為二層隧道協(xié)議，是為在用戶和企業(yè)的服務器之間透明傳輸PPP報文而設置的隧道協(xié)議。L2TPVPN主要有三種使用場景：NAS-InitiatedVPN、LAC自動撥號、Client-InitiatedVPN，本課程主要介紹最為常用的Client-InitiatedVPN撥號場景。Client-InitiatedVPN撥號場景一般用于出差員工使用PC、手機等移動設備接入總部服務器，企業(yè)駐外機構和出差人員可從遠程經由公共網絡，通過虛擬隧道實現(xiàn)和企業(yè)總部之間的網絡連接，實現(xiàn)移動辦公的場景，也是最為常用L2TP撥號方式。Client-InitiatedVPN中，每個接入用戶和LNS之間均建立一條隧道；每條隧道中僅承載一條L2TP會話和PPP連接。L2TP隧道的呼叫建立流程：（1）當接入用戶撥號到LNS時，首先觸發(fā)接入用戶和LNS之間建立L2TP隧道。（2）L2TP隧道建立成功后，在隧道基礎上建立L2TP會話。（3）LNS對用戶進行認證。（4）用戶與LNS之間建立PPP連接。（5）用戶在PPP連接基礎上，通過LNS訪問內網資源。2.4 GREVPNGRE（GeneralRoutingEncapsulation）是一種三層VPN封裝技術。GRE可以對某些網絡層協(xié)議（如IPX、AppleTalk、IP等）的報文進行封裝，使封裝后的報文能夠在另一種網絡中（如IPv4）傳輸，從而解決了跨越異種網絡的報文傳輸問題，異種報文傳輸的通道稱為Tunnel（隧道）。Tunnel是一個虛擬的點對點的連接，可以看成僅支持點對點連接的虛擬接口，這個接口提供了一條通路，使封裝的數據報文能夠在這個通路上傳輸，并在一個Tunnel的兩端分別對數據報進行封裝及解封裝。隧道接口隧道接口（Tunnel接口）是為實現(xiàn)報文的封裝而提供的一種點對點類型的虛擬接口，與Loopback接口類似，都是一種邏輯接口。經過手工配置，成功建立隧道之后，就可以將隧道接口看成一個物理接口，可以在其上運行動態(tài)路由協(xié)議或配置靜態(tài)路由。隧道接口包含以下元素：源地址：報文傳輸協(xié)議中的源地址。從負責封裝后報文傳輸的網絡來看，隧道的源地址就是實際發(fā)送報文的接口IP地址。目的地址：報文傳輸協(xié)議中的目的地址。從負責封裝后報文傳輸的網絡來看，隧道本端的目的地址就是隧道目的端的源地址。隧道接口IP地址：為了在隧道接口上啟用動態(tài)路由協(xié)議，或使用靜態(tài)路由協(xié)議發(fā)布隧道接口，要為隧道接口分配IP地址。隧道接口的IP地址可以不是公網地址，甚至可以借用其他接口的IP地址以節(jié)約IP地址。但是當Tunnel接口借用IP地址時，由于Tunnel接口本身沒有IP地址，無法在此接口上啟用動態(tài)路由協(xié)議，必須配置靜態(tài)路由或策略路由才能實現(xiàn)路由器間的連通性。封裝類型：隧道接口的封裝類型是指該隧道接口對報文進行的封裝方式。一般情況下有四種封裝方式，分別是GRE、MPLSTE、IPv6-IPv4和IPv4-IPv6。（2）封裝與解封裝報文在GRE隧道中傳輸包括封裝和解封裝兩個過程。私網協(xié)議模塊檢查私網報文頭中的目的地址并在私網路由表或轉發(fā)表中查找出接口，確定如何路由此包。如果發(fā)現(xiàn)出接口是Tunnel接口，則將此報文發(fā)給隧道模塊。隧道模塊收到此報文后進行如下處理：① 隧道模塊根據乘客報文的協(xié)議類型和當前GRE隧道所配置的Key和Checksum參數，對報文進行GRE封裝，即添加GRE頭。② 根據配置信息（傳輸協(xié)議為IP），給報文加上IP頭。該IP頭的源地址就是隧道源地址，IP頭的目的地址就是隧道目的地址。③ 將該報文交給IP模塊處理，IP模塊根據該IP頭目的地址，在公網路由表中查找相應的出接口并發(fā)送報文，之后，封裝后的報文將在該IP公共網絡中傳輸。解封裝過程和封裝過程相反。（3）GRE安全策略安全策略（缺省情況下，域內安全策略缺省動作為允許）內容如下。① 域間或域內安全策略：用于控制域間或域內的流量，此時的安全策略既有傳統(tǒng)包過濾功能，也有對流量進行IPS、AV、Web過濾、應用控制等進一步的應用層檢測的作用。域間或域內安全策略是包過濾、UTM應用層檢測等多種安全檢查同時實施的一體化策略。② 應用在接口上的包過濾規(guī)則：用于控制接口的流量，就是傳統(tǒng)的包過濾功能，基于IP、MAC地址等二、三層報文屬性直接允許或拒絕報文通過。2.5 IPSecVPN(1) IPSec定義IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報文交互提供了基于密碼學的、可互操作的、高質量的安全保護機制。IPSecVPN是利用IPSec隧道建立的網絡層VPN。IPSec定義了在網際層使用的安全服務，其功能包括數據加密、對網絡單元的訪問控制、數據源地址驗證、數據完整性檢查和防止重放攻擊。它為端到端IP報文交互提供了基于密碼學的、可互操作的、高質量的安全保護機制，IPSec支持在IP層及以上協(xié)議層進行數據安全保護，并對上層應用透明（無需對各個應用程序進行修改）。安全保護措施包括機密性、完整性、真實性和抗重放等。機密性（Confidentiality）：對數據進行加密，確保數據在傳輸過程中不被其他人員查看；完整性（Dataintegrity）：對接收到數據包進行完整性驗證，以確保數據在傳輸過程中沒有被篡改；真實性（Dataauthentication）：驗證數據源，以保證數據來自真實的發(fā)送者（IP報文頭內的源地址）；抗重放（Anti-replay）：防止惡意用戶通過重復發(fā)送捕獲到的數據包所進行的攻擊，即接收方會拒絕舊的或重復的數據包。(2) IPSecVPN體系結構簡述IPSecVPN體系結構主要由AH（AuthenticationHeader）、ESP（EncapsulationSecurityPayload）和IKE（InternetKeyExchangeProtocol）協(xié)議套件組成。IPSec通過ESP來保障IP數據傳輸過程的機密性，使用AH/ESP提供數據完整性、數據源驗證和抗報文重放功能。ESP和AH定義了協(xié)議和載荷頭的格式及所提供的服務，但沒有定義實現(xiàn)以上能力所需具體轉碼方式，轉碼方式包括對數據轉換方式，如算法、密鑰長度等。IPSec通過驗證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulatingSecurityPayload）兩個安全協(xié)議實現(xiàn)IP報文的安全保護。IPSec安全傳輸數據的前提是在IPSec對等體（即運行IPSec協(xié)議的兩個端點）之間成功建立安全聯(lián)盟SA（SecurityAssociation），SA是通信的IPSec對等體間對某些要素的約定。SA是通信的IPSec對等體間對某些要素的約定，例如：對等體間使用何種安全協(xié)議、需要保護的數據流特征、對等體間傳輸的數據的封裝模式、協(xié)議采用的加密算法、驗證算法，對等體間使用何種密鑰交換和IKE協(xié)議，以及SA的生存周期等。SA由一個三元組來唯一標識，這個三元組包括安全參數索引SPI（SecurityParameterIndex）、目的IP地址和使用的安全協(xié)議號（AH或ESP）。(3) IPSec封裝模式IPSec協(xié)議有兩種封裝模式：傳輸模式和隧道模式。傳輸模式（TransportMode）傳輸模式（TransportMode）是IPSec的默認模式,又稱端到端（End-to-End）模式，它適用于兩臺主機之間進行IPSec通信。傳輸模式下只對IP負載進行保護，可能是TCP/UDP/ICMP協(xié)議，也可能是AH/ESP協(xié)議。傳輸模式只為上層協(xié)議提供安全保護，在此種模式下，參與通信的雙方主機都必須安裝IPSec協(xié)議，而且它不能隱藏主機的IP地址。啟用IPSec傳輸模式后，IPSec會在傳輸層包的前面增加AH/ESP頭部或同時增加兩種頭部，構成一個AH/ESP數據包，然后添加IP頭部組成IP包。在接收方，首先處理的是IP，然后再做IPSec處理，最后再將載荷數據交給上層協(xié)議。傳輸模式不改變報文頭，故隧道的源和目的地址必須與IP報文頭中的源和目的地址一致，所以只適合兩臺主機或一臺主機和一臺VPN網關之間通信。隧道模式（TunnelMode）隧道模式（TunnelMode）使用在兩臺網關之間，站點到站點（Site-to-Site）的通信。參與通信的兩個網關實際是為了兩個以其為邊界的網絡中的計算機提供安全通信的服務。隧道模式為整個IP包提供保護，為IP協(xié)議本身而不只是上層協(xié)議提供安全保護。通常情況下只要使用IPSec的雙方有一方是安全網關，就必須使用隧道模式，隧道模式的一個優(yōu)點是可以隱藏內部主機和服務器的IP地址。大部分VPN都使用隧道模式，因為它不僅對整個原始報文加密，還對通信的源地址和目的地址進行部分和全部加密，只需要在安全網關，而不需要在內部主機上安裝VPN軟件，期間所有加密和解密以及協(xié)商操作均由前者負責完成。啟用IPSec隧道模式后，IPSec將原始IP看作一個整體作為要保護的內容，前面加上AH/ESP頭部，再加上新IP頭部組成新IP包。隧道模式的數據包有兩個IP頭，內部頭由路由器背后的主機創(chuàng)建，是通信終點；外部頭由提供IPSec的設備（如路由器）創(chuàng)建，是IPSec的終點。事實上，IPSec的傳輸模式和隧道模式分別類似于其他隧道協(xié)議（如L2TP）的自愿隧道和強制隧道，即一個是由用戶實施，另一個由網絡設備實施。用IPSec保護一個IP包之前，必須先建立一個安全聯(lián)盟（SecurityAssociation，SA）。IPSec的安全聯(lián)盟可以通過手工配置的方式建立。但是當網絡中節(jié)點較多時，手工配置將非常困難，而且難以保證安全性。這時就可以使用IKE（InternetKeyExchange）自動進行安全聯(lián)盟建立與密鑰交換的過程。Internet密鑰交換（IKE）就用于動態(tài)建立SA，代表IPSec對SA進行協(xié)商。因特網密鑰交換IKE（InternetKeyExchange）協(xié)議建立在Internet安全聯(lián)盟和密鑰管理協(xié)議ISAKMP定義的框架上，是基于UDP的應用層協(xié)議，可為數據加密提供所需的密鑰，能夠簡化IPSec的使用和管理，大大簡化了IPSec的配置和維護工作。對等體之間建立一個IKESA完成身份驗證和密鑰信息交換后，在IKESA的保護下，根據配置的AH/ESP安全協(xié)議等參數協(xié)商出一對IPSecSA。此后，對等體間的數據將在IPSec隧道中加密傳輸。IKESA是為IPSecSA服務的，為IPSec提供了自動協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務。IPSec采用對稱加密算法對數據進行加密和解密。2.6 SSLVPNSSL是一個安全協(xié)議，為基于TCP（TransmissionControlProtocol）的應用層協(xié)議提供安全連接，SSL介于TCP/IP協(xié)議棧第四層和第七層之間。SSL可以為HTTP（HypertextTransferProtocol）協(xié)議提供安全連接。安全套接層(SSL)是一種在兩臺機器之間提供安全通道的協(xié)議。它具有保護傳輸數據以及識別通信機器的功能。SSLVPN主要功能有領先的虛擬網關、Web代理、用戶認證、文件共享、端口代理、網絡擴展、用戶安全控制、完善的日志功能等。3VPN典型應用場景配置3.1 Client-Initialized方式L2TP應用場景配置Client:端：配置“LNS服務器IP”禁用IPSec安全協(xié)議配置認證模式配置是否啟用隧道驗證功能配置用戶名/密碼。Client側設置的認證模式和隧道驗證密碼需要與LNS側保持一致。LNS端：基礎配置配置虛擬接口模板使能L2TP功能配