加密技术应用

目录

密码学应用

VPN定义

L2TP VPN

LAC自动拨号场景（Call-LNS）

密码学应用

• 数字信封
  • 使用非对称密钥加密对称密钥，使用对称密钥加密数据。保证了数据传输的机密性，但是无法保证数据的完整性
• 数字签名
  • 采用Hash散列算法，保证了数据传输过程中的完整性
• 数字证书
  • 通过第三方证书颁发机构CA，保证了数据传输的不可抵赖性

VPN定义

• 虚拟专用网络，本质是隧道，即对报文重新封装
  • 虚拟是指用户不需要拥有实际的专用长途数据线路，而是利用互联网的长途线路来建立自己的私有网络
  • 专用网络是指用户可以自己定制一个符合自己需求的网络
• VPN的分类
  • SSL VPN：隧道封装的是应用层数据
  • L3VPN：隧道封装的是数据包
    • GRE
    • IPSec
  • L2VPN：隧道封装的是数据帧
    • L2TP
• VPN的应用场景
  • Site-to-Site VPN
    • 用于在不同的局域网之间建立连接
    • IPsec、L2TP、L2TP over IPsec、GRE over IPSec、IPSec over GRE
  • Client-to-Site VPN
    • 用于客户端与企业网之间建立连接
    • SSL、IPSec、L2TP、L2TP over IPSec

L2TP VPN

• 二层隧道协议（Layer TwoTunneling Protocol），提供对PPP链路层数据包的通道传输支持
• 使用场景
  • NAS-Initiated VPN：由客户端进行PPPoE拨号触发，NAS设备发起的连接，由运营商为企业配置的隧道
  • LAC自动拨号（Call-LNS）：分支防火墙（LAC）自动与总部防火墙（LNS）建立隧道
  • Client-Initiated VPN：客户端只需要安装L2TP的客户端软件，即可直接与防火墙建立隧道

LAC自动拨号场景（Call-LNS）

• LAC是分部的防火墙设备，LNS是总部的防火墙设备

• 建立L2TP隧道
  • 由LAC发起，LAC发送SCCRQ报文，告知LNS设备使用哪个隧道接口与其通信
  • LAC或LNS都可以同时建立多条隧道，用来区分不同的业务，不同的隧道使用不同的Tunnel ID来标识
  • L2TP报文以UDP协议传输，源端口是随机的空闲端口，目的端口是1701端口，在隧道保持连通期间，端口号不会改变
  • LNS收到LAC的SCCRQ报文后，会返回SCCRP报文，告知LAC也使用相同的Tunnel ID与其通信
  • LAC发送SCCCN确认报文，隧道双方的Tunnel ID协商结束，L2TP VPN隧道建立完毕
• 建立L2TP会话
  • L2TP会话是用来记录和管理LAC与LNS之间的PPP连接状态的
  • LAC发送ICRQ报文，告知LNS与其通信使用的Session ID
  • LNS返回ICRP报文，告知LAC与其通信使用的Session ID
  • LAC发送ICCN报文，告知LNS确认收到，Session ID协商结束
• 建立PPP连接
  • LAC与LNS建立PPP连接，获得由LNS分配的内网IP地址
  • LAC发送LCP Request请求报文，协商链路层参数。LNS返回LCP Ack确认报文，链路层参数协商完成
  • LAC发送PAP Request报文，请求LNS进行身份验证。LNS返回认证结果PAP Ack报文，身份认证完成（也可以是CHAP认证）
  • 身份认证通过后，LAC向LNS发送IPCP Request消息，请求LNS向其分配内网IP地址
  • LNS向LAC返回IPCP Ack消息，其中携带了为LAC分配的内网IP地址，PPP连接建立完成
• 数据封装传输

• LAC自动拨号就是利用PPP的认证，来实现VPN的隧道的认证