IPSecVPN系統(tǒng)以及Freeswan在實(shí)現(xiàn)中的應(yīng)用_第1頁
IPSecVPN系統(tǒng)以及Freeswan在實(shí)現(xiàn)中的應(yīng)用_第2頁
IPSecVPN系統(tǒng)以及Freeswan在實(shí)現(xiàn)中的應(yīng)用_第3頁
IPSecVPN系統(tǒng)以及Freeswan在實(shí)現(xiàn)中的應(yīng)用_第4頁
IPSecVPN系統(tǒng)以及Freeswan在實(shí)現(xiàn)中的應(yīng)用_第5頁
已閱讀5頁,還剩7頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

IPSecVPN系統(tǒng)以及Freeswan在實(shí)現(xiàn)中的應(yīng)用摘要:虛擬專用網(wǎng)(VPN)被定義為通過一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議,它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu),包括網(wǎng)絡(luò)認(rèn)證協(xié)議AuthenticationHeader(AH)、封裝安全載荷協(xié)議EncapsulatingSecurityPayload(ESP)、密鑰管理協(xié)議InternetKeyExchange(IKE)和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換,向上提供了訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSec是實(shí)現(xiàn)VPN的主要方式之一,本文主要討論如何IPSecVPN的基礎(chǔ)知識(shí)以及如何通過Freeswan來實(shí)現(xiàn)它。引言VPN即虛擬專用網(wǎng)(VirtualPrivateNetwork),可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它通過對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有、臨時(shí)的、安全的連接的通訊線路,從而實(shí)現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù)、達(dá)到私有網(wǎng)絡(luò)的安全級別,就好比是架設(shè)了一條專線一樣,但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。通常,VPN是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展,通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。VPN可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入,以實(shí)現(xiàn)安全連接;可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路,用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。VPN通過公眾IP網(wǎng)絡(luò)建立了私有數(shù)據(jù)傳輸通道,將遠(yuǎn)程的分支辦公室、商業(yè)伙伴、移動(dòng)辦公人員等連接起來。減輕了企業(yè)的遠(yuǎn)程訪問費(fèi)用負(fù)擔(dān),節(jié)省電話費(fèi)用開支,并且提供了安全的端到端的數(shù)據(jù)通訊。用戶連接VPN的形式:常規(guī)的直接撥號連接與虛擬專網(wǎng)連接的異同點(diǎn)在于在前一種情形中,PPP(點(diǎn)對點(diǎn)協(xié)議)數(shù)據(jù)包流是通過專用線路傳輸?shù)?。在VPN中,PPP數(shù)據(jù)包流是由一個(gè)LAN上的路由器發(fā)出,通過共享IP網(wǎng)絡(luò)上的隧道進(jìn)行傳輸,再到達(dá)另一個(gè)LAN上的路由器。這兩者的關(guān)鍵不同點(diǎn)是隧道代替了實(shí)實(shí)在在的專用線路。隧道好比是在WAN中拉出一根串行通信電纜。那么,如何形成VPN隧道呢?建立隧道有兩種主要的方式:客戶啟動(dòng)(Client-Initiated)或客戶透明(Client-Transparent)。客戶啟動(dòng)要求客戶和隧道服務(wù)器(或網(wǎng)關(guān))都安裝隧道軟件。后者通常都安裝在公司中心站上。通過客戶軟件初始化隧道,隧道服務(wù)器中止隧道,ISP可以不必支持隧道??蛻艉退淼婪?wù)器只需建立隧道,并使用用戶ID和口令或用數(shù)字許可證鑒權(quán)。一旦隧道建立,就可以進(jìn)行通信了,如同ISP沒有參與連接一樣。另一方面,如果希望隧道對客戶透明,ISP的POPs就必須具有允許使用隧道的接入服務(wù)器以及可能需要的路由器。客戶首先撥號進(jìn)入服務(wù)器,服務(wù)器必須能識(shí)別這一連接要與某一特定的遠(yuǎn)程點(diǎn)建立隧道,然后服務(wù)器與隧道服務(wù)器建立隧道,通常使用用戶ID和口令進(jìn)行鑒權(quán)。這樣客戶端就通過隧道與隧道服務(wù)器建立了直接對話。盡管這一方針不要求客戶有專門軟件,但客戶只能撥號進(jìn)入正確配置的訪問服務(wù)器。目前,用于企業(yè)內(nèi)部自建VPN的主要有兩種技術(shù)——IPSecVPN和SSLVPN,IPSecVPN和SSLVPN主要解決的是基于互聯(lián)網(wǎng)的遠(yuǎn)程接入和互聯(lián),雖然在技術(shù)上來說,它們也可以部署在其它的網(wǎng)絡(luò)上(如專線),但那樣就失去了其應(yīng)用的靈活性,它們更適用于商業(yè)客戶等對價(jià)格特別敏感的客戶。但針對IPSecVPN和SSLVPN兩種技術(shù),目前業(yè)內(nèi)存在著較多爭議。雖然目前企業(yè)應(yīng)用最廣泛的是IPSecVPN,然而InforneticsResearch研究表明,在未來的幾年中IPSec的市場份額將下降,而SSLVPN將逐漸上升。用戶在考慮采用哪種技術(shù)時(shí)經(jīng)常會(huì)遇到兩難的選擇,即安全性與使用便利的沖突。而事實(shí)上沒有哪一種技術(shù)是完美的,只有用戶明確了自己的需求,才能選擇到適合自己的解決方案。IPSecVPN比較適合中小企業(yè),其擁有較多的分支機(jī)構(gòu),并通過VPN隧道進(jìn)行站點(diǎn)之間的連接,交換大容量的數(shù)據(jù)。企業(yè)有一定的規(guī)模,并且在IT建設(shè)、管理和維護(hù)方面擁有一定經(jīng)驗(yàn)的員工。企業(yè)的數(shù)據(jù)比較敏感,要求安全級別較高。企業(yè)員工不能隨便通過任意一臺(tái)電腦就訪問企業(yè)內(nèi)部信息,移動(dòng)辦公員工的筆記本或電腦要配置防火墻和殺毒軟件。而SSLVPN更適合那些需要很強(qiáng)靈活性的企業(yè),員工需要在不同地點(diǎn)都可以輕易的訪問公司內(nèi)部資源,并可能通過各種移動(dòng)終端或設(shè)備。企業(yè)的IT維護(hù)水平較低,員工對IT技術(shù)了解甚少,并且IT方面的投資不多。2、IPSec的原理以及IPsecVPN的實(shí)現(xiàn)2.1IPSec的工作原理設(shè)計(jì)IPSec是為了給IPv4和IPv6數(shù)據(jù)報(bào)提供高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。IPSec通過使用兩種通信安全協(xié)議來達(dá)到這些目標(biāo):認(rèn)證頭(AH)和封裝安全載荷(ESP),以及像Internet密鑰交換(IKE)協(xié)議這樣的密鑰管理過程和協(xié)議來達(dá)到這些目標(biāo)。IPAH協(xié)議提供數(shù)據(jù)源認(rèn)證,無連接的完整性,以及一個(gè)可選的抗重放服務(wù)。ESP協(xié)議提供數(shù)據(jù)保密性,有限的數(shù)據(jù)流保密性,數(shù)據(jù)源認(rèn)證,無連接的完整性,以及抗重放服務(wù)。對于AH和ESP,都有兩種操作模式:傳輸模式和隧道模式。IKE協(xié)議用于協(xié)商AH和ESP協(xié)議所使用的密鑰算法,并將算法所需的必備密鑰放在合適的位置。IPSec所使用的協(xié)議被設(shè)計(jì)成與算法無關(guān)的。算法的選擇在安全策略數(shù)據(jù)庫(SPD)中指定??晒┻x擇的密碼算法取決于IPSec的實(shí)現(xiàn);然而,為了保證全球因特網(wǎng)上的互操作性,IPSec規(guī)定了一組標(biāo)準(zhǔn)的默認(rèn)算法。IPSec允許系統(tǒng)或網(wǎng)絡(luò)的用戶和管理員控制安全服務(wù)提供的粒度。例如,一個(gè)組織的安全策略可能規(guī)定來自特定子網(wǎng)的數(shù)據(jù)流應(yīng)該用AH和ESP保護(hù),并且應(yīng)該用帶有3個(gè)不同密鑰的3DES算法來加密。另一方面,策略可能規(guī)定來自另一個(gè)站點(diǎn)的數(shù)據(jù)流應(yīng)該只用ESP保護(hù),并且應(yīng)該對數(shù)據(jù)流提供AES(高級加密標(biāo)準(zhǔn))加密。通過使用安全關(guān)聯(lián)(SA),IPSec能夠區(qū)分對不通數(shù)據(jù)流提供的安全服務(wù)。2.2IPSec的實(shí)現(xiàn)方式IPSEC提供四種不同的形式來保護(hù)通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù):安全關(guān)聯(lián)(SecurityAssociations,簡稱SA)報(bào)頭認(rèn)證(Authenticationonly(AuthenticationHeader,簡稱AH))IP封裝安全載荷(EncryptionandauthenticationknownasEncapsulatingSecurityPayload,簡稱ESP)密匙管理(Keymanagement)1、安全關(guān)聯(lián)SecurityAssociation(SA)IPSec中的一個(gè)基本概念是安全關(guān)聯(lián)(SA),安全關(guān)聯(lián)包含驗(yàn)證或者加密的密鑰和算法。它是單向連接,為保護(hù)兩個(gè)主機(jī)或者兩個(gè)安全網(wǎng)關(guān)之間的雙向通信需要建立兩個(gè)安全關(guān)聯(lián)。安全關(guān)聯(lián)提供的安全服務(wù)是通過AH和ESP兩個(gè)安全協(xié)議中的一個(gè)來實(shí)現(xiàn)的。如果要在同一個(gè)通信流中使用AH和ESP兩個(gè)安全協(xié)議,那么需要?jiǎng)?chuàng)建兩個(gè)(或者更多)的安全關(guān)聯(lián)來保護(hù)該通信流。一個(gè)安全關(guān)聯(lián)需要通三個(gè)參數(shù)進(jìn)行識(shí)別,它由安全參數(shù)索引(AH/ESP報(bào)頭的一個(gè)字段)、目的IP地址和安全協(xié)議(AH或者ESP)三者的組合唯一標(biāo)識(shí)。表6列出AH和ESP報(bào)頭在傳送模式和隧道模式下的區(qū)別。表1AH和ESP報(bào)頭在傳送模式和隧道模式下的區(qū)別2、報(bào)頭驗(yàn)證AuthenticationHeader(AH)認(rèn)證協(xié)議頭(AH)是在所有數(shù)據(jù)包頭加入一個(gè)密碼。AH通過一個(gè)只有密匙持有人才知道的"數(shù)字簽名"來對用戶進(jìn)行認(rèn)證。這個(gè)簽名是數(shù)據(jù)包通過特別的算法得出的獨(dú)特結(jié)果;AH還能維持?jǐn)?shù)據(jù)的完整性,因?yàn)樵趥鬏斶^程中無論多小的變化被加載,數(shù)據(jù)包頭的數(shù)字簽名都能把它檢測出來。IPv6的驗(yàn)證主要由驗(yàn)證報(bào)頭(AH)來完成。驗(yàn)證報(bào)頭是IPv6的一個(gè)安全擴(kuò)展報(bào)頭,它為IP數(shù)據(jù)包提供完整性和數(shù)據(jù)來源驗(yàn)證,防止反重放攻擊,避免IP欺騙攻擊。⑴驗(yàn)證報(bào)頭的格式,如圖1所示。圖1驗(yàn)證報(bào)頭的格式(IPSecurityAuthenticationHeader)驗(yàn)證報(bào)頭的格式包括以下內(nèi)容:下一報(bào)頭字段(NextHeader):確定跟在驗(yàn)證報(bào)頭后面的有效載荷的類型(如TCP)有效載荷長度(Payloadlength):驗(yàn)證報(bào)頭的長度。安全參數(shù)索引(SecurityParameterIndex):用來確定安全關(guān)聯(lián)的安全參數(shù)索引。驗(yàn)證數(shù)據(jù)字段(SequenceNumber):一個(gè)變長字段,它包含完整性檢查值(ICV,IntegrityCheckValue),用來提供驗(yàn)證和數(shù)據(jù)完整性。保留字段(Reserved):(16位)供以后使用⑵驗(yàn)證數(shù)據(jù)(AuthenticationData)驗(yàn)證數(shù)據(jù),它包含完整性檢查值(ICV),用來提供驗(yàn)證和數(shù)據(jù)完整性。用來計(jì)算ICV的算法由安全關(guān)聯(lián)指定。ICV是在這種情況下計(jì)算的,即IP報(bào)頭字段在傳遞過程中保持未變,驗(yàn)證報(bào)頭帶有的驗(yàn)證數(shù)據(jù)置0,IP數(shù)據(jù)包為有效載荷。有些字段在傳遞的過程中可能改變,包括最大跳數(shù)、業(yè)務(wù)類別和流標(biāo)簽等。IP數(shù)據(jù)包的接收者使用驗(yàn)證算法和安全關(guān)聯(lián)中確定的密鑰對驗(yàn)證報(bào)頭重新計(jì)算ICV。如果ICV一樣,接收者知道數(shù)據(jù)通過驗(yàn)證并且沒有被更改過。驗(yàn)證數(shù)據(jù)包工作過程,如圖2所示。圖2驗(yàn)證數(shù)據(jù)包工作過程⑶防止重放攻擊(PreventReplyAttack)重放攻擊是一種獲得加密數(shù)據(jù)包,然后發(fā)送設(shè)定的目的地。收到復(fù)制加密數(shù)據(jù)包后,可能而而面臨破解及其它一引起意想不到的后果。序列號計(jì)數(shù)器可阻止此類攻擊,當(dāng)發(fā)送者和接收者之間的通信狀態(tài)建立的時(shí)候,序列號被置0。當(dāng)發(fā)送者或者接收者傳送數(shù)據(jù)的時(shí)候,它隨后被加1。如果接收者發(fā)覺一個(gè)IP數(shù)據(jù)包具有復(fù)制的序列號字段,它將被丟棄,這是為了提供反重放的保護(hù)。該字段是強(qiáng)制使用的,即使接收者沒有選擇反重放服務(wù)它也會(huì)出現(xiàn)在特定的安全關(guān)聯(lián)中。驗(yàn)證報(bào)頭帶有的驗(yàn)證數(shù)據(jù)置0,IP數(shù)據(jù)包為有效載荷。3、封裝安全有效載荷數(shù)據(jù)(EncapsulatingSecurityPayload)安全加載封裝(ESP)通過對數(shù)據(jù)包的全部數(shù)據(jù)和加載內(nèi)容進(jìn)行全加密來嚴(yán)格保證傳輸信息的機(jī)密性,這樣可以避免其他用戶通過監(jiān)聽來打開信息交換的內(nèi)容,因?yàn)橹挥惺苄湃蔚挠脩魮碛忻艹状蜷_內(nèi)容。ESP也能提供認(rèn)證和維持?jǐn)?shù)據(jù)的完整性。ESP用來為封裝的有效載荷提供機(jī)密性、數(shù)據(jù)完整性驗(yàn)證。AH和ESP兩種報(bào)文頭可以根據(jù)應(yīng)用的需要單獨(dú)使用,也可以結(jié)合使用,結(jié)合使用時(shí),ESP應(yīng)該在AH的保護(hù)下。⑴封裝安全有效載荷數(shù)據(jù)包格式,如圖3所示。圖3封裝安全有效載荷數(shù)據(jù)包格式封裝安全有效載荷數(shù)據(jù)包含以下字段:SPI字段(SecurityParameterIndex(SPI)):確定安全關(guān)聯(lián)的安全參數(shù)索引序列號字段(SequenceNumber:):用來提供反重放保護(hù),跟驗(yàn)證報(bào)頭中描述的一樣有效載荷數(shù)據(jù)(PayloadData):存放加密數(shù)據(jù)填充字段(Padding:Extrabytes):加密算法需要的任何填充字節(jié)填充長度(Padlength):包含填充長度字段的字節(jié)數(shù)下一報(bào)頭(NextHeader):描述有效載荷數(shù)據(jù)字段包含的數(shù)據(jù)類型有效載荷數(shù)據(jù)(AuthenticationData):用ICV加密算法加密的所有數(shù)據(jù)(非加密數(shù)據(jù)區(qū))⑵ESP計(jì)算(ESPComputation)在IPv6中,加密是由ESP擴(kuò)展報(bào)頭來實(shí)現(xiàn)的。ESP用來為封裝的有效載荷提供機(jī)密性、數(shù)據(jù)來源驗(yàn)證、無連接完整性、反重放服務(wù)和有限的業(yè)務(wù)流機(jī)密性。ESP數(shù)據(jù)包壓縮工作過程,如圖4所示。圖4ESP數(shù)據(jù)包壓縮工作過程⑶局限性ESP不保護(hù)任何IP報(bào)頭字段,除非這些字段被ESP封裝(隧道模式),而AH則為盡可能多的IP報(bào)頭提供驗(yàn)證服務(wù)。所以如果需要確保一個(gè)數(shù)據(jù)包的完整性、真實(shí)性和機(jī)密性時(shí),需同時(shí)使用AH和ESP。先使用ESP,然后把AH報(bào)頭封裝在ESP報(bào)頭的外面,從而接收方可以先驗(yàn)證數(shù)據(jù)包的完整性和真實(shí)性,再進(jìn)行解密操作,AH能夠保護(hù)ESP報(bào)頭不被修改。4、鑰匙管理(KeyManagement)密匙管理包括密匙確定和密匙分發(fā)兩個(gè)方面,最多需要四個(gè)密匙:AH和ESP各兩個(gè)發(fā)送和接收密匙。密匙本身是一個(gè)二進(jìn)制字符串,通常用十六進(jìn)制表示,例如,一個(gè)56位的密匙可以表示為5F39DA752E0C25B4。注意全部長度總共是64位,包括了8位的奇偶校驗(yàn)。56位的密匙(DES)足夠滿足大多數(shù)商業(yè)應(yīng)用了。密匙管理包括手工和自動(dòng)兩種方式。手工管理(Manual):手工管理方式是指管理員使用自己的密鑰及其它系統(tǒng)的密鑰手工設(shè)置每個(gè)系統(tǒng)。這種方法在小型網(wǎng)絡(luò)環(huán)境中使用比較實(shí)際。自動(dòng)管理系統(tǒng)(Automated):可以隨時(shí)建立新的SA密鑰,并可以對較大的分布式系統(tǒng)上使用密鑰進(jìn)行定期的更新。自動(dòng)管理模式是很有彈性的,但需要花費(fèi)更多的時(shí)間及精力去設(shè)置,同時(shí),還需要使用更多的軟件。IPSec的自動(dòng)管理密鑰協(xié)議的默認(rèn)名字是ISAKMP/Oakley。⑴Oakley協(xié)議(OakleyKeyDetermination)OAKLEY協(xié)議,其基本的機(jī)理是Diffie-Hellman密鈅交換算法。OAKLEY協(xié)議支持完整轉(zhuǎn)發(fā)安全性,用戶通過定義抽象的群結(jié)構(gòu)來使用Diffie-Hellman算法,密鈅更新,及通過帶外機(jī)制分發(fā)密鈅集,并且兼容用來管理SA的ISAKMP協(xié)議。Diffie-Hellman密鑰交換算法,當(dāng)A和B要進(jìn)行秘密通信時(shí),他們可以按如下步驟建立共享密鑰:A選取大的隨機(jī)數(shù)x,并計(jì)算X=gx(modP),A將g、P、X傳送給B。B選取大的隨機(jī)數(shù)y,并計(jì)算Y=gy(modP),B將Y傳送給A。A計(jì)算K=Yx(modP);B計(jì)算K’=Xy(modP),易見,K=K’=gxy(modP)。A和B獲得了相同的秘密值K。雙方以K作為加解密鑰以對稱密鑰算法進(jìn)行保密通信。⑵ISAKMP協(xié)議(InternetSecurityAssociationandKeyManagementProtocol)因特網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議(ISAKMP)定義程序和信息包的格式來建立、協(xié)商、修改和刪除安全連接(SA)。SA包括所有如IP層服務(wù)、傳輸或應(yīng)用層服務(wù)、流通傳輸?shù)淖晕冶Wo(hù)的各種各樣的網(wǎng)絡(luò)協(xié)議所需要的信息。ISAKMP定義交換密鑰生產(chǎn)的有效載荷和認(rèn)證數(shù)據(jù)。ISAKMP通過集中安全連接的管理減少了在每個(gè)安全協(xié)議中復(fù)制函數(shù)的數(shù)量。ISAKMP還能通過一次對整個(gè)服務(wù)堆棧的協(xié)議來減少建立連接的時(shí)間。2.3IPSecVPN的實(shí)現(xiàn)方式IPSEC是一套比較完整成體系的VPN技術(shù),它規(guī)定了一系列的協(xié)議標(biāo)準(zhǔn)。因?yàn)槠?,我們不深入探究IPSEC的過于詳細(xì)的內(nèi)容,我們對于IPSEC大致按照以下幾個(gè)方面理解。1.為什么要導(dǎo)入IPSEC協(xié)議導(dǎo)入IPSEC協(xié)議,原因有2個(gè),一個(gè)是原來的TCP/IP體系中間,沒有包括基于安全的設(shè)計(jì),任何人,只要能夠搭入線路,即可分析所有的通訊數(shù)據(jù)。IPSEC引進(jìn)了完整的安全機(jī)制,包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因,是因?yàn)镮nternet迅速發(fā)展,接入越來越方便,很多客戶希望能夠利用這種上網(wǎng)的帶寬,實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。IPSEC協(xié)議通過包封裝技術(shù),能夠利用Internet可路由的地址,封裝內(nèi)部網(wǎng)絡(luò)的IP地址,實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。2.包封裝協(xié)議設(shè)想現(xiàn)實(shí)一種通訊方式。假定發(fā)信和收信需要有身份證(成年人才有),兒童沒有身份證,不能發(fā)信收信。有2個(gè)兒童,小張和小李,他們的老爸是老張和老李?,F(xiàn)在小張和小李要寫信互通,怎么辦?一種合理的實(shí)現(xiàn)方式是:小張寫好一封信,封皮寫上"小張-->小李",然后給他爸爸,老張寫一個(gè)信封,寫上“老張-->老李”,把前面的那封信套在里面,發(fā)給老李,老李收到信以后,打開,發(fā)現(xiàn)這封信是給兒子的,就轉(zhuǎn)給小李了。小李回信也一樣,通過他父親的名義發(fā)回給小張。這種通訊實(shí)現(xiàn)方式要依賴以下幾個(gè)因素:*老李和老張可以收信發(fā)信*小張發(fā)信,把信件交給老張。*老張收到兒子的來信以后,能夠正確的處理(寫好另外一個(gè)信封),并且重新包裝過的信封能夠正確送出去。*另外一端,老李收到信拆開以后,能夠正確地交割小李。*反過來的流程一樣。把信封的收發(fā)人改成Internet上的IP地址,把信件的內(nèi)容改成IP的數(shù)據(jù),這個(gè)模型就是IPsec的包封裝模型。小張小李就是內(nèi)部私網(wǎng)的IP主機(jī),他們的老爸就是VPN網(wǎng)關(guān),本來不能通訊的兩個(gè)異地的局域網(wǎng),通過出口處的IP地址封裝,就可以實(shí)現(xiàn)局域網(wǎng)對局域網(wǎng)的通訊。引進(jìn)這種包封裝協(xié)議,實(shí)在是有點(diǎn)不得已。理想的組網(wǎng)方式,當(dāng)然是全路由方式。任意節(jié)點(diǎn)之間可達(dá)(就像理想的現(xiàn)實(shí)通訊方式是任何人之間都可以直接寫信互通一樣)。Internet協(xié)議最初設(shè)計(jì)的時(shí)候,IP地址是32位,當(dāng)時(shí)是很足夠了,沒有人能夠預(yù)料到將來Internet能夠發(fā)展到現(xiàn)在的規(guī)模(相同的例子發(fā)生在電信短消息上面,由于160字節(jié)的限制,很大地制約了短消息的發(fā)展)。按照2的32次方計(jì)算,理論上最多能夠容納40億個(gè)左右IP地址。這些IP地址的利用是很不充分的,另外大約有70%左右的IP地址被美國分配掉了(誰讓人家發(fā)明并且管理Internet呢?)所以對于中國來說,可供分配的IP地址資源非常有限。既然IP地址有限,又要實(shí)現(xiàn)異地lan-lan通訊,包封包,自然是最好的方式了。3.安全協(xié)議(加密)依然參照上述的通訊模型。假定老張給老李的信件要通過郵政系統(tǒng)傳遞,而中間途徑有很多好事之徒,很想偷看小張和小李(小張小李作生意,通的是買賣信息)通訊,或者破壞其好事。解決這個(gè)問題,就要引進(jìn)安全措施。安全可以讓小李和小張自己來完成,文字用暗號來表示,也可以讓他們的老爸代勞完成,寫好信,交給老爸,告訴他傳出去之前重新用暗號寫一下。IPSEC協(xié)議的加密技術(shù)和這個(gè)方式是一樣的,既然能夠把數(shù)據(jù)封裝,自然也可以把數(shù)據(jù)變換,只要到達(dá)目的地的時(shí)候,能夠把數(shù)據(jù)恢復(fù)成原來的樣子就可以了。這個(gè)加密工作在Internet出口的VPN網(wǎng)關(guān)上完成。4.安全協(xié)議(數(shù)據(jù)認(rèn)證)還是以上述通訊模型為例,僅僅有加密是不夠的。把數(shù)據(jù)加密,對應(yīng)這個(gè)模型中間,是把信件的文字用暗號表示。好事之徒無法破解信件,但是可以偽造一封信,或者胡亂把信件改一通。這樣,信件到達(dá)目的地以后,內(nèi)容就面目全非了,而且收信一方不知道這封信是被修改過的。為了防止這種結(jié)果,就要引入數(shù)據(jù)防篡改機(jī)制。萬一數(shù)據(jù)被非法修改,能夠很快識(shí)別出來。這在現(xiàn)實(shí)通訊中間可以采用類似這樣的算法,計(jì)算信件特征(比如統(tǒng)計(jì)這封信件的筆劃、有多少字),然后把這些特征用暗號標(biāo)識(shí)在信件后面。收信人會(huì)檢驗(yàn)這個(gè)信件特征,由于信件改變,特征也會(huì)變。所以,如果修改人沒有暗號,改了以后,數(shù)據(jù)特征值就不匹配了。收信人可以看出來。實(shí)際的IPSEC通訊的數(shù)據(jù)認(rèn)證也是這樣的,使用md5算法計(jì)算包文特征,報(bào)文還原以后,就會(huì)檢查這個(gè)特征碼,看看是否匹配。證明數(shù)據(jù)傳輸過程是否被篡改。5.安全協(xié)議(身份認(rèn)證)還是假定小張小李通訊模型。由于老張和老李不在一個(gè)地方,他們互相不能見面,為了保證他們兒子通訊的安全。老張和老李必須要相互確認(rèn)對方是否可信。這就是身份認(rèn)證問題。假定老李老張以前見過面,他們事先就約定了通訊暗號,比如1234567890對應(yīng)abcdefghij,那么寫個(gè)255,對應(yīng)就是一個(gè)bee。常見的VPN身份認(rèn)證可以包括預(yù)共享密鑰,通訊雙方實(shí)現(xiàn)約定加密解密的密碼,直接通訊就可以了。能夠通訊就是朋友,不能通訊就是壞人,區(qū)分很簡單。其他復(fù)雜的身份認(rèn)證機(jī)制包括證書(電子證書比如x509之類的),比較羅里羅嗦,這里就不具體展開了,怕有兄弟看了打瞌睡。如果需要,可以找我要更具體的技術(shù)白皮書以及相關(guān)的身份認(rèn)證文檔。如果有身份認(rèn)證機(jī)制,密鑰的經(jīng)常更換就成為了可能。6.其他解決了上述的幾個(gè)問題,基本可以保證VPN通訊模型能夠建立起來了。但是并不完美,這是最簡單的VPN。即通過對端兩個(gè)靜態(tài)的IP地址,實(shí)現(xiàn)異地網(wǎng)絡(luò)的互聯(lián)。美國的很多VPN設(shè)備就作到這一級,因?yàn)槊绹鳬P地址充裕,分配靜態(tài)IP地址沒有問題??嗟氖俏业戎袊蛻?,2端都需要靜態(tài)IP地址,相當(dāng)于2根Internet專線接入。VPN要在中國用起來,還要解決一堆的相關(guān)問題。。IPSEC通過包封裝包的方法,通過Internet建立了一個(gè)通訊的隧道,通過這個(gè)通訊的隧道,就可以建立起網(wǎng)絡(luò)的連接。但是這個(gè)模型并非完美,仍然有很多問題需要解決。在講述其他問題以前,我們對VPN定義幾個(gè)概念。VPN節(jié)點(diǎn):一個(gè)VPN節(jié)點(diǎn),可能是一臺(tái)VPN網(wǎng)關(guān),也可能是一個(gè)客戶端軟件。在VPN組網(wǎng)中間,屬于組網(wǎng)的一個(gè)通訊節(jié)點(diǎn)。它應(yīng)該能夠連接Internet,有可能是直接連接,比如adsl、電話撥號等等,也可能是通過nat方式,例如:小區(qū)寬帶、cdma上網(wǎng)、鐵通線路等等。VPN隧道:在兩個(gè)vpn節(jié)點(diǎn)之間建立的一個(gè)虛擬鏈路通道。兩個(gè)設(shè)備內(nèi)部的網(wǎng)絡(luò),能夠通過這個(gè)虛擬的數(shù)據(jù)鏈路到達(dá)對方。與此相關(guān)的信息是當(dāng)時(shí)兩個(gè)VPN節(jié)點(diǎn)的IP地址,隧道名稱、雙方的密鑰。隧道路由:一個(gè)設(shè)備可能和很多設(shè)備建立隧道,那么就存在一個(gè)隧道選擇的問題,即到什么目的地,走哪一個(gè)隧道?用前面的通訊模型來說,老李老張就是隧道節(jié)點(diǎn),他們通過郵政系統(tǒng)建立的密碼通訊關(guān)系,就是一個(gè)數(shù)據(jù)隧道,小張和小李把信發(fā)給他們老爸的時(shí)候,他們老爸要作出抉擇,這封信怎么封裝,封裝以后送給誰。假如還有一個(gè)老王和他們的兒子,也要通訊,這時(shí)候隧道路由就比較好理解了。送給小王的數(shù)據(jù),就封裝給老王,送給小李的數(shù)據(jù),就封裝發(fā)給老李。如果節(jié)點(diǎn)非常多,那么這個(gè)隧道路由就會(huì)比較復(fù)雜。理解了以上的問題,我們就知道,ipsec要解決的問題其實(shí),可以分為以下幾個(gè)步驟:找到對方vpn節(jié)點(diǎn)設(shè)備,如果對方是動(dòng)態(tài)IP地址,那么必須能夠通過一種有效途徑能夠及時(shí)發(fā)現(xiàn)對方IP地址的變化。按照通訊模型,就是老李老張如果經(jīng)常搬家的話,必須有一個(gè)有效的機(jī)制,能夠及時(shí)發(fā)現(xiàn)老李老張地址的變化。建立隧道,建立隧道說起來簡單,作起來不容易。如果兩個(gè)設(shè)備都有合法的公網(wǎng)IP,那么建立一個(gè)隧道是比較容易的。如果一方在nat之后,那就比較羅嗦了。一般通過內(nèi)部的vpn節(jié)點(diǎn)發(fā)起一個(gè)udp連接,再封裝一次ipsec,送到對方,因?yàn)閡dp可以通過防火墻進(jìn)行記憶,因此通過udp再封裝的ipsec包,可以通過防火墻來回傳遞。建立隧道以后,就確定隧道路由,即到哪里去,走哪個(gè)隧道。很多VPN隧道配置的時(shí)候,就定義了保護(hù)網(wǎng)絡(luò),這樣,隧道路由就根據(jù)保護(hù)的網(wǎng)絡(luò)關(guān)系來決定。但是這喪失了一定的靈活性。所有的ipsecVPN展開來講,實(shí)現(xiàn)的無非就是以上幾個(gè)要點(diǎn),具體各家公司,各有各的做法。但是可以肯定,目前在市場銷售的VPN,肯定都已經(jīng)解決了以上的問題。第一個(gè)問題怎樣找到vpn節(jié)點(diǎn)設(shè)備。假如設(shè)備都是動(dòng)態(tài)撥號方式的話,那么一定需要一個(gè)合適的靜態(tài)的第三方來進(jìn)行解析。相當(dāng)于兩個(gè)總是不停搬家的人,要合適找到對方,一定需要一個(gè)大家都認(rèn)識(shí)的朋友,這個(gè)朋友不搬家,兩個(gè)人都能夠聯(lián)系上他。靜態(tài)的第三方,常見的有3種實(shí)現(xiàn)方式:通過網(wǎng)頁,這是深信服公司發(fā)明的一種技術(shù),通過Web頁解析ip地址。大家可以登錄一下/,就可以查找到當(dāng)前的IP地址。因此,動(dòng)態(tài)的設(shè)備,可以通過這種方式,把自己當(dāng)前的IP地址提交上去。其他設(shè)備可以通過網(wǎng)頁再查詢回來。這樣,設(shè)備之間就可以互相通過這個(gè)網(wǎng)頁找到。因?yàn)榫W(wǎng)頁是相對固定的,所以這種方式能夠很有效地解決這個(gè)問題。這種方式能夠有效地分散集中認(rèn)證的風(fēng)險(xiǎn),而且很容易實(shí)現(xiàn)備份,屬于比較巧妙的一種解決方案。當(dāng)然,對于Web頁可能存在比較多的攻擊,因此,要注意安全防范。通過一個(gè)集中的服務(wù)器,實(shí)現(xiàn)統(tǒng)一解析,然后給用戶進(jìn)行分組。每個(gè)vpn設(shè)備只能看到同組的其他設(shè)備,不能跨組訪問。也可以通過目錄服務(wù)器實(shí)現(xiàn)。這種方式適合集中式的VPN,在企業(yè)總部部署服務(wù)器,實(shí)現(xiàn)全局設(shè)備的統(tǒng)一認(rèn)證和管理。它不太適合零散用戶的認(rèn)證,因?yàn)榇嬖谝粋€(gè)信任問題,客戶會(huì)置疑管理服務(wù)器如果出現(xiàn)了問題,有可能其他設(shè)備就能夠連接到自己的vpn域里面。這種大型的集中vpn管理軟件,在很多國內(nèi)外的vpn廠商都有專門的設(shè)備或軟件,它除了能夠進(jìn)行動(dòng)態(tài)IP地址解析,還能夠?qū)崿F(xiàn)在線認(rèn)證等等功能。如果管理中心比較職能的話,可以集中制訂通訊策略,下面的vpn設(shè)備配置參數(shù)比較少。還有一種方式,是DDNS,即動(dòng)態(tài)域名。動(dòng)態(tài)域名是一種相對比較平衡的技術(shù)。Vpn設(shè)備撥號以后,把自己當(dāng)前的IP地址注冊給一級域名服務(wù)器,并且更新自己的二級域名IP地址,internet其他用戶,通過這個(gè)二級域名就可以查找到它。例如:動(dòng)態(tài)域名服務(wù)器的名稱是99,是abc.99,則vpn設(shè)備通過一個(gè)軟件,提交給服務(wù)器,把,漂移成當(dāng)前的IP地址。但是,有時(shí)也會(huì)遇到dns緩存問題。Vpn廠家如果自身提供ddns服務(wù)的話,就可以通過內(nèi)部協(xié)議,把查詢速度加快,并且避免dns緩沖帶來的問題。以上講述了三種動(dòng)態(tài)IP地址的解析方法,國內(nèi)一般廠家提供的無外乎這幾種方法。如果再有比較偏門的技術(shù),也許就不是主流技術(shù)了。解決了動(dòng)態(tài)IP地址問題,按照之前的通訊模型,不考慮VPN設(shè)備很多的情況,就可以組網(wǎng)。因此,一旦這種技術(shù)被越來越多的廠家掌握,基于IPsecvpn設(shè)備和軟件是一定會(huì)價(jià)格下降的。It技術(shù)從朝陽變成夕陽就是轉(zhuǎn)眼之間的事情。第二個(gè)問題隧道如何建立解決了Ip地址動(dòng)態(tài)尋址的問題,現(xiàn)在來說一下Nat穿越的問題。我們知道,Udp和TCP是可以穿越防火墻的。直接的IPsec封裝,不能穿越防火墻,因?yàn)榉阑饓π枰亩丝谛畔?,這樣回來的數(shù)據(jù)包,才能轉(zhuǎn)到正確的內(nèi)部主機(jī)。用UDP顯然比較合適,因?yàn)槭褂胻cp的話,不僅三次握手占據(jù)時(shí)間很長,而且還有來回的確認(rèn)。而實(shí)際上,這些工作屬于ipsec內(nèi)部封裝的報(bào)文要干的事情,放在這里完成是不合適的。因此,用udp來封裝ipsec報(bào)文,以穿越nat,幾乎是唯一可以選擇的方案。用udp穿越nat防火墻,這只解決了問題的一半,因?yàn)檫@要求至少有一方處于Internet公網(wǎng)上面。有可路由的IP地址。而有時(shí)會(huì)發(fā)生兩個(gè)vpn節(jié)點(diǎn)都在nat之后的情景,這只能通過第三方轉(zhuǎn)發(fā)來完成。即兩個(gè)設(shè)備都可以與第三方設(shè)備互通,第三方設(shè)備為雙方進(jìn)行轉(zhuǎn)發(fā)。這個(gè)可以通過之前的模型解析,老張老李不能直接通訊,他們都可以與老王通訊,老王就可以在中間進(jìn)行轉(zhuǎn)發(fā)。凡是小李小張的通訊,交給他們老爸以后,老王最后再進(jìn)行轉(zhuǎn)交。這是隧道路由的概念就很清晰了,不能一個(gè)隧道直接到達(dá),可以在幾個(gè)隧道之間轉(zhuǎn)發(fā)。3、IPSecVPN在Freeswan下的實(shí)現(xiàn)3.1Freeswan的介紹FreeS/WAN是IPSec協(xié)議在Linux下的實(shí)現(xiàn)方式。IPSec提供了網(wǎng)絡(luò)協(xié)議棧的IP層加密和認(rèn)證服務(wù)。在這一層工作,IPSec可以保護(hù)任何IP包,而不像其他的加密方式只保護(hù)更高層的協(xié)議,像郵件的PGP,遠(yuǎn)程登陸的SSH,網(wǎng)絡(luò)工作的SSL之類的。當(dāng)然,這種方式既有優(yōu)點(diǎn)也有限制。我們分成三部分來實(shí)現(xiàn)IPSec協(xié)議:KLIPS(IPSec內(nèi)核),它用于實(shí)現(xiàn)AH,ESP內(nèi)核的包處理。Pluto(IKEdaemon)IKE的實(shí)現(xiàn),它用于同其他系統(tǒng)協(xié)商連接。提供各種機(jī)器管理者的接口。FreeS/WAN是給LinuxIPv4網(wǎng)絡(luò)提供IPSec協(xié)議。它有以下幾個(gè)功能:RoadWarrior典型的“RoadWarrior”是通過旅行者通過筆記本連接到家里。管理上來說,任何的沒動(dòng)態(tài)地址的遠(yuǎn)程無線登陸都可以叫做“RoadWarrior”。這篇文檔中,任何有動(dòng)態(tài)IP地址的人都是“RoadWarrior”任何進(jìn)行IPSec處理的機(jī)器叫做網(wǎng)關(guān)。作為一個(gè)有后面有一個(gè)一個(gè)退化網(wǎng)絡(luò)網(wǎng)關(guān)的單機(jī)“RoadWarrior”。機(jī)會(huì)加密(Opportunisticencryption)即使兩個(gè)網(wǎng)關(guān)管理者沒有優(yōu)先連接,系統(tǒng)也沒有任何事先約好的信息,兩個(gè)FreeS/WAN網(wǎng)關(guān)可以加密通信網(wǎng)。兩個(gè)系統(tǒng)都接收了來自DNS所需的加密信息。這個(gè)過程中只需設(shè)置機(jī)會(huì)加密為enabled,而DNS中也有管理者的信息,其他的就自動(dòng)完成了。網(wǎng)關(guān)就會(huì)找所有的機(jī)會(huì)加密,它是否接受加密通信是和管理者的政策設(shè)置有關(guān)的。這個(gè)技術(shù)提供了兩個(gè)額外功能:它大量地減少了荷載頭的。你可以直接配置你的網(wǎng)關(guān)以后所有的事都可以自動(dòng)完成了。當(dāng)然,F(xiàn)reeS/WAN允許所配置的信道和角加密共同存在,但是我們希望它們在大多數(shù)情況不可用。它讓我們面對一個(gè)更安全的網(wǎng)絡(luò),允許用戶創(chuàng)建一個(gè)默認(rèn)私人信息的環(huán)境。所有的信息都可以加密來提供給另一端。3.2Freeswan的使用前面已經(jīng)對freeswan進(jìn)行了簡要的介紹,接下來我們將教大家如何使用freeswan來建立ipsecVPN。首先用以下命令下載freeswan的rpm包:ncftpgetftp://ftp.xs4all.nl/pub/crypto/freeswan/binaries/RedHat-RPMs/`uname-r|tr-d'a-wy-z'`/\*如果該命令不能下載,那么請自行在網(wǎng)上搜索最新版本的freeswan下載。如果成功的話,你就可以下載到3個(gè)文件,分別是:使用工具,內(nèi)核模塊以及RPM簽名,如下freeswan-module-2.04_2.4.20_20.9-0.i386.rpmfreeswan-userland-2.04_2.4.20_20.9-0.i386.rpmfreeswan-rpmsign.asc如果你是RedHat8.x以后的版本,用下面命令來將RPM簽名輸入RPM數(shù)據(jù)庫:rpm--importfreeswan-rpmsign.asc如果你是7.x版本,就需要把它加入你的PGP密鑰:pgp-kafreeswan-rpmsign.asc用下面命令檢查兩個(gè)RPM的數(shù)字簽名rpm--checksigfreeswan*.rpm你將可以看到簽名都正確:freeswan-module-2.04_2.4.20_20.9-0.i386.rpm:pgpmd5OKfreeswan-userland-2.04_2.4.20_20.9-0.i386.rpm:pgpmd5OK下面我們將安裝RPM包輸入命令進(jìn)入rootsu然后安裝RPM:rpm-ivhfreeswan*.rpm啟動(dòng)freeswan:serviceipsecstart檢查是否安裝成功,運(yùn)行:psecverify成功的話將會(huì)出現(xiàn)以下信息CheckingyoursystemtoseeifIPsecgotinstalledandstartedcorrectlyVersioncheckandipsecon-path[OK]CheckingforKLIPSsupportinkernel[OK]CheckingforRSAprivatekey(/etc/ipsec.secrets)[OK]Checkingthatplutoisrunning[OK]好了,在安裝成功后,我們將要配置freeswan,配置freeswan的網(wǎng)絡(luò)對網(wǎng)絡(luò)的連接必須有如下的要求:1.兩個(gè)有固定IP地址的Linux網(wǎng)關(guān)。2.每個(gè)網(wǎng)關(guān)的后面有一個(gè)網(wǎng)絡(luò)。網(wǎng)絡(luò)必須在非重疊的IP范圍。3.兩個(gè)Linux網(wǎng)關(guān)都必須安裝freeswan。4.在本地網(wǎng)關(guān)安裝tcpdump,來測試連接。每個(gè)網(wǎng)關(guān)要編輯以下信息:1.網(wǎng)關(guān)IP2.子網(wǎng)的IP地址要收到保護(hù)。不一定一定要是你的整個(gè)物理子網(wǎng)3.一個(gè)能在IPSec協(xié)商中辨別自己的網(wǎng)關(guān)名。它的形式是一個(gè)帶有@完整的資格域名,例如:@。它不需要真正的是一個(gè)域名,它可以是一個(gè)編造的域名。獲取左網(wǎng)關(guān)密鑰:在本地freeswan網(wǎng)關(guān)的Linux,顯示出IPSec公鑰:ipsecshowhostkey–left我們將會(huì)看到如下提示:#RSA2048bitsFriApr2615:01:412002leftrsasigkey=0sAQOnwiBPt...如果你沒有密鑰,用以下命令來新建密鑰:ipsecnewhostkey--outputfilename[--quiet]\[--bitsn][--hostnamehost]具體的選項(xiàng)功能請查看網(wǎng)站/freeswan_trees/freeswan-2.04/doc/manpage.d/ipsec_newhostkey.8.html然后在你的右網(wǎng)關(guān)(即遠(yuǎn)程網(wǎng)關(guān)remotegate)打出ipsecshowhostkey–right將會(huì)顯示:#RSA2192bitsThuMay1615:26:202002rightrsasigkey=0sAQOqH55O...編輯/etc/ipsec.conf現(xiàn)在我們回到本地網(wǎng)關(guān)(localgate),將/etc/freeswan/ipsec.conf文件copy到/etc/ipsec.conf。用我們舉例的數(shù)據(jù)來代替以前的數(shù)據(jù):connnet-to-netleft=#Localvitalsleftsubnet=28/29#leftid=@#leftrsasigkey=0s1L

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論