VPN技术原理与应用

VPN概述

技术原理:把需要经过公共网传递的报文加密处理后,再由公共网络发送到目的地。

VPN安全功能

3种安全服务:

  • 保密性服务
  • 完整性服务
  • 认证服务

VPN技术风险

  1. VPN产品代码实现的安全缺陷
  2. VPN密码算法安全缺陷
  3. VPN管理不当引发的安全缺陷

VPN类型和实现技术

VPN类型

  • 链路层VPN:ATM、Frame Relay、多协议标签交换MPLS
  • 网络层VPN:受控路由过滤、隧道技术
  • 传输层VPN:SSL

密码算法

DES、AES、RSA、SM1、SM4、SM3

密钥管理

密钥分发两种方法:

  1. 手工配置:可靠、更新速度慢
  2. 采用密钥交换协议动态分发:快速更新

密钥交换与管理标准:SKIP(互联网简单密钥管理协议)、ISAKMP/Oakley(互联网安全联盟和密钥管理协议)

认证访问控制

两种形式的认证:

  1. 用户身份认证
  2. 数据完整性和合法性认证

IPSec

IP安全系列规范:认证头(AH)、封装安全有效负荷(ESP)、密钥交换协议

  1. IP AH:保证IP包的完整性、提供数据源认证和抗重放攻击
  2. IP ESP:保证IP包的保密性

    IP AH和IP ESP有两种工作模式:透明模式(只保护IP包种的数据域),隧道模式(保护IP包头和数据域)

  3. 密钥交换协议:基于IPSec技术主要优点是透明性,但是会增加网络安全管理难度和降低网络传输性能

SSL

SSl应用于传输层,包含:

  • 握手协议(身份鉴别和安全参数协商)
  • 密码规格变更协议(通知安全参数变更)
  • 报警协议(关闭通知和对错误进行报警)
  • 记录层协议(传输数据的分段、压缩机解压缩、加密及解密、完整性校验)。

SSL协议提供三种安全通信服务:

  1. 保密性通信
  2. 点对点之间的身份认证
  3. 可靠性通信

SSL记录协议的数据处理过程:

  1. SSL将数据分割成可管理的区块长度
  2. 选择是否要将已分割的数据压缩
  3. 加上消息验证码(MAC)
  4. 将数据加密,生成即将发送的消息
  5. 接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层(如应用层),即完成接收

PPTP

点到点安全隧道协议

L2TP

UDP 1701端口

VPN主要产品与技术指标

VPN主要产品

IPSec VPN、SSL VPN

VPN产品主要技术指标

  1. 密码算法要求
IPSec VPN SSL VPN
非对称密码
(实体验证、数字签名、数字信封)
1024比特RSA
256比特SM2椭圆曲线算法
256位群阶ECC椭圆曲线SM2
IBC标识密码算法SM9
1024位以上RSA
对称密码
(密钥协商数据和报文数据加密)
128比特分支的SM1 SM1
密码杂凑算法
(对称密钥生成和完整性校验)
SHA-1或SM3
SM3输出为256比特
SM3和SHA-1
随机数生成算法
  1. VPN产品功能要求

    IPSec VPN:随机数生成、密钥协商、安全报文封装、NAT穿越、身份鉴别

    SSL VPN:随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查

  2. VPN产品性能要求

    IPSec VPN:加解密吞吐率、加解密时延、加解密丢包率、每秒新建连接数

    SSL VPN:最大并发用户数、最大并发连接数、每秒新建连接数、吞吐率

VPN技术应用

三种类型:远程访问虚拟网、企业内部虚拟网、企业扩展虚拟网

应用场景类型:远程安全访问、构建内部安全专网、外部网络安全互联详见P191-P192

评论 在此处输入想要评论的文本。

Copied title and URL