1. VPN的安全功能
- 保密性服务:防止传输的信息被监听
- 完整性服务:防止传输的信息被篡改
- 认证服务:提供用户和设备的访问认证,防止法非接入
2. VPN的类型
- 基于链路层
-
- PPTP、L2TP、MPLS、Frame Relay
- 基于网络层
-
- IPSEC、GRE
- 基于传输层
-
- SSL/TLS
3. VPN的技术实现
- 密码算法:
-
- 国外:DES、AES、IDEA、RSA
- 国内:SM1、SM3、SM4
- 密钥管理:分发主要有两种方式
-
- 手工配置:可靠但是速度慢,适合简单的网络
- 密钥交换协议动态分发:自动协商生成密钥,速度快,安全性高,目前的密钥交换协于管理标准有,SKIP、ISAKMP
- 认证访问控制:包含两种认证
-
- 用户身份认证
- 数据完整性和合法性认证
4. IPsec技术
- IPsec主要功能分为:认证头(AH)、封装安全负荷(ESP)、密钥交换协议(IKE)
-
- AH:数据完整性和源认证
-
-
- MD5、SHA
-
-
- ESP:数据加密
-
-
- DES、3DES、AES
-
-
- IKE:密钥生成和分发
-
-
- DH
-
- IPsec的两种模式
-
- 透明模式(传统模式):只保护IP包种的数据域(DATA PAYLOAD)
- 隧道模式:保护IP包的包头和数据域,在隧道模式下将创建新的IP包头,并把旧的IP包做安全后用新的IP包的数据。
5. SSL技术
- SSL是传输层安全协议,用于构建客户端和服务端之间的安全通道。
- 协议主要分为两层
-
- 下层:SSL记录协议
-
-
- SSL记录协议:为高层提供基本安全服务,如分块、压缩、HMAC、加密等。
-
-
- 上层:SSL握手协议、SSL密码规格变更协议、SLL报警协议
-
-
- SSL握手协议:认证、协商加密算法和密钥
- SSL密码规格变更协议:客户方和服务端每隔一段事件改变加密规范
- SSL报警协议:通讯双方任意一方异常,就要给对方发一条警示通告
-
- SSL记录协议的数据处理过程
-
- ssl将数据分割成可管理的区块长度
- 选择是否要将已分割的数据进行压缩
- 加上消息认证码MAC
- 将数据加密,生成即将发送的消息
- 接收端将收到的消息进行解密、验证、解压缩、在重组后传送至高层,即完成接收