第九章：Virtual Private Network技术原理与应用

几章总结下来，摸出点道道，每一章基本都是以概述、类型与实现技术，主要产品与技术指标、实际应用四部分构成

核心部分通常是实现技术部分，也是最大的考点，所以要有所侧重

概述

• VPN是英文字母Virtual Private Network的缩写，中文翻译就是虚拟专用网
• 基本技术原理是将徐娅经过公共网传递的报文加密处理后，在由公共网络放送到目的地
• 利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道

提供的安全功能

• 保密性服务（Confidentiality）：防止传输的信息被监听
• 完整性服（Integrity）：防止传输的信息被修改
• 认证服务（换成可用性就是密码学三目标了）:提供用户和设备的访问认证，防止非法接入

技术风险 

• Virtual Private Network产品实代码实现的安全缺陷。涉及多种协议、密码算法，编程处理不当，极易导致代码安全缺陷，从而使得vpn产品出现安全问题
• Virtual Private Network密码算法安全缺陷
• Virtual Private Network管理不当导致木马泄露，非授权访问等问题

 

Virtual Private Network类型和实现技术

Virtual Private Network类型

• Virtual Private Network有多种实现技术，按照VPN在TCP/IP协议层的实现方式，可以将其分为链路层VPN，网络层VPN，传输层VPN。
  • 链路层VPN实现方式有ATM，Frame relay，多标签协议交换，MPLS等
  • 网络层VPN实现方式有受控路由过滤，隧道技术
  • 传输层VPN则通过SSL来实现

密码算法

• 核心是密码算法，利用密码算法来实现保密性。除了国外的DES，AES，IDE，RSA等，国产商用密码算法SM1，SM4分组算法，SM3杂凑算法等也都可以应用到VPN

密钥管理

• VPN加解密都离不开密钥，所以密钥分发管理很重要。分发有两种，一种是通过手工配置；一种是通过密钥交换协议动态分发。前者可靠但是更新慢，后者基于软件更新快，可以提高安全性。
• 目前主要的密钥交换与管理标准有SKIP(互联网简单密钥管理协议，simple key internet protocal)，和ISAKMP/Oakley（记不动）

认证访问控制

• 一般VPN连接包含两种形式的认证
  • 用户身份认证：连接建立前对客户机进行身份认证，可能还会有双向认证
  • 数据完整性和合法性认证：需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过篡改

IPSec

• 是Internet Protocol Security的缩写。在TCP/IP协议中，由于IP协议的安全脆弱性，如地址仿冒、易受篡改，窃听等，internet工程组成立了IPsec工作组，制定了安全阀方案。主要是认证头（Authentication Header，简称AH）、封装安全有效负荷（Encapsulatin Security Payload，简称ESP）以及密钥交换协议
• IP AH（完整性）
  • 即认证头协议，目的是把证IP包的完整性和提供数据源认证，为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务
  • 基本方法是把IP包部分内容用加密算法和Hash算法进行混合运算，生成一个完整性校验值，简称ICV(Intergrity Check Value)，将其附加在IP包中
  • 在TCP/IP通信过程中，IP包发送之前都事先计算好每个IP包的ICV，按照IPAH的协议规定重新构造包含ICV的新IP包，再发送到接收方
  • 接收方收到后，会根据AH信息验证ICV从而确保IP包的完整性和来源 
• IP ESP（保密性）
  • 是一种安全协议，用途在于保证IP包的保密性，而IP AH不能提供IP包的保密性服务
  • 基本方法是将IP包作加密处理，对整个IP包或IP的数据域作封装处理，并生成带有ESP协议信息的IP包，然后将新的IP包发送到通信的接收方
  • 接收方收到后，解密并去除ESP头
  • 有两种工作模式：透明模式和隧道模式
    • 透明模式只保护IP包中的数据域
    • 隧道模式保护IP包的包头和数据域，所以隧道模式下将创建新的IP包头并把旧的IP包作为新的IP包数据
• 密钥交换协议
  • 基于IPsec技术的主要优点是透明性，安全服务队提供不需要更改应用程序。但是带来的问题是增加网络安全管理难度和降低网络传输性能
  • 即通信双方安全关联以及事先建立成功，建立安全关联的方法可以手动或自动
    • 手动比较简单，事先对AH安全密钥，ESP的安全密钥等参数达成一致并写入双方数据库中
    • 自动配置就是双方的安全关联的各种参数有KDC（key distributed center）和通信双方共同商议，商定过程中所遵循的一个共同的协议就是密钥管理协议

SSL

• 是secure socket layers的缩写，是一种应用于传输层的安全协议，以用于构建客户端和服务端之间的安全通道。该协议由netscape开发，包含握手协议，密码规格变更协议，报警协议和记录层协议。
  • 握手协议用于身份鉴别和安全参数协商
  • 密码规格变更协议用于通知安全参数的变更
  • 报警协议用于关闭通知和对错误进行报警
  • 记录层协议用于传输数据的分段，压缩和解压缩，加密解密，完整性校验等
• 它是介于应用层和TCP层之间的安全通信协议，目的在于两个应用层之间相互通信时，使被传送的信息具有保密性和可靠性
• 工作原理是将应用层的信息加密或签证处理后经TCP/IP网络送至对方，收方验证无误后解密还原信息
• 它本身是一个分层协议
  • 最底层为SSL记录协议，位于传输层（TCP）之上，用途是把不同的较高层协议封装后再传送。
  • 另一层协议使SSL握手协议，由三种协议组成，包含握手协议，密码规格变更协议和报警协议，用途是两个应用程序开始传送或接收数据取ian，为其提供服务器和客户端之间相互认证的服务
• 它主要提供三种安全通信服务
  • 保密式通信：握手协议产生密钥后才开始进行加解密数据，加解密使用对称式算法，如DES,AES等
  • 点对点之间的身份认证：采用非对称加密算法，如RSA，DSS等
  • 可靠性通信：信息传送时包含信息完整性检查，使用由密钥保护的消息认证码（Message Authentication Code，简称MAC），计算采用安全杂凑函数（hash）如SHA，MD5
• SSL记录协议处理过程如下
  • SSL将数据分割成可管理的区块长度
  • 选择是否要把已经分割的数据压缩
  • 加上消息认证码（MAC）
  • 将数据加密，生成即将发送的消息
  • 接收端收到消息解密、验证、解压缩，再重组后传送到较高层

PPTP

• 全称point-to-point tunneling protocol：点到点安全隧道协议。该协议的目标是给电话上网的用户提供VPN安全服务，是PPP（点对点）协议的扩展。

L2TP

• 全称：Layer2 Tunneling Protocol：用于保护设置L2TP-enabled的客户端和服务端的通信。客户端要求安全L2TP软件，采用专用的隧道协议，运行在UDP的1701端口

 

Virtual Private Network的主要产品与技术指标

• 产品就是之前的IPSec VPN和SSL VPN
  • IPSec工作模式仅仅支持隧道模式和传输模式，隧道模式适用于主机和网关，传输模式仅适用于主机
  • SSL分为客户端-服务端模式、网关-网关模式两种

VPN技术应用

根据VPN用途，主要分三种，远程访问虚拟网（Access VPN），企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN）

远程安全访问

• 主要解决远程用户安全办公问题，利用VPN技术接入内网，常用的就是学校Virtual Private Network，用来接入内网

构建内部安全专网

• 由于业务发展，企业办公分散，所以通过VPN将内网连接，实现内部信息安全共享和企业办公自动化

外部网络安全互联

• 由于企业合作伙伴的主机和网络分布不同，传统上专线连接实现信息交换，建设维护困难，现在可以利用VPN技术，把合作伙伴网络连接到企业内网