资讯

历史

科技

环境与自然

成长

游戏

财经

文学与艺术

美食

健康

家居

文化

情感

汽车

三农

军事

旅行

运动

教育

生活

星座命理

信息安全：VPN 技术原理与应用

创作时间:

作者:

@小白创作中心

信息安全：VPN 技术原理与应用

引用

CSDN

https://blog.csdn.net/weixin_54977781/article/details/132344087

VPN（虚拟专用网络）是一种在网络通信中提供安全保护的技术，它通过加密处理需要经过公共网络传递的数据包，构建一条专用的安全通道。本文将详细介绍VPN的基本概念、安全功能、发展现状、技术风险、不同类型及其实现技术、主要产品与技术指标以及应用场景。

VPN 概述：

（1）VPN 安全功能：

VPN 主要的安全服务有以下 3 种：

保密性服务：防止传输的信息被监听；
完整性服务：防止传输的信息被修改；
认证服务：提供用户和设备的访问认证，防止非法接入；

（2）VPN 发展：

未来 VPN 产品的技术动向具有以下特点：

VPN 客户端尽量简化，将出现“零客户端“安装模式；
VPN 网关一体化，综合集成多种接入模式，融合多种安全机制和安全功能；
VPN 产品可能演变成可信网络产品；
VPN 提供标准安全管理数据接口，能够纳入 SOC 中心进行管理控制；

（3）VPN 技术风险：

VPN 产品代码实现的安全缺陷：VPN 产品的实现涉及多种协议、密码算法等，编程处理不当，极易导致代码安全缺陷，从而使得 VPN 产品出现安全问题。例如， Open SSL Heartbleed 漏洞可以让远程攻击者暴露敏感数据；
VPN 密码算法安全缺陷：VPN 产品如果选择非安全的密码算法或者选择不好的密码参数，都有可能导致 VPN 系统出现安全问题，不能起到安全保护的作用。例如，密钥长度不够；
VPN管理不当引发的安全缺陷：VPN 的管理不当导致密码泄露、非授权访问等问题；

VPN 类型和实现技术：

（1）VPN 类型：

链路层： VPN 的实现方式有ATM，Frame Relay 、多协议标签交换 MPLS；
网络层： VPN 的实现方式有受控路由过滤、隧道技术；
传输层：VPN 则通过SSL来实现；

（2）密码算法：

除了国外的 DES AES IDE RSA 等密码算法外，国产商用密码算法 SM1 SM4 分组密码算法、 SM3 杂凑算法等也都可应用到 VPN；

（3）密钥管理：

密钥的分发有两种方法：一种是通过手工配置的方式；另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠，但是密钥更新速度慢，一般只适合简单网络。而密钥交换协议则采用软件方式，自动协商动态生成密钥，密钥可快速更新，可以显著提高 VPN 的安全性。目前，主要的密钥交换与管理标准有 SKIP （互联网简单密钥管理协议）和 ISAKMP / 0akley （互联网安全联盟和密钥管理协议）

（4）认证访问控制：

用户身份认证：VPN 连接建立之前， VPN 服务器对请求建立连接的 VPN 客户机进行身份验证，核查其是否为合法的授权用户；
数据完整性和合法性认证：VPN 除了进行用户认证外，还需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过篡改；

（5）IPSec ：

IPSec 是 Internet Protocol Security 的缩写。在 TCP/IP 协议网络中，由于 IP 协议的安全脆弱性，如地址假冒、易受篡改、窃听等， Internet 工程组（IETF) 成立了 IPSec 工作组，研究提出解决上述问题的安全方案。根据 IP 的安全需求， IPSec 工作组制定了相关的 IP 安全系列规范：认证头 (Authentication Header, 简称 AH) 、封装安全有效负荷 (Encapsulatin Security Payload, 简称 ESP) 以及密钥交换协议；

IP AH：IPAH 是一种安全协议，又称为认证头协议。其安全目的是保证 IP 包的完整性和提供数据源认证，为 IP 数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。基本方法是将 IP 包的部分内容用加密算法和Hash 算法进行混合计算，生成一个完整性校验值，简称ICV ，同时把 ICV 附加在 IP 包中；
IP ESP ：IP ESP 也是一种安全协议，其用途在于保证 IP 包的保密性，而 IPAH不能提供 IP 包的保密性服务。基本方法是将 IP 包做加密处理，对整个 IP 包或 IP 的数据域进行安全封装，并生成带有 ESP 协议信息的 IP 包，然后将新的 IP 包发送到通信的接收方；IP AH 和 IP ESP 都有两种工作模式，即透明模式和隧道模式；透明模式只保护IP 包中的数据域；隧道模式则保护IP 包的包头和数据域；
密钥交换协议：IPSec 还涉及密钥管理协议，即通信双方的安全关联已经事先建立成功，建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单，双方事先对 AH 的安全密钥、 ESP安全密钥等参数达成一致，然后分别写入双方的数据库中。自动的配置方法就是双方的安全关联的各种参数由 KDC 和通信双方共同商定，共同商定的过程就必须遵循一个共同的协议，这就是密钥管理协议。目前，IPSec 的相关密钥管理协议主要有互联网密钥交换协议 IKE 、互联网安全关联与密钥管理协议 ISAKMP 、密钥交换协议 Oakley；

（6）SSL ：

SSL 是一种应用于传输层的安全协议，用于构建客户端 VPN 技术原理与应用和服务端之间的安全通道；包含握手协议、密码规格变更协议、报警协议和记录层协议；

握手协议：用于身份鉴别和安全参数协商；
密码规格变更协议：用于通知安全参数的变更；
报警协议：用于关闭通知和对错误进行报警；
记录层协议：用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等；

SSL 协议是介于应用层和TCP 层之间的安全通信协议；SSL 协议提供三种安全通信服务：

保密性通信：握手协议产生秘密密钥 (secret key) 后才开始加、解密数据。数据的加、解密使用对称式密码算法，例如DES，AES等；
点对点之间的身份认证：采用非对称式密码算法，例如 RSA，DSS 等；
可靠性通信：信息传送时包含信息完整性检查，使用有密钥保护的消息认证码(简称 MAC) MAC 的计算采用安全杂凑函数，例如SHA，MD5；

SSL 记录协议的数据处理过程：

SSL 将数据 (data) 分割成可管理的区块长度；
选择是否要将已分割的数据压缩；
加上消息认证码 (MAC)；
将数据加密，生成即将发送的消息；
接收端将收到的消息解密、验证、解压缩，再重组后传送至较高层（例如应用层），即完成接收；

（7）PPTP ：

PPTP 它是一个点到点安全隧道协议。该协议的目标是给电话上网的用户提供 VPN 安全服务；

（8）L2TP ：

L2TP 用于保护设置 L2TP-enabled 的客户端和服务器的通信。客户端要求安装 L2TP 软件，L2TP 采用专用的隧道协议，该协议运行在 UDP 1701 端口；

VPN 主要产品与技术指标：

（1）VPN 主要产品：

IPSec VPN：IPSec VPN 产品的工作模式：支待隧道模式和传输模式，其中隧道模式适用于主机和网关实现，传输模式是可选功能，仅适用于主机实现；
SSL VPN：SSL VPN 产品的工作模式分为：客户端－服务端模式、网关－网关模式两种；

（2）VPN 产品主要技术指标：

国家密码管理局颁布了《IPSec VPN 技术规范》《SSL VPN 技术规范》，对 IPSec VPN 和 SSL VPN 提出了要求，主要内容介绍如下：

密码算法要求：

IPSec VPN使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法，算法及使用方法如下：

非对称密码算法：使用 1024 比特 RSA 算法或 256 比特SM2 椭圆曲线密码算法，用于实体验证、数字签名和数字信封等；
对称密码算法：使用 128 比特分组的SM1 分组密码算法，用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式；
密码杂凑算法：使用 SHA-1 算法或SM3 密码杂凑算法，用于对称密钥生成和完整性校验。其中， SM3 算法的输出为 256 比特；
随机数生成算法：生成的随机数应能通过《随机性检测规范》规定的检测；

SSL VPN算法及使用方法如下：

非对称密码算法：包括 256 位群阶 ECC 椭圆曲线密码算法 SM2 IBC 标识密码算法 SM9 和 1024 位以上 RSA 算法；
分组密码算法：为 SMl 算法，用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式；
密码杂凑算法：包括 SM3 算法和 SHA-1 算法，用于密钥生成和完整性校验；
VPN 产品功能要求：
IPSec VPN的主要功能包括：随机数生成、密钥协商、安全报文封装、NAT 穿越、身份鉴别。身份认证数据应支持数字证书或公私密钥对方式， IP 协议版本应支持 IPv4 协议或 IPv6 协议；
SSL VPN的主要功能包括：随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查；
VPN 产品性能要求：
IPSec VPN 主要性能指标：
（1）加解密吞吐率；
（2）加解密时延；
（3）加解密丢包率；
（4）每秒新建连接数；
SSL VPN 主要性能指标：
（1）最大并发用户数；
（2）最大并发连接数；
（3）每秒新建连接数；
（4）吞吐率；