信息安全：VPN 技术原理与应用

信息安全：VPN 技术原理与应用.
VPN 是网络通信安全保护的常用技术。VPN 中文翻译为“虚拟专用网”，其基本技术原理是把需要经过公共网传递的报文 (packet) 加密处理后，再由公共网络发送到目的地。利用VPN 技术能够在不可信任的公共网络上构建 条专用的安全通道，经过 VPN 传输的数据在公共网上具有保密性。所谓“虚拟”指网络连接特性是逻辑的而不是物理的。 VPN 是通过密码算法、标识鉴别、 安全协议等相关的技术，在公共的物理网络上通过逻辑方式构造出来的安全网络。
目录：
信息安全：VPN 技术原理与应用.

VPN 概述：

（1）VPN 安全功能：

（2）VPN 发展：

（3）VPN 技术风险：

VPN 类型和实现技术：

（1）VPN 类型：

（2）密码算法：

（3）密钥管理：

（4）认证访问控制：

（5）IPSec ：

（6）SSL ：

（7）PPTP ：

VPN 主要产品与技术指标：

（1）VPN 主要产品：

（2）VPN 产品主要技术指标：

VPN 技术应用：

（1）远程安全访问：

（2）构建内部安全专网：

（3）外部网络安全互联：

VPN 概述：
（1）VPN 安全功能：
◆ VPN 主要的安全服务有以下 3 种：

▶ 保密性服务：防止传输的信息被监听；

▶ 完整性服务：防止传输的信息被修改；

▶ 认证服务：提供用户和设备的访问认证，防止非法接入；
（2）VPN 发展：
◆ 未来 VPN 产品的技术动向具有以下特点：

▶ VPN 客户端尽量简化，将出现“零客户端“安装模式；

▶ VPN 网关一体化，综合集成多种接入模式，融合多种安全机制和安全功能；

▶ VPN 产品可能演变成可信网络产品；

▶ VPN 提供标准安全管理数据接口，能够纳入 SOC 中心进行管理控制；

（3）VPN 技术风险：
◆ VPN 产品代码实现的安全缺陷：

▶ VPN 产品的实现涉及多种协议、密码算法等，编程处理不当，极易导致代码安全缺陷，从而使得 VPN 产品出现安全问题。例如， Open SSL Heartbleed 漏洞可以让远程攻击者暴露敏感数据；

◆ VPN 密码算法安全缺陷：

▶ VPN 产品如果选择非安全的密码算法或者选择不好的密码参数，都有可能导致 VPN 系统出现安全问题，不能起到安全保护的作用。例如，密钥长度不够；

◆ VPN 管理不当引发的安全缺陷：

▶ VPN 的管理不当导致密码泄露、非授权访问等问题；
VPN 类型和实现技术：
（1）VPN 类型：
◆ 链路层： VPN 的实现方式有 ATM，Frame Relay 、多协议标签交换 MPLS；

◆ 网络层： VPN 的实现方式有受控路由过滤、隧道技术；

◆ 传输层：VPN 则通过 SSL 来实现；
（2）密码算法：
◆ 目前，除了国外的 DES AES IDE RSA 等密码算法外，国产商用密码算法 SM1 SM4 分组密码算法、 SM3 杂凑算法等也都可应用到 VPN；
（3）密钥管理：
◆ 密钥的分发有两种方法：一种是通过 手工配置 的方式；另一种采用 密钥交换协议 动态分发。手工配置的方法虽然可靠，但是密钥更新速度慢，一般只适合简单网络。而密钥交换协议则采用软件方式， 自动协商动态生成密钥，密钥可快速更新，可以显著提高 VPN 的安全性。目前，主要的密钥交换与管理标准有 SKIP （互联网简单密钥管理协议）和 ISAKMP / 0akley （互联网安全联盟和密钥管理协议）
（4）认证访问控制：
◆ 用户身份认证：VPN 连接建立之前， VPN 服务器对请求建立连接的 VPN 客户机进行身份验证，核查其是否为合法的授权用户；

◆ 数据完整性和合法性认证：VPN 除了进行用户认证外，还需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过篡改；

（5）IPSec ：
◆ IPSec Internet Protocol Security 的缩写。在 TCP/IP 协议网络中，由于 IP 协议的安全脆弱性，如地址假冒、易受篡改、窃听等， Internet 工程组 （IETF) 成立了 IPSec 工作组，研究提出解决上述问题的安全方案。根据 IP 的安全需求， IPSec 工作组制定了相关的 IP 安全系列规范：认证头 (Authentication Header, 简称 AH) 、封装安全有效负荷 (Encapsulatin Security Payload, 简称 ESP) 以及密钥交换协议；

◆ IP AH：

▶ IPAH 是一种安全协议，又称为认证头协议。其安全目的是 保证 IP 包的完整性 和 提供数据源认证，为 IP 数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。

▶ 基本方法是将 IP 包的部分内容用加密算法和 Hash 算法进行混合计算，生成一个完整性校验值，简称 ICV ，同时把 ICV 附加在 IP 包中；

◆ IP ESP ：

▶ IP ESP 也是一种安全协议，其用途在于保证 IP 包的保密性，而 IPAH 不能提供 IP 包的保密性服务
▶ 基本方法是将 IP 包做加密处理，对整个 IP 包或 IP 的数据域进行安全封装，并生成带有 ESP 协议信息的 IP 包，然后将新的 IP 包发送到通信的接收方；
▶ IP AH 和 IP ESP 都有两种工作模式，即 透明模式 和 隧道模式；

▶ 透明模式只保护 IP 包中的数据域 ；

▶ 隧道模式则保护 IP 包的包头和 数据域；
◆ 密钥交换协议：

▶ IPSec 还涉及密钥管理协议，即通信双方的安全关联已经事先建立成功，建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单，双方事先对 AH 的安全密钥、 ESP安全密钥等参数达成一致，然后分别写入双方的数据库中。自动的配置方法就是双方的安全关联的各种参数由 KDC 和通信双方共同商定，共同商定的过程就必须 遵循一个共同的协议，这就是密钥管理协议。目前， IPSec 的相关密钥管理协议主要有互联网密钥交换协议 IKE 、互联网安全关联与密钥管理协议 ISAKMP 、密钥交换协议 Oakley；
（6）SSL ：
◆ SSL 是一种应用于传输层的安全协议，用于构建客户端 VPN 技术原理与应用 和 服务端之间的安全通道；包含握手协议、密码规格变更协议、报警协议和记录层协议；

▶ 握手协议：用于身份鉴别和安全参数协商；

▶ 密码规格变更协议：用于通知安全参数的变更；

▶ 报警协议：用于关闭通知和对错误进行报警；

▶ 记录层协议：用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等；

◆ SSL 协议是介于 应用层 和 TCP 层之间的安全通信协议；

◆ SSL 协议提供三种安全通信服务：

▶ 保密性通信：握手协议产生秘密密钥 (secret key) 后才开始加 、解密数据 。数据的加、 解密使用 对称式密码算法，例如 DES，AES 等；

▶ 点对点之间的身份认证：采用非对称式密码算法，例如 RSA，DSS 等；

▶ 可靠性通信：信息传送时包含信息完整性检查，使用有密钥保护的消息认证码 (简称 MAC) MAC 的计算采用安全杂凑函数，例如 SHA，MD5；
◆ SSL 记录协议的数据处理过程：

▶ SSL 将数据 (data) 分割成可管理的区块长度；

▶ 选择是否要将已分割的数据压缩；

▶ 加上消息认证码 (MAC)；

▶ 将数据加密，生成即将发送的消息；

▶ 接收端将收到的消息解密、验证、解压缩，再重组后传送至较高层（例如应用层）， 即完成接收；
（7）PPTP ：
◆ PPTP 它是一个点到点安全隧道协议。该协议的目标是给电话上网的用户提供 VPN 安全服务；
（8）L2TP ：

◆ L2TP 用于保护设置 L2TP-enabled 的客户端和服务器的通信。客户端要求安装 L2TP 软件， L2TP 采用专用的隧道协议，该协议运行在 UDP 1701 端口；
VPN 主要产品与技术指标：
（1）VPN 主要产品：
◆ IPSec VPN：

▶ IPSec VPN 产品的工作模式：支待 隧道模式 和 传输模式 ，其中隧道模式适用于主机和网关实现，传输模式是可选功能，仅适用于主机实现；

◆ SSL VPN：

▶ SSL VPN 产品的工作模式分为：客户端－服务端模式、网关－网关模式两种；
（2）VPN 产品主要技术指标：
◆ 国家密码管理局颁布了《IPSec VPN 技术规范》《SSL VPN 技术规范》，对 IPSec VPN 和 SSL VPN 提出了要求，主要内容介绍如下：
◆ 密码算法要求：

IPSec VPN 使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和 随机数生成算法，算法及使用方法如下：

▶ 非对称密码算法：使用 1024 比特 RSA 算法或 256 比特 SM2 椭圆曲线密码算法，用于实体验证、数字签名和数字信封等；

▶ 对称密码算法：使用 128 比特分组的 SM1 分组密码算法，用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式；

▶ 密码杂凑算法：使用 SHA-1 算法或 SM3 密码杂凑算法，用于对称密钥生成和完整性校验。其中， SM3 算法的输出为 256 比特；

▶ 随机数生成算法：生成的随机数应能通过《随机性检测规范》规定的检测；

SSL VPN 算法及使用方法如下：

▶ 非对称密码算法：包括 256 位群阶 ECC 椭圆曲线密码算法 SM2 IBC 标识密码算法 SM9 和 1024 位以上 RSA 算法；
▶ 分组密码算法：为 SMl 算法，用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式；

▶ 密码杂凑算法：包括 SM3 算法和 SHA-1 算法，用于密钥生成和完整性校验；
◆ VPN 产品功能要求：
▶ IPSec VPN 的主要 功能 包括：随机数生成、密钥协商、安全报文封装、NAT 穿越、身份鉴别。身份认证数据应支持数字证书或公私密钥对方式， IP 协议版本应支持 IPv4 协议或 IPv6 协议；

▶ SSL VPN 的主要 功能 包括：随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查；
◆ VPN 产品性能要求：

▶ IPSec VPN 主要 性能 指标：

（1）加解密吞吐率；（2）加解密时延；（3）加解密丢包率；（4）每秒新建连接数 ；

▶ SSL VPN 主要 性能 指标：

（1）最大并发用户数；（2）最大并发连接数；（3）每秒新建连接数；（4）吞吐率；

VPN 技术应用：
VPN 应用场景 ：
◆ VPN 可分为 种应用类型：远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) ， 企业扩展虚拟网 CExtranet VPN)
（1）远程安全访问：
◆ Access VPN 主要解决远程用户安全办公问题，远程办公用户既要能远程获取到企业内部网信息，又要能够保证用户和企业内网的安全 远程用户利用 VPN 技术，通过拨号、 ISDN 等方式接入公司内部网。 Access VPN 般包含两部分，远程用户 VPN 客户端软件和 VPN 接入设备；（人）

（2）构建内部安全专网：
◆ Intranet VPN 的用途就是通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全互联起来，实现企业内部信息的安全共享和企业办公自动化。（分公司）

（3）外部网络安全互联：
◆ Extranet VPN 则是利用 VPN 技术，在公共通信基础设施（如因特网）上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务。 Extranet VPN 解决了企业外部机构接入安全和通信安全的问题，同时也降低了网络建设成本。（合作伙伴）

学习书籍：信息安全工程师教程.
————————————————

                        版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

原文链接：https://blog.csdn.net/weixin_54977781/article/details/132344087