下载掌阅APP,畅读海量书库
立即打开
VPN是在Internet等公共网络基础上,综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。
1.隧道技术
隧道技术是VPN的核心技术 ,是一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式,在隧道(虚拟通道)一端将数据进行封装,然后通过已建立的隧道进行传输。在隧道另一端,进行解封装并将还原的原始数据交给端设备。在VPN连接中,可根据需要创建不同类型的VPN隧道,包括自愿隧道和强制隧道两种。
网络隧道协议可以建立在网络体系结构的第二层或第三层。第二层隧道协议用于传输本层网络协议,主要应用于构建远程访问虚拟专网(Access VPN);第三层隧道协议用于传输本层网络协议,主要应用于构建企业内部虚拟专网(Intranet VPN)和扩展的企业内部虚拟专网(Extranet VPN)。第二层隧道协议先将各种网络协议封装在点到点协议PPP中,再将整个数据包装入隧道协议。这种双层封装方法形成的数据包通过第二层协议进行传输。第二层隧道协议主要有3种:点对点隧道协议(Point to Point Tunneling Protocol,PPTP)、二层转发协议(Layer 2 Forwarding,L2F)和二层隧道协议(Layer 2 Tunneling Protocol,L2TP)。L2TP是目前IETF的标准,由IETF融合PPTP与L2F而形成。
(1)L2TP的组成
L2TP主要由L2TP接入集中器(L2TP Access Concentrator,LAC)与L2TP网络服务器LNS 构成 。LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,一般为一个网络接入服务器NAS。可为用户通过PSTN/ISDN提供网络接入服务。LNS是PPP端系统上用于处理L2TP服务器端部分的软件。在LNS和LAC对之间存在两种类型的连接,一是隧道连接,定义一个LNS和LAC对;二是会话连接,复用在隧道连接上,用于表示承载在隧道连接中的每个PPP会话过程。
(2)L2TP的特点
1)安全性高。L2TP可选择CHAP及PAP等多种身份验证机制,继承PPP的所有安全特性,L2TP还可对隧道端点进行验证,使通过它所传输的数据更加安全。根据特定的网络安全要求,还可以方便地在其上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高安全性。
2)可靠性强。L2TP可支持备份LNS,当一个主LNS不可达后,接入服务器重新与备份LNS连接,可增加VPN服务的可靠性和容错性。
3)统一网络管理。L2TP可统一采用SNMP网络管理,便于网络维护与管理。
4)支持内部地址分配。LNS可部署在企业网的防火墙后,可对远端用户地址动态分配和管理,支持DHCP和私有地址应用等。远端用户所分配的地址并非Internet地址而是企业内部私有地址,可以方便地址的管理并增强安全性。
5)网络计费便利。在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业处(用于付费及审计)。L2TP可提供数据传输的出入包数、字节数,以及连接的起始、结束时间等计费数据,便于网络计费。
第三层隧道技术在网络层进行数据封装,即利用网络层的隧道协议将数据进行封装,封装后的数据再通过网络层协议传输。第三层隧道协议包括(Generic Routing Encapsulation,GRE)和IP层加密标准协议(Internet Protocol Security,IPSec)协议。
知识拓展
GRE及IPSec的用途
2.加解密技术
为了保障重要数据在公共网络传输的安全,VPN采用了加密机制。 常用的信息加密体系 主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用,利用非对称加密技术进行密钥协商和交换,利用对称加密技术进行数据加密。
(1)对称密钥加密
对称密钥加密 也称 共享密钥加密 ,是指加密和解密以相同密钥完成,数据的发送者和接收者拥有共同的密钥。发送者先将要传输的数据用密钥加密为密文,然后在公共信道上传输,接收者收到密文后用相应的密钥解密成明文。由于加密和解密的密钥相同,所以此加密算法安全性的关键在于密钥获得者是否授权。密钥一旦泄露,无论其算法与设计如何,密文仍可被轻易破解。此加密方法的 优点 是运算相对简单、速度快,适合于加密大量数据的情况。 缺点 是密钥的管理较为复杂。
(2)非对称密钥加密
非对称密钥加密
是指加密和解密采用不同的密钥完成,数据的发送者和接收者拥有不同的两个密钥:一个公钥,一个私钥。其算法也称
公钥加密
。公钥可以在通信双方之间公开传递,或在公共网络上发布,但相关的私钥必须保密。利用公钥加密的数据只有使用私钥才可以解密,而私钥加密的数据只有使用公钥才可以认证。
知识拓展
非对称密钥加密优缺点
注意:
非对称算法采用复杂的算法处理,占用更多的处理器资源,运算速度较慢。非对称算法不适合加密大量数据,而是经常用于对关键数据的加密,如对称密钥在密钥分发时采用非对称算法。非对称加密算法和散列算法结合使用,可生成数字签名。
3.密钥管理技术
密钥的管理极为重要 。密钥的分发采用手工配置和密钥交换协议动态分发两种方式。手工配置要求密钥更新不宜频繁,否则会增加大量管理工作量,所以,它只适合于简单网络。软件方式动态生成密钥可用于密钥交换协议,以保证密钥在公共网络上安全传输,适合于复杂网络,且密钥可快速更新,极大地提高了VPN应用安全。
主要密钥交换与管理标准为(Simple Key Management for IP,SKIP)和Internet安全联盟及密钥管理协议ISAKMP/Oakley(Internet Security Association and Key Management Protoco)。SKIP由SUN公司(已被甲骨文收购)研发,主要利用Diffie-Hellman算法通过网络传输密钥。在ISAKMP/Oakley中,Oakley定义辨认及确认密钥,ISAKMP定义分配密钥方法。
4.身份认证技术
在VPN实际应用中,身份认证技术包括信息认证和用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性,用户身份认证用于鉴别用户身份的真实性。采用身份认证技术主要有PKI体系和非PKI体系。PKI体系主要用于信息认证,非PKI体系主要用于用户身份认证。PKI体系通过数字证书认证中心(Certificate Authority,CA),采用数字签名和哈希函数保证信息的可靠性和完整性。如SSL VPN是利用PKI支持的SSL协议实现应用层VPN安全通信。非PKI体系一般采用“用户名+口令”的模式, VPN采用的非PKI体系认证方式 主要有以下6种。
1)密码认证协议(Password Authentication Protocol,PAP)。客户端直接发送含用户名/口令的认证请求,服务器端处理并回应。优点是易于实现,缺点是用明文传送不安全。
2)Shiva密码认证协议(Shiva Password Authentication Protocol,SPAP)。SPAP是一种由Shiva公司开发的受Shiva远程访问服务器支持的简单加密密码身份验证协议。其安全性比PAP好,缺点是单向加密、单向认证,安全性较差,经过加密的密码仍可能被破解,通过认证后不支持Microsoft点对点加密(MPPE)。
3)询问握手认证协议(Challenge Handshake Authentication Protocol,CHAP)。服务器端先给客户端发送一个随机码challenge,客户端根据challenge对自己掌握的口令、challenge和会话ID调用MD5函数进行单向散列,然后将此结果发送给服务器端。服务器端从数据库中取出库存口令password2,并同样处理,最后比较加密结果,若相同,则认证通过。该方法的安全性相对SPAP有很大改进,不用将密码发送到网上。
4)微软询问握手认证协议(Microsoft Challenge Handshake Authentication Protocol,MS-CHAP)。它是由微软公司针对Windows系统设计的,利用(Microsoft Point-to-Point Encryption,MPPE)加密方法将用户的密码和数据同时加密后再发送。
5)微软询问握手认证协议第2版(Microsoft Challenge Handshake Authentication Protocol v2,MS-CHAP v2)。可提供双向身份验证和初始数据密钥,发送和接收分别使用不同的密钥。若将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,则客户端和服务器端都要证明身份,若所连接的服务器不提供身份验证,则连接将被断开。
6)扩展身份认证协议(Extensible Authentication Protocol,EAP)。可增加对许多身份验证方案的支持,包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法是和智能卡一起使用“可扩展身份验证协议—传输层安全协议”,即EAP-TLS认证。