信息安全：VPN 技术原理与应用.

VPN 是网络通信安全保护的常用技术。VPN 中文翻译为“虚拟专用网”，其基本技术原理是把需要经过公共网传递的报文 (packet) 加密处理后，再由公共网络发送到目的地。利用VPN 技术能够在不可信任的公共网络上构建条专用的安全通道，经过 VPN 传输的数据在公共网上具有保密性。所谓“虚拟”指网络连接特性是逻辑的而不是物理的。 VPN 是通过密码算法、标识鉴别、安全协议等相关的技术，在公共的物理网络上通过逻辑方式构造出来的安全网络。

VPN 概述：

（1）VPN 安全功能：

◆ VPN 主要的安全服务有以下 3 种：

▶ 保密性服务：防止传输的信息被监听；

▶ 完整性服务：防止传输的信息被修改；

▶ 认证服务：提供用户和设备的访问认证，防止非法接入；

（2）VPN 发展：

◆ 未来 VPN 产品的技术动向具有以下特点：

▶ VPN 客户端尽量简化，将出现“零客户端“安装模式；

▶ VPN 网关一体化，综合集成多种接入模式，融合多种安全机制和安全功能；

▶ VPN 产品可能演变成可信网络产品；

▶ VPN 提供标准安全管理数据接口，能够纳入 SOC 中心进行管理控制；

（3）VPN 技术风险：

◆ VPN 产品代码实现的安全缺陷：

▶ VPN 产品的实现涉及多种协议、密码算法等，编程处理不当，极易导致代码安全缺陷，从而使得 VPN 产品出现安全问题。例如， Open SSL Heartbleed 漏洞可以让远程攻击者暴露敏感数据；

◆ VPN 密码算法安全缺陷：

▶ VPN 产品如果选择非安全的密码算法或者选择不好的密码参数，都有可能导致 VPN 系统出现安全问题，不能起到安全保护的作用。例如，密钥长度不够；

◆ VPN 管理不当引发的安全缺陷：

▶ VPN 的管理不当导致密码泄露、非授权访问等问题；

VPN 类型和实现技术：

（1）VPN 类型：

◆ 链路层： VPN 的实现方式有 ATM，Frame Relay 、多协议标签交换 MPLS；

◆ 网络层： VPN 的实现方式有受控路由过滤、隧道技术；

◆ 传输层：VPN 则通过 SSL 来实现；

（2）密码算法：

◆ 目前，除了国外的 DES AES IDE RSA 等密码算法外，国产商用密码算法 SM1 SM4 分组密码算法、 SM3 杂凑算法等也都可应用到 VPN；

（3）密钥管理：

◆ 密钥的分发有两种方法：一种是通过手工配置的方式；另一种采用密钥交换协议动态分发。手工配置的方法虽然可靠，但是密钥更新速度慢，一般只适合简单网络。而密钥交换协议则采用软件方式，自动协商动态生成密钥，密钥可快速更新，可以显著提高 VPN 的安全性。目前，主要的密钥交换与管理标准有 SKIP （互联网简单密钥管理协议）和 ISAKMP / 0akley （互联网安全联盟和密钥管理协议）

（4）认证访问控制：

◆ 用户身份认证：VPN 连接建立之前， VPN 服务器对请求建立连接的 VPN 客户机进行身份验证，核查其是否为合法的授权用户；

◆ 数据完整性和合法性认证：VPN 除了进行用户认证外，还需要检查传输的信息是否来自可信源，并且确认在传输过程中信息是否经过篡改；

（5）IPSec ：

◆ IPSec Internet Protocol Security 的缩写。在 TCP/IP 协议网络中，由于 IP 协议的安全脆弱性，如地址假冒、易受篡改、窃听等， Internet 工程组（IETF) 成立了 IPSec 工作组，研究提出解决上述问题的安全方案。根据 IP 的安全需求， IPSec 工作组制定了相关的 IP 安全系列规范：认证头 (Authentication Header, 简称 AH) 、封装安全有效负荷 (Encapsulatin Security Payload, 简称 ESP) 以及密钥交换协议；

◆ IP AH：

▶ IPAH 是一种安全协议，又称为认证头协议。其安全目的是保证 IP 包的完整性和提供数据源认证，为 IP 数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。

▶ 基本方法是将 IP 包的部分内容用加密算法和 Hash 算法进行混合计算，生成一个完整性校验值，简称 ICV ，同时把 ICV 附加在 IP 包中；

◆ IP ESP ：

▶ IP ESP 也是一种安全协议，其用途在于保证 IP 包的保密性，而 IPAH 不能提供 IP 包的保密性服务

▶ 基本方法是将 IP 包做加密处理，对整个 IP 包或 IP 的数据域进行安全封装，并生成带有 ESP 协议信息的 IP 包，然后将新的 IP 包发送到通信的接收方；

▶ IP AH 和 IP ESP 都有两种工作模式，即透明模式和隧道模式；

▶ 透明模式只保护 IP 包中的数据域；

▶ 隧道模式则保护 IP 包的包头和数据域；

◆ 密钥交换协议：

▶ IPSec 还涉及密钥管理协议，即通信双方的安全关联已经事先建立成功，建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单，双方事先对 AH 的安全密钥、 ESP安全密钥等参数达成一致，然后分别写入双方的数据库中。自动的配置方法就是双方的安全关联的各种参数由 KDC 和通信双方共同商定，共同商定的过程就必须遵循一个共同的协议，这就是密钥管理协议。目前， IPSec 的相关密钥管理协议主要有互联网密钥交换协议 IKE 、互联网安全关联与密钥管理协议 ISAKMP 、密钥交换协议 Oakley；

（6）SSL ：

◆ SSL 是一种应用于传输层的安全协议，用于构建客户端 VPN 技术原理与应用和服务端之间的安全通道；包含握手协议、密码规格变更协议、报警协议和记录层协议；

▶ 握手协议：用于身份鉴别和安全参数协商；

▶ 密码规格变更协议：用于通知安全参数的变更；

▶ 报警协议：用于关闭通知和对错误进行报警；

▶ 记录层协议：用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等；

◆ SSL 协议是介于应用层和 TCP 层之间的安全通信协议；

◆ SSL 协议提供三种安全通信服务：

▶ 保密性通信：握手协议产生秘密密钥 (secret key) 后才开始加、解密数据。数据的加、解密使用对称式密码算法，例如 DES，AES 等；

▶ 点对点之间的身份认证：采用非对称式密码算法，例如 RSA，DSS 等；

▶ 可靠性通信：信息传送时包含信息完整性检查，使用有密钥保护的消息认证码 (简称 MAC) MAC 的计算采用安全杂凑函数，例如 SHA，MD5；

◆ SSL 记录协议的数据处理过程：

▶ SSL 将数据 (data) 分割成可管理的区块长度；

▶ 选择是否要将已分割的数据压缩；

▶ 加上消息认证码 (MAC)；

▶ 将数据加密，生成即将发送的消息；

▶ 接收端将收到的消息解密、验证、解压缩，再重组后传送至较高层（例如应用层），即完成接收；

（7）PPTP ：

◆ PPTP 它是一个点到点安全隧道协议。该协议的目标是给电话上网的用户提供 VPN 安全服务；

（8）L2TP ：

◆ L2TP 用于保护设置 L2TP-enabled 的客户端和服务器的通信。客户端要求安装 L2TP 软件， L2TP 采用专用的隧道协议，该协议运行在 UDP 1701 端口；

VPN 主要产品与技术指标：

（1）VPN 主要产品：

◆ IPSec VPN：

▶ IPSec VPN 产品的工作模式：支待隧道模式和传输模式，其中隧道模式适用于主机和网关实现，传输模式是可选功能，仅适用于主机实现；

◆ SSL VPN：

▶ SSL VPN 产品的工作模式分为：客户端－服务端模式、网关－网关模式两种；

（2）VPN 产品主要技术指标：

◆ 国家密码管理局颁布了《IPSec VPN 技术规范》《SSL VPN 技术规范》，对 IPSec VPN 和 SSL VPN 提出了要求，主要内容介绍如下：

◆ 密码算法要求：

IPSec VPN 使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法，算法及使用方法如下：

▶ 非对称密码算法：使用 1024 比特 RSA 算法或 256 比特 SM2 椭圆曲线密码算法，用于实体验证、数字签名和数字信封等；

▶ 对称密码算法：使用 128 比特分组的 SM1 分组密码算法，用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式；

▶ 密码杂凑算法：使用 SHA-1 算法或 SM3 密码杂凑算法，用于对称密钥生成和完整性校验。其中， SM3 算法的输出为 256 比特；

▶ 随机数生成算法：生成的随机数应能通过《随机性检测规范》规定的检测；

SSL VPN 算法及使用方法如下：

▶ 非对称密码算法：包括 256 位群阶 ECC 椭圆曲线密码算法 SM2 IBC 标识密码算法 SM9 和 1024 位以上 RSA 算法；

▶ 分组密码算法：为 SMl 算法，用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式；

▶ 密码杂凑算法：包括 SM3 算法和 SHA-1 算法，用于密钥生成和完整性校验；

◆ VPN 产品功能要求：

▶ IPSec VPN 的主要功能包括：随机数生成、密钥协商、安全报文封装、NAT 穿越、身份鉴别。身份认证数据应支持数字证书或公私密钥对方式， IP 协议版本应支持 IPv4 协议或 IPv6 协议；

▶ SSL VPN 的主要功能包括：随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查；

◆ VPN 产品性能要求：

▶ IPSec VPN 主要性能指标：

（1）加解密吞吐率；（2）加解密时延；（3）加解密丢包率；（4）每秒新建连接数；

▶ SSL VPN 主要性能指标：

（1）最大并发用户数；（2）最大并发连接数；（3）每秒新建连接数；（4）吞吐率；

VPN 技术应用：

VPN 应用场景：

◆ VPN 可分为种应用类型：远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) ，企业扩展虚拟网 CExtranet VPN)

（1）远程安全访问：

◆ Access VPN 主要解决远程用户安全办公问题，远程办公用户既要能远程获取到企业内部网信息，又要能够保证用户和企业内网的安全远程用户利用 VPN 技术，通过拨号、 ISDN 等方式接入公司内部网。 Access VPN 般包含两部分，远程用户 VPN 客户端软件和 VPN 接入设备；（人）

（2）构建内部安全专网：

◆ Intranet VPN 的用途就是通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全互联起来，实现企业内部信息的安全共享和企业办公自动化。（分公司）

（3）外部网络安全互联：

◆ Extranet VPN 则是利用 VPN 技术，在公共通信基础设施（如因特网）上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务。 Extranet VPN 解决了企业外部机构接入安全和通信安全的问题，同时也降低了网络建设成本。（合作伙伴）

学习书籍：信息安全工程师教程.