2.1 VPN概述

1. VPN 概述

VPN虛擬專用網(wǎng)：在ISP運(yùn)營商公用網(wǎng)絡(luò)中搭建專用的安全數(shù)據(jù)通道

VPN：隧道 – 封裝技術(shù)

常見VPN：IPSec VPN、MPLS VPN、GRE VPN、SangFor VPN、PPTP VPN、L2TP VPN / L2F VPN

2. VPN分類

1）按應(yīng)用場景分（業(yè)務(wù)類型）

Client-LAN VPN（access VPN）客戶端到網(wǎng)絡(luò)：PPTP VPN、L2TP VPN / L2F VPN、SSL VPN、IPSec VPN

LAN-LAN VPN網(wǎng)絡(luò)到網(wǎng)絡(luò)：IPSec VPN / SangFor VPN、GRE VPN、MPLS VPN

2）按層次劃分

應(yīng)用層：SSL VPN

傳輸層：SangFor VPN

網(wǎng)絡(luò)層：GRE VPN、IPSec VPN

2.5層VPN：MPLS VPN

數(shù)據(jù)鏈路層：PPTP VPN、L2TP VPN／L2F VPN

3. VPN常用技術(shù)

隧道技術(shù)、加密技術(shù)、身份認(rèn)證技術(shù)、數(shù)據(jù)認(rèn)證技術(shù)、密鑰管理技術(shù)

1. 隧道技術(shù)

隧道：是在公共通信網(wǎng)絡(luò)上構(gòu)建的一條數(shù)據(jù)路徑，可以提供與專用通信線路等同的連接特性。

1）隧道技術(shù)

是指在隧道的兩端通過封裝以及解封裝技術(shù)在公網(wǎng)上建立一條數(shù)據(jù)通道，使用這條通道對數(shù)據(jù)報(bào)文進(jìn)行傳輸。隧道是由隧道協(xié)議構(gòu)建形成的。隧道技術(shù)是VPN技術(shù)中最關(guān)鍵的技術(shù)。

2）多隧道技術(shù)比較

2. 加密技術(shù)

1）加密技術(shù)概念

目的：即使信息被竊聽或者截取，攻擊者也無法知曉信息的真實(shí)內(nèi)容?？梢詫咕W(wǎng)絡(luò)攻擊中的被動攻擊。

通常使用加密機(jī)制來保護(hù)信息的保密性，防止信息泄密。信息的加密機(jī)制通常是建立在密碼學(xué)的基礎(chǔ)上。

從明文到密文的過程一般是通過加密算法加密進(jìn)行的。

從變密文到明文，稱為脫密（解密）變換。

2）加密算法分類

• 對稱加密算法：加密和解密使用的秘鑰相同

  • IDEA算法：國際加密算法–密鑰長度128位
  • RC系列算法：RC2／4／5／6：RC2為序列加密，其余三種為分組加密
  • AES算法：高級加密標(biāo)準(zhǔn)–密鑰長度128位、192位、256位加密64位明文
  • DES算法：數(shù)據(jù)加密標(biāo)準(zhǔn)–使用56bit密鑰加密64位明文變成64位密文
  • 3DES算法：進(jìn)行3次加密、解密，56位密鑰加密64位明文，再用另外56位密鑰解密密文，再用第三個(gè)56位密鑰加密

  DES加密快，3DES安全，AES既快又安全

• 非對稱加密算法（公鑰加密算法）：一對公鑰和私鑰，使用任意一個(gè)秘鑰加密，另一個(gè)秘鑰解密，公鑰可以分發(fā)給一部分人，私鑰永遠(yuǎn)掌握在自己手里

  • RSA
  • DH：Diffie-Hellman 密鑰交換算法
  • ECC：橢圓曲線算法

• 散列算法：哈希算法hash–不可逆，雪崩效應(yīng) – 完整性校驗(yàn)

  • MD5–將原文變?yōu)?6bit的密文
  • SHA-1–128位
  • SHA-2–128，256，384等

3）對稱加密算法和非對稱加密對比

對稱加密：對稱加密速度快、密鑰分發(fā)不安全、密鑰多難以管理

非對稱加密：加密速度慢、密鑰分發(fā)安全

3. 身份認(rèn)證技術(shù)

1）身份認(rèn)證概述

身份認(rèn)證：通過標(biāo)識和鑒別用戶的身份，防止攻擊者假冒合法用戶來獲取訪問權(quán)限。

身份認(rèn)證技術(shù)：是在網(wǎng)絡(luò)中確認(rèn)操作者身份的過程而產(chǎn)生的有效解決方法。

2）數(shù)字信封

數(shù)字信封：使用對方的公鑰加密對稱密鑰；將密文和加密后的對稱密鑰發(fā)給對方

3）數(shù)字簽名

識別（對比）步驟：

a. 甲使用乙的公鑰加密明文變?yōu)槊芪?/p>

b. 甲使用HASH算法得出key1

c. 甲使用自己的私鑰加密key1為數(shù)字簽名

d. 甲將密文及數(shù)字簽名發(fā)送給乙

e. 乙收到后使用自己的私鑰解密密文變?yōu)槊魑?/p>

f．乙將明文做HASH計(jì)算得出key2

g．乙使用甲的公鑰解密數(shù)字簽名得出key1

h．對比key1和key2，一致標(biāo)明數(shù)據(jù)完整，不一致標(biāo)明數(shù)據(jù)被修改

4）數(shù)字證書

數(shù)字證書：包含公鑰和使用者的身份信息、頒發(fā)者CA、有效期、數(shù)字證書等

CA證書認(rèn)證機(jī)構(gòu)：負(fù)責(zé)頒發(fā)證書

PKI公鑰基礎(chǔ)設(shè)施體系：證書管理平臺 – 只要應(yīng)用電子商務(wù)

PKI：終端實(shí)體、CA證書認(rèn)證機(jī)構(gòu)、RA證書注冊機(jī)構(gòu)、證書 / CRL存儲庫

數(shù)字證書分類：

• 根證書：CA機(jī)構(gòu)自己給自己頒發(fā)的證書

• 設(shè)備證書：CA機(jī)構(gòu)頒發(fā)給服務(wù)器的證書

• 用戶證書：CA機(jī)構(gòu)頒發(fā)給個(gè)人的證書

5）數(shù)據(jù)傳輸安全步驟

傳輸步驟說明：

發(fā)送端：

1. 發(fā)送端將原始信息通過HASH算法得到摘要（指紋/Key值），摘要（指紋/Key值）通過發(fā)送端私鑰加密得到數(shù)字簽名

2. 原始數(shù)據(jù)、數(shù)字簽名和發(fā)送端證書（發(fā)送端公鑰）采用對稱密鑰加密得到加密信息

3. 對稱密鑰在通過接收端的公鑰進(jìn)行加密得到密鑰信封

傳輸：

4. 將密鑰信封和加密信息通過公網(wǎng)發(fā)送到接收端

接收端：

5. 接收端用自己的私鑰解密出對稱密鑰
6. 用解密出來的對稱密鑰解密加密信息得到原始信息、數(shù)字簽名和發(fā)送端的證書（發(fā)送端公鑰）
7. 數(shù)字簽名用發(fā)送端證書（發(fā)送端公鑰）解密得到摘要（指紋/key1）
8. 用得到的原始信息用HASH算法得到另一個(gè)摘要（指紋/key2）
9. 比較key1和key2值是否相同。相同則數(shù)據(jù)完整；不同則數(shù)據(jù)不完整，重新請求數(shù)據(jù)

2.2 IPSec VPN解決方案

1. IPSec協(xié)議簇安全框架 – IPSec VPN概述

1）IPSec VPN 簡介

IPSec（Internet Protocol Security）：是一組基于網(wǎng)絡(luò)層的，應(yīng)用密碼學(xué)的安全通信協(xié)議族。IPSec不是具體指哪個(gè)協(xié)議，而是一個(gè)開放的協(xié)議族。

IPSec協(xié)議的設(shè)計(jì)目標(biāo)：保證IP層之上的數(shù)據(jù)安全

IPSec VPN：是基于IPSec協(xié)議族構(gòu)建的在IP層實(shí)現(xiàn)的安全虛擬專用網(wǎng)。通過在數(shù)據(jù)包中插入一個(gè)預(yù)定義頭部的方式，來保障OSI上層協(xié)議數(shù)據(jù)安全，主要用于保護(hù)TCP、UDP、ICMP和隧道的IP數(shù)據(jù)包。

2）IPSec提供的安全服務(wù) – IPSec VPN功能

IPSec VPN功能：保密性、完整性、數(shù)據(jù)源驗(yàn)證、不可否認(rèn)性、防重放（重傳攻擊保護(hù)）

3）IPSec架構(gòu)

ESP協(xié)議、AH協(xié)議、IKE密鑰交換

4）IPSec協(xié)議族

2. IPSec 工作模式

1）傳輸模式

傳輸模式數(shù)據(jù)包格式

應(yīng)用場景：適用于主機(jī)到主機(jī)之間端到端通信的數(shù)據(jù)保護(hù)

2）隧道模式

隧道模式數(shù)據(jù)包格式

應(yīng)用場景：經(jīng)常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通信，建立安全VPN通道。

3. IPSec 通信協(xié)議

1）AH協(xié)議

AH認(rèn)證頭協(xié)議 – 協(xié)議號51

AH功能：完整性、數(shù)據(jù)源驗(yàn)證（共享密鑰）、抗重放攻擊

AH報(bào)文結(jié)構(gòu)

• 下一個(gè)頭部：AH報(bào)頭里封裝的協(xié)議，TCP：6，UDP：17，ICMP：1
• 負(fù)載長度：AH報(bào)頭的長度
• 保留：0
• 安全參數(shù)索引SPI：標(biāo)識SA安全聯(lián)盟
• 序列號：一串?dāng)?shù)值，要求不同，用來防重放
• 認(rèn)證數(shù)據(jù)：存放完整性校驗(yàn)的Key值

傳輸模式下的AH封裝 – 認(rèn)證內(nèi)容整個(gè)IP報(bào)文

隧道模式下的AH封裝

2）ESP協(xié)議

ESP封裝安全載荷協(xié)議–協(xié)議號50

ESP功能：完整性、數(shù)據(jù)源驗(yàn)證、防重放、保密性、有限的數(shù)據(jù)流保護(hù)

ESP報(bào)文結(jié)構(gòu)

• 下一個(gè)頭部：ESP報(bào)頭里封裝的協(xié)議，TCP：6，UDP：17，ICMP：1
• 負(fù)載長度：ESP報(bào)頭的長度
• 保留：0
• 安全參數(shù)索引SPI：標(biāo)識SA安全聯(lián)盟
• 序列號：一串?dāng)?shù)值，要求不同，用來防重放
• 填充：加密算法都是分組加密，所以不夠一組時(shí)，需要填充
• 認(rèn)證數(shù)據(jù)：存放完整性校驗(yàn)的Key值

傳輸模式下的ESP封裝

• 驗(yàn)證內(nèi)容：從ESP頭到ESP尾
• 加密內(nèi)容：從ESP頭之后到ESP尾

隧道模式下ESP封裝

• 驗(yàn)證內(nèi)容：從ESP頭到ESP尾
• 加密內(nèi)容：從ESP頭之后到ESP尾

3）AH和ESP區(qū)別

4. IPSec VPN 建立階段

資料地址-IPSec原理

1）IKE 協(xié)商階段

安全聯(lián)盟SA

• 定義：SA（Security Association）是通信對等體間對某些要素的約定（加密算法、認(rèn)證算法、工作模式等協(xié)商） ，通信的雙方符合SA約定的內(nèi)容，就可以建立SA。
• SA由三元組來唯一標(biāo)識，包括：SPI安全參數(shù)索引（32bit數(shù)值）、目的IP地址、安全協(xié)議號

IKE因特網(wǎng)密鑰交換管理協(xié)議：自動建立SA安全聯(lián)盟和交換管理密鑰

IKE協(xié)議包含的協(xié)議：

• ISAKMP協(xié)議（因特網(wǎng)安全聯(lián)盟密鑰管理系統(tǒng)）–應(yīng)用層協(xié)議，封裝在UDP，源目端口號500

• OAKLEY（密鑰交換協(xié)議） – 基于到達(dá)兩個(gè)對等體間的加密密鑰交換機(jī)制

• SKEME（密鑰交換協(xié)議）– 實(shí)現(xiàn)公鑰加密認(rèn)證的機(jī)制

第一階段：IKE協(xié)商（IKE SA）協(xié)商加密算法，驗(yàn)證算法等，用于保護(hù)IPSec SA協(xié)商

第一階段 – IKE SA建立 – 存活時(shí)間3600秒，1小時(shí)

① 主模式–6次信息交互

• 第1，2次：發(fā)送IKE安全提議（安全參數(shù)：加密算法、驗(yàn)證算法、工作模式、安全協(xié)議、DH組、認(rèn)證機(jī)制–預(yù)共享等）
• 第3，4次：發(fā)送密鑰計(jì)算素材、材料（g，p，A，B隨機(jī)數(shù)）
• 第5，6次：身份驗(yàn)證信息（加密）

② 野蠻模式–3次信息交互

• 第1次：發(fā)送IKE安全提議，DH計(jì)算密鑰素材，身份信息
• 第2次：發(fā)送IKE安全提議，DH計(jì)算密鑰素材，身份信息，HASH值（將消息1加消息2做HASH計(jì)算）
• 第3次：確認(rèn)結(jié)束（對比HASH值，一致確認(rèn)）

③ 主模式和野蠻模式對比

第二階段：IPSec協(xié)商（IPSec SA）協(xié)商加密算法，驗(yàn)證算法等，用于保護(hù)用戶數(shù)據(jù)

第二階段 – IPSec SA – 快速模式

• 第1次：發(fā)送IPSec安全提議（加密算法、驗(yàn)證算法、傳輸模式、生存時(shí)間、安全協(xié)議），DH計(jì)算密鑰素材，身份信息
• 第2次：發(fā)送IPSec安全提議，DH計(jì)算密鑰素材，身份信息，HASH值（將消息1加消息2做HASH計(jì)算）
• 第3次：確認(rèn)結(jié)束（對比HASH值，一致確認(rèn)）

2）數(shù)據(jù)傳輸階段

DPD對等體失效檢測：檢測IKE SA對端是否正常

DPD檢測機(jī)制：空閑計(jì)時(shí)器機(jī)制，如果VPN正常發(fā)送及接收IPSec VPN的加密報(bào)文，會重置、刷新計(jì)時(shí)器

如果長時(shí)間未收到VPN的報(bào)文，超時(shí)后，再次發(fā)送VPN報(bào)文時(shí)，先發(fā)送DPD報(bào)文檢測對方是否存活

對方回復(fù)，表示存活發(fā)送報(bào)文

對方未回復(fù)，連續(xù)檢測5次，仍未回復(fù)，即可刪掉該IKE SA文章來源地址http://www.zghlxwxcb.cn/news/detail-816613.html

到了這里，關(guān)于第二章-數(shù)據(jù)傳輸安全的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！