搜索
VPN原理简介VPN(VirtualPrivateNetwork)是指通过综合利用访问控制技术和加密技术,并通过一定的密钥管理机制,在公共网络中建立起安全的“专用”网络,保证数据在“加密隧道”中进行安全传输的技术。合作伙伴/客户公司总部办事处/SOHO互联网络VPN通道VPN设备VPN设备VPN设备VPNclientDDNADSLVPN概念VPN技术分类•基于运营商的VPN–MPLSVPN•基于用户设备的VPN–PPTP/L2TP/IPSECVPN•基于浏览器的VPN–SSLVPNMPLSVPN•缺点:–对运营商初始投入巨大–线路路租用费昂贵–只能针对专线用户,不支持移动用户–对数据不加密,只隔离,安全性比较差•优点–Qos性能好,流量和时延可控,适合视频/语音应用–性能高–应用对用户透明–由运营商维护和管理PPTP/L2TPVPN•缺点:–第一代VPN,技术没有延续性–扩展性差,没有内在的安全机制–加密强度不够,无认证机制,安全程度低–只能实现点对网络访问,网--网互访无法做到–最多只能连接255个用户–将会在未来IPv6时代被淘汰•优点:–内置于Windows系统中,简单易行–广泛被电信采用于VPDN方案SSLVPN•缺点:–无法实现“网络-网络”的安全互联–应用层加密,性能比较差–需要CA的支持,企业必须自己管理CA系统•优点:–对比IPSecVPN,认证方式更为灵活(口令、RADIUS、令牌等);–基于web的VPN连接,简单易行IPSECVPN•主流的VPN技术–能实现网对网互连以及移动接入互连–对绝大多数应用透明–硬件实现,性能高–国际加密标准+国内密码算法,安全性高–基于Internet,构架时没有地域限制–配置相对复杂–管理需要成本应用层表示层会晤层传输层网络层数据链路层物理层应用层表示层会晤层传输层网络层数据链路层物理层网络层攻击数据链路攻击应用层攻击SSLSSLVPN(Ipsec&IKE)PPTP,L2TP,MPLS信道加密安全协议基于OSI参考模型的IPSECVPN技术密钥体系•对称密钥(单密钥)交换体系–3DES/AES/国产加密标准–128位加密算法,破解非常困难–密码只有6个小时有效期,即使破解也无用•非对称密钥(公钥)交换体系(IKE)–解密的钥匙(私钥)不外泻,无法被窃取和破解–使用国际标准的RSA加密协议(D-H运算)接受方(A)发送方(B)私钥公钥公钥传输接受方(A)发送方(B)密文密钥密钥公钥数据密文传输数据公钥数据数据密文传输接受方VPN处理流程数据HASH摘要密码发送端私钥接受端公钥加密密码签名数据3DES加密密文发送方签名接受端私钥发送端公钥密码摘要密文数据3DES解密HASH摘要①完整性得到验证②不可抵赖性得到验证③私密性得到验证认证中心(CA)传统的基于“预共享密钥”的通讯模式左边的6个VPN设备相互通讯,需要约定15个密钥;建设N个节点相互通讯,需要N*(N-1)/2个密钥基于“数字证书”的通讯模式(适合大规模VPN设备互联模式)CA:(certificateauthority)作为电子商务交易中受信任的第3方,承担数字证书的签发和验证。--网络上的公安局;数字证书:网络通讯中标志通讯各方身份信息的一系列数据,由CA机构颁发和验证。--网络上的身份证;基于公钥基础设施(PKI)的VPN网络平台合作伙伴/客户公司总部办事处/SOHO公共网络PKIGWPKIGWPKIGWCA中心个人证书载体SecureclientVPN通道IPSECVPN原理IPSECVPN特性•节点对节点互连(NodeToNode)–只负责网络的安全互连,不负责用户权限分配(不同于SSLVPN)–完全对等的互连网络,不能阻挡内网攻击(所以我们自带防火墙)•对上层应用完全透明–基于IP的VPN,不干涉上层应用–对IP上层的信息完全加密,使黑客攻击无从下手•只能运行于基于IP的网络–对复杂网络环境进行了优化,适合IP资源短缺的国内现状–如要在SDH(同轴电缆)、ATM(光纤)等其他网络上运行,需要转换IP的转换器–MPLS等网络有自己的VPNIP封装的建立过程传送模式通道模式IP头IPsec头DATAIP新头IPsec头DATAIP头Internet密钥交换(IKE)简介•IKE(InternetKeyExchange)互联网密钥交换•IKE用于IPSEC的前期预协商,IKE协商后才能开始IPSEC协商•IKE用于认证密钥,确认双方身份–IKE用于认证VPN设备–IPSEC用于加密数据,认证信息IKE交互过程IKE分两个阶段:阶段1交换:IKESA--建立一个已通过身份验证和安全保护的通道;交换模式:主模式、野蛮模式;阶段2交换:IPsecSA--通过已建立的通道用于为另一个不同协议协商安全服务;交换模式:快速模式;网关工作原理安全策略报文加密报文签名IP封装安全策略报文解密报文验证装配还原明文明文公共网络