信息安全:VPN 技术原理与应用.

news2024/12/27 11:09:55

信息安全:VPN 技术原理与应用.

VPN 是网络通信安全保护的常用技术。VPN 中文翻译为“虚拟专用网”,其基本技术原理是把需要经过公共网传递的报文 (packet) 加密处理后,再由公共网络发送到目的地。利用VPN 技术能够在不可信任的公共网络上构建 条专用的安全通道,经过 VPN 传输的数据在公共网上具有保密性。所谓“虚拟”指网络连接特性是逻辑的而不是物理的。 VPN 是通过密码算法、标识鉴别、 安全协议等相关的技术,在公共的物理网络上通过逻辑方式构造出来的安全网络。


目录:

信息安全:VPN 技术原理与应用.

VPN 概述:

(1)VPN 安全功能:

(2)VPN 发展:

(3)VPN 技术风险:

VPN 类型和实现技术:

(1)VPN 类型:

(2)密码算法:

(3)密钥管理:

(4)认证访问控制:

(5)IPSec :

(6)SSL :

(7)PPTP :

VPN 主要产品与技术指标:

(1)VPN 主要产品:

(2)VPN 产品主要技术指标:

VPN 技术应用:

(1)远程安全访问:

(2)构建内部安全专网:

(3)外部网络安全互联:


VPN 概述:

(1)VPN 安全功能:

◆  VPN 主要的安全服务有以下 3 种:

▶  保密性服务:防止传输的信息被监听
   
▶  完整性服务:防止传输的信息被修改
   
▶  认证服务:提供用户和设备的访问认证,防止非法接入

(2)VPN 发展:

◆  未来 VPN 产品的技术动向具有以下特点:

▶ VPN 客户端尽量简化,将出现“零客户端“安装模式;

▶ VPN 网关一体化,综合集成多种接入模式,融合多种安全机制和安全功能;

▶ VPN 产品可能演变成可信网络产品;

▶ VPN 提供标准安全管理数据接口,能够纳入 SOC 中心进行管理控制;


(3)VPN 技术风险:

◆  VPN 产品代码实现的安全缺陷
    
▶ VPN 产品的实现涉及多种协议、密码算法等,编程处理不当,极易导致代码安全缺陷,从而使得 VPN 产品出现安全问题。例如, Open SSL Heartbleed 漏洞可以让远程攻击者暴露敏感数据;
   
◆  VPN 密码算法安全缺陷
    
▶ VPN 产品如果选择非安全的密码算法或者选择不好的密码参数,都有可能导致 VPN 系统出现安全问题,不能起到安全保护的作用。例如,密钥长度不够;
    
◆  VPN 管理不当引发的安全缺陷:
    
▶ VPN 的管理不当导致密码泄露、非授权访问等问题;

VPN 类型和实现技术:

(1)VPN 类型:

◆  链路层: VPN 的实现方式有 ATM,Frame Relay 、多协议标签交换 MPLS
   
◆  网络层: VPN 的实现方式有受控路由过滤、隧道技术
   
◆  传输层:VPN 则通过 SSL 来实现;

(2)密码算法:

◆  目前,除了国外的 DES AES IDE RSA 等密码算法外,国产商用密码算法 SM1 SM4 分组密码算法、 SM3 杂凑算法等也都可应用到 VPN

(3)密钥管理:

◆  密钥的分发有两种方法:一种是通过 手工配置 的方式;另一种采用 密钥交换协议 动态分发。手工配置的方法虽然可靠,但是密钥更新速度慢,一般只适合简单网络。而密钥交换协议则采用软件方式, 自动协商动态生成密钥,密钥可快速更新,可以显著提高 VPN 的安全性。目前,主要的密钥交换与管理标准有 SKIP (互联网简单密钥管理协议)和 ISAKMP / 0akley (互联网安全联盟和密钥管理协议)

(4)认证访问控制:

◆  用户身份认证:VPN 连接建立之前, VPN 服务器对请求建立连接的 VPN 客户机进行身份验证,核查其是否为合法的授权用户

   

◆  数据完整性和合法性认证:VPN 除了进行用户认证外,还需要检查传输的信息是否来自可信源,并且确认在传输过程中信息是否经过篡改;


(5)IPSec :

◆  IPSec Internet Protocol Security 的缩写。在 TCP/IP 协议网络中,由于 IP 协议的安全脆弱性,如地址假冒、易受篡改、窃听等, Internet 工程组 (IETF) 成立了 IPSec 工作组,研究提出解决上述问题的安全方案。根据 IP 的安全需求, IPSec 工作组制定了相关的 IP 安全系列规范:认证头 (Authentication Header, 简称 AH) 、封装安全有效负荷 (Encapsulatin Security Payload, 简称 ESP) 以及密钥交换协议;
    

◆  IP AH:

▶ IPAH 是一种安全协议,又称为认证头协议。其安全目的是 保证 IP 包的完整性 和 提供数据源认证,为 IP 数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务

▶ 基本方法将 IP 包的部分内容用加密算法 Hash 算法进行混合计算,生成一个完整性校验值,简称 ICV  ,同时把 ICV 附加在 IP 包中;


◆  IP ESP :
  
▶  IP ESP 也是一种安全协议,其用途在于保证 IP 包的保密性,而 IPAH 不能提供 IP 包的保密性服务 
▶ 基本方法是将 IP 包做加密处理,对整个 IP 包或 IP 的数据域进行安全封装,并生成带有 ESP 协议信息的 IP 包,然后将新的 IP 包发送到通信的接收方;
▶  IP AH 和 IP ESP 都有两种工作模式,即 透明模式 和 隧道模式
    
▶  透明模式只保护 IP 包中的数据域
    
▶  隧道模式则保护 IP 包的包头和 数据域
◆  密钥交换协议:
   
▶  IPSec 还涉及密钥管理协议,即通信双方的安全关联已经事先建立成功建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单,双方事先对 AH 的安全密钥、 ESP安全密钥等参数达成一致,然后分别写入双方的数据库中。自动的配置方法就是双方的安全关联的各种参数由 KDC 和通信双方共同商定,共同商定的过程就必须 遵循一个共同的协议,这就是密钥管理协议。目前, IPSec 的相关密钥管理协议主要有互联网密钥交换协议 IKE 、互联网安全关联与密钥管理协议 ISAKMP 、密钥交换协议 Oakley

(6)SSL :

◆  SSL 是一种应用于传输层的安全协议,用于构建客户端 VPN 技术原理与应用 和 服务端之间的安全通道;包含握手协议、密码规格变更协议、报警协议和记录层协议;
   
▶  握手协议:用于身份鉴别和安全参数协商
   
▶  密码规格变更协议:用于通知安全参数的变更
   
▶  报警协议:用于关闭通知和对错误进行报警
   
▶  记录层协议:用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等;
    
◆  SSL 协议是介于 应用层 TCP 层之间的安全通信协议
  
◆  SSL 协议提供三种安全通信服务
    
▶  保密性通信:握手协议产生秘密密钥 (secret key) 后才开始加 、解密数据 。数据的加、 解密使用 对称式密码算法,例如 DES,AES 等;
    
▶  点对点之间的身份认证:采用非对称式密码算法,例如 RSA,DSS 等;
   
▶  可靠性通信:信息传送时包含信息完整性检查使用有密钥保护的消息认证码 (简称 MAC) MAC 的计算采用安全杂凑函数,例如 SHA,MD5
◆  SSL 记录协议的数据处理过程:
  
▶  SSL 将数据 (data) 分割成可管理的区块长度;
   
▶  选择是否要将已分割的数据压缩;
  
▶  加上消息认证码 (MAC);
  
▶  将数据加密,生成即将发送的消息;
   
▶  接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层(例如应用层), 即完成接收;

(7)PPTP :

◆  PPTP 它是一个点到点安全隧道协议。该协议的目标是给电话上网的用户提供 VPN 安全服务;

(8)L2TP :

◆  L2TP 用于保护设置 L2TP-enabled 的客户端和服务器的通信。客户端要求安装 L2TP 软件, L2TP 采用专用的隧道协议,该协议运行在 UDP 1701 端口;

VPN 主要产品与技术指标:

(1)VPN 主要产品:

◆  IPSec VPN:
    
▶  IPSec VPN 产品的工作模式:支待 隧道模式 和 传输模式 ,其中隧道模式适用于主机和网关实现传输模式是可选功能,仅适用于主机实现
    
◆  SSL VPN:
   
▶  SSL VPN 产品的工作模式分为客户端-服务端模式网关-网关模式两种;

(2)VPN 产品主要技术指标:

◆  国家密码管理局颁布了《IPSec VPN 技术规范》《SSL VPN 技术规范》,对 IPSec VPN 和 SSL VPN 提出了要求,主要内容介绍如下:

◆  密码算法要求:

IPSec VPN 使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和 随机数生成算法,算法及使用方法如下:
   
▶  非对称密码算法:使用 1024 比特 RSA 算法或 256 比特 SM2 椭圆曲线密码算法,用于实体验证、数字签名和数字信封等;
   
▶  对称密码算法:使用 128 比特分组的 SM1 分组密码算法,用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式;
    
▶  密码杂凑算法:使用 SHA-1 算法或 SM3 密码杂凑算法,用于对称密钥生成和完整性校验。其中, SM3 算法的输出为 256 比特;
   
▶  随机数生成算法:生成的随机数应能通过《随机性检测规范》规定的检测
      
SSL VPN 算法及使用方法如下:
   
▶  非对称密码算法:包括 256 位群阶 ECC 椭圆曲线密码算法 SM2 IBC 标识密码算法 SM9 和 1024 位以上 RSA 算法;
▶  分组密码算法:为 SMl 算法,用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式;
   
▶  密码杂凑算法:包括 SM3 算法和 SHA-1 算法,用于密钥生成和完整性校验;

◆  VPN 产品功能要求:
▶  IPSec VPN 的主要 功能 包括:随机数生成、密钥协商、安全报文封装、NAT 穿越、身份鉴别身份认证数据应支持数字证书或公私密钥对方式, IP 协议版本应支持 IPv4 协议或 IPv6 协议;
    
▶  SSL VPN 的主要 功能 包括:随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查;
◆  VPN 产品性能要求:
    
▶  IPSec VPN 主要 性能 指标:
      

(1)加解密吞吐率;(2)加解密时延;(3)加解密丢包率;(4)每秒新建连接数 ;

▶  SSL VPN 主要 性能 指标:

(1)最大并发用户数;(2)最大并发连接数;(3)每秒新建连接数;(4)吞吐率;


VPN 技术应用:

VPN 应用场景 :

◆  VPN 可分为 种应用类型:远程访问虚拟网 (Access VPN) 、企业内部虚拟网 (Intranet VPN) , 企业扩展虚拟网 CExtranet VPN)

(1)远程安全访问:

◆  Access VPN 主要解决远程用户安全办公问题远程办公用户既要能远程获取到企业内部网信息,又要能够保证用户和企业内网的安全 远程用户利用 VPN 技术,通过拨号、 ISDN 等方式接入公司内部网。 Access VPN 般包含两部分,远程用户 VPN 客户端软件和 VPN 接入设备;(人)

(2)构建内部安全专网:

◆  Intranet VPN 的用途就是通过公用网络,如因特网,把分散在不同地理区域的企业办公点的局域网安全互联起来实现企业内部信息的安全共享和企业办公自动化。(分公司)


(3)外部网络安全互联:

◆  Extranet VPN 则是利用 VPN 技术,在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全接到企业内部网,以方便企业与合作伙伴共享信息和服务。 Extranet VPN 解决了企业外部机构接入安全和通信安全的问题,同时也降低了网络建设成本。(合作伙伴)
   
    
    
    
    
学习书籍:信息安全工程师教程.

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/890580.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

PDF怎么转Word?8 个最佳 PDF 转 Word 转换器

PDF 转 Word 转换工具只是一个特殊程序,可以将 PDF(本机和/或扫描)转换为 Microsoft Office Word 格式。将 PDF 导出到 Word 的主要原因之一是满足可编辑文档的需求,尽管还有其他原因。 由于缺少 PDF 阅读器,您可以选…

实用的开源应用全新开源源码Vue3+TS的前后台分离的开发平台源码开源技术社区平台

开源全新开源源码Vue3TS的前后台分离的开发平台源码。创意、新奇、有趣、实用的开源应用、系统、软件、硬件及技术,一个探索、发现、分享、使用与互动交流的开源技术社区平台。致力于打造活力开源社区,共建开源新生态! 功能简介 个人办公&a…

python的进度条tqdm库,显示时进度条不换行设置

问题描述 tqdm库,显示时进度条不要换行,直接在一行里显示当前进度 换行显示: 不换行显示 解决方案(参考链接) 添加参数position0 和 leaveTrue 举例: 修改前: import tqdm import time f…

树莓派上搭建WordPress博客网站,并通过内网穿透发布到公网

文章目录 概述安装 PHP安装MySQL数据库安装 Wordpress设置您的 WordPress 数据库设置 MySQL/MariaDB创建 WordPress 数据库 WordPress configuration将WordPress站点发布到公网安装相对URL插件修改config.php配置 支持好友链接样式定制主题 概述 在本次教程里,我们…

Markdown 入门基础

文章目录 Markdown 是什么?为什么要使用 Markdown?工欲善其事,必先利其器Markdown 的工作原理Markdown 有什么用?网站文件资料笔记书籍演示文稿邮件文档 Markdown 方言其它资源 Markdown 是什么? Markdown 是一种轻量级的标记语…

【Docker报错】docker拉取镜像时报错:no such host

报错信息 [rootSoft soft]# docker pull mysql Using default tag: latest Error response from daemon: Head "https://registry-1.docker.io/v2/library/mysql/manifests/latest": dial tcp: lookup registry-1.docker.io on 192.168.80.2:53: no such host解决方法…

ogg格式怎么转换为mp3?

ogg格式怎么转换为mp3?我们都知道,OGG格式作为一种数字饮片格式,使用的是有损压缩技术,从而也保证了文件音质较高。然而,也正是因为这个特点,导致OGG格式文件较大。很多时候,我们在使用OGG格式文…

内网穿透-外远程连接中的RabbitMQ服务

文章目录 前言1.安装erlang 语言2.安装rabbitMQ3. 内网穿透3.1 安装cpolar内网穿透(支持一键自动安装脚本)3.2 创建HTTP隧道 4. 公网远程连接5.固定公网TCP地址5.1 保留一个固定的公网TCP端口地址5.2 配置固定公网TCP端口地址 前言 RabbitMQ是一个在 AMQP(高级消息队列协议)基…

日志系统——日志格式化模块设计

一,模块主要成员 该模块的主要作用是对日志消息进行格式化,将日志消息组织成制定格式的字符串。 该模块主要成员有两个:1.格式化字符串。 2.格式化子项数组 1.1 格式化字符串 格式化字符串的主要功能是保存日志输出的格式字符串。其格式化字…

网络安全/黑客技术(就业前景与经验分享)

网络安全与我们每一个人都息息相关,无论是企业还是个人,现在都非常重视网络安全。而且网络安全是一个新兴的行业,人才需求量远远大于供给,所以在薪资福利上具有很大的优势,并且对于初学者而言,很多人依旧担…

ThreadPool线程池

文章目录 一.概述和架构二.使用方式和底层原理三.七个参数介绍四.工作流程和拒绝策略五.自定义线程池 一.概述和架构 一种线程使用模式。线程过多会带来调度开销,进而影响缓存局部性和整体性能,而线程池维护着多个线程,等待着监督管理者分配可并发执行的任务,这避免了在短时间…

文件名称是递增的,删除掉其中一部分的文件,导致递增文件缺少,通过python查找出缺少的递增文件名称

文件名称是递增的,删除掉其中一部分的文件,导致递增文件缺少,通过python查找出缺少的递增文件名称 通过python,查找出缺少的递增的文件的名称: 代码如下: import osdef find_missing_numbers(folder_path):file_list …

6000万美元?通用汽车投资初创新贵Mitra,开发“经济型电池”

根据最新消息,通用汽车公司日前宣布领导一轮6000万美元的B轮融资,投资对象为电池材料初创公司Mitra Chem。此次投资旨在帮助通用汽车改进未来电动汽车的电池制造,使其更加经济实惠且易获取。 目前,大多数电池使用的是镍和钴的制造…

linux系统--makefile文件,gdb 以及文件描述符

目录 1 makefile 1.1 makefile的基本规则 1.2 makefile工作原理 1.3 makefile中的变量 1.4 makefile函数 1.5 makefile的清理操作 2 gdb调试 2.1 gdb介绍 2.2 生成调试信息 2.3 启动gdb 2.4 显示源代码 3文件IO 3.1 C库IO函数的工作流程 3.2 C库函数与系统函数的…

Sigmastar SSC8826Q 2K行车记录仪解决方案

一、方案描述 行车记录仪是智能辅助汽车驾驶,和管理行车生活的车联网智能终端设备,利用智能芯片处理器、GPS定位、网络通信、自动控制等技术,将与行车生活有关的各项数据有机地结合在一起。 行车记录仪如今已经成了必不可少的车载用品之一&…

用栈解决有效的括号匹配问题

//用数组实现栈 typedef char DataType; typedef struct stack {DataType* a;//动态数组int top;//栈顶int capacity; //容量 }ST;void STInit(ST*pst);//初始化void STDestroy(ST* pst);//销毁所有空间void STPush(ST* pst, DataType x);//插入数据到栈中void STPop(ST* pst);…

开学有什么平替电容笔值得买?比较好用的ipad手写笔

相信不少的学生党都已经在开学前入手了iPad,而现在,电容笔作为iPad的一种主要配件,其的性能也在不断地提高,使用电容笔的用户也在不断地增加。因此,如何挑选一款物美价廉的电容笔成为大家最关心的问题。那么&#xff0…

C/C++ : C/C++的详解,C语言与C++的常用算法以及算法的各自用法和应用(初级,中级),C++ CSP考题(J居多,S偏少)的详解,NOI的真题题解

目录 1.C语言 2.C 3.C与C语言的共同/不同点 4.导读 5.相关文章 5.1:Dev-C是Windows 环境下的一个轻量级 C/C 集成开发环境(IDE) 5.2:C是从C语言发展而来的,而C语言的历史可以追溯到1969年 6.C/C最新年度总…

java编译报错,get方法报错

java编译报错,get方法报错 处理方式: 在空间中,将 buid 文件夹删除 再不行的话,重启电脑,删除各种缓存 试试

Java请求Http接口-OkHttp(超详细-附带工具类)

简介:OkHttp是一个默认有效的HTTP客户端,有效地执行HTTP可以加快您的负载并节省带宽,如果您的服务有多个IP地址,如果第一次连接失败,OkHttp将尝试备用地址。这对于IPv4 IPv6和冗余数据中心中托管的服务是必需的。OkHt…