VPN概述
VPN(Vitual Private Network,虚拟私有网):是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络,只不过这个专线网络是逻辑上的而不是物理的,所以称为虚拟专用网。
ISP(Internet Service Provider,互联网服务提供商)
NSP(Network Server Provider,网络服务提供商)
VPN分类
按业务类型
Client-LAN VPN(Acceess VPN)
使用基于Internet远程访问的 VPN,远程访问的客户端首先通过拨号网络连接到当地的 ISP(Internet服务提供商),利用 ISP 提供的服务通过Internet连接到企业的远程访问服务器。在采用 VPN 隧道协议的情况下,企业的远程访问服务器会和远程访问客户端建立一个安全的VPN连接,远程访问客户端就可以安全的使用企业内部各种授权的网络资源了。
LAN-LAN VPN
为了在不同局域网络之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,则可以采用 LAN-LAN 类型的 VPN 。
对于物理距离较远的企业与分公司、分支机构和合作企业间的网络连接,为了安全性,一般租用专线,网络结构复杂,费用昂贵。
而采用 LAN-LAN 类型的VPN ,可以利用基本的 Internet和 Intranet 网络建立起全球范围内物理的连接,再利用 VPN 的隧道协议实现安全保密需要,就可以满足公司总部与分支机构以及合作企业问的安全网络连接。这种类型的 VPN 通常采用 IPSec 协议建立加密传输数据隧道。
Intranet VPN:当用来构建内联网, 一般用在公司企业内部各个网络的互联,例如:子公司和总公司
Extranet VPN:用于企业和合作企业进行网络互联,比如公司和公司的合作伙伴
两者的主要区别在在于访问公司总部网络资源的权限区别
按网络层次分类
二层隧道协议,使用二层网络协议进行传输,它主要应用于构建远程访问虚拟专网(Access VPN/Client-LAN),第二层隧道协议主要有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成;
三层隧道协议,用于传输三层网络协议,它主要应用于构建企业内部虚拟专网和扩展的企业内部虚拟专网,主要的第三层隧道协议有IPSec、GRE等。IPSec(IP Security)由多个协议组成协议族,并通过这个协议族来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
VPN常用技术
隧道技术
隧道:是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。
隧道技术:是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道,使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPN技术中最关键的技术。
隧道技术解决2个大的问题:
(1)私有IP网络之间无法直接通过Internet互通。
(2)异种网络(IPX、AppleTalk)之间无法通过Internet直接进行通信。
多种隧道技术比较
加解密技术
目的:即使信息被窃听或者截取,攻击者也无法知晓信息的真实内容。可以对抗网络攻击中的被动攻击。
通常使用加密机制来保护信息的保密性,防止信息泄露。信息的加密机制通常是建立在密码学的基础上。
保密性:确保信息不暴露给未授权的实体或进程。加密机制。防泄密
完整性:只有得到允许的人才能修改实体或进程,并且能够判别出实体或进程是否已被修改。完整性鉴别机制,保证只有得到允许的人才能修改数据 。防篡改
可用性:得到授权的实体可获得服务,攻击者不能占用所有的资源而阻碍授权者的工作。用访问控制机制,阻止非授权用户进入网络 。使静态信息可见,动态信息可操作。
密码学基础
从明文到密文的过程一般是通过加密算法加密进行的。从密文到明文,称为脱密(解密)。
主流机密算法分为:对称加密算法;非对称加密算法(公钥加密算法);混合加密(非对称加密+对称加密,非对称加密加密对称密钥,对称密钥加密加密数据)。
对称加密
对称加密算法最主要的问题:
(1)密钥传输风险。由于加解密双方都要使用相同的密钥,因此在发送、接收数据之前,必须完成密钥的协商分发,在公开的网络上如何安全传送密钥成为了一个严峻的问题。
(2)密钥多难管理。N个用户之间采用对称加密算法进行通信,需要的密钥对数量为N取2的组合,比如100个人通信时需要4950对密钥,如何对如此大数量的密钥进行管理成为另一个严峻的问题。
常见的对称加密算法
非对称加密算法
加密和解密使用的是密钥(公钥、私钥),两个密钥之间存在着相互依存关系:用其中任何一个密钥加密的信息只能用另一个密钥进行解密(即用公钥加密,只能用私钥解密)
其中公钥和算法是对外公开的,人人都可以通过这个密钥加密文件然后发给收信者。收信者收到加密文件后,它可以使用他的私钥解密(反之亦然),这个密钥是由他自己私人掌管的,不需要分发,这就解决了密钥分发的问题
虽然数据加密了,在没有公钥的情况下无法看到明文,但是可以存在恶意破坏者,他们不需要知道具体传输的明文内容,也不想让接收方知道发送方发送的内容,就会进行截获数据包,在数据包中添加乱码数据或则截取部分数据包数据,并将改造后的数据包发送给接收方,此时接收方无法确定是发送方发送的数据就是乱码不完整等,还是有恶意破坏者破坏了该次加密传输。
因此就需要对消息进行完整性验证。
同时,需要对消息的发送者进行身份验证,确认就是该消息的发送者确实发送了消息。因此需要进行不可否认性的验证。
对称加密和VS非对称加密
综合一下:
(1)数据传输采用对称加密算法。
(2)对称加密的密钥通过非对称加密算法进行加解密。
身份认证技术
身份认证:通过标识和鉴别用户的身份,防止攻击者假冒合法用户来获取访问权限。
身份认证技术:是在网络中确认操作者身份的过程而产生的有效解决方法。
网友评论