• 进入"运维那点事"后,希望您第一件事就是阅读“关于”栏目,仔细阅读“关于Ctrl+c问题”,不希望误会!

安全数据传输机制VPN原理介绍

信息安全 彭东稳 8年前 (2015-12-17) 27921次浏览 已收录 0个评论

VPN介绍

在现代互联网中,要想安全地传输数据想必懂计算机的都会说使用“VPN”,是的用VPNVPNvirtual private network,虚拟专用网)就是在两个网络实体之间建立的一种“受保护”的连接,这两个实体可以通过点到点的链路直接相连。“受保护”可以理解为通过使用加密技术防止数据被窃听;通过数据完整性验证防止数据被破坏、篡改;通过认证机制实现通信方身份确认、来防止通信数据被截获和回收。VPN是一种通过互联网把公司的私有网络和远程网络安全地连接起来的虚拟逻辑网络技术。任何人如果想从VPN中获取数据,都是无法读懂的,因为数据进行了加密。其实VPN不是进行远程连接中出现的第一个技术,二十世纪末,最普遍的做法是使用专线,例如用ISDN把多个不同办公地区的计算机连接起来。但是互联网发展的非常快,ISP还提供了快速安全的VPN方案,它比专线便宜多了。公司利用这种方法简历起只允许员工使用的虚拟内部往来或两个公司之间使用的虚拟网络,使在远程办公区或家中的内部员工通过连接到内部网络就可以工作。

VPN实现方式

虽然VPN种类不少,但可以明确划分为一下两类:点到点接入和远程接入,点到点接入能够保护两个点之间的流量传输,通常指L2L就是LANLAN之间;点到点接入包含IPSECMPLS VPNGRE,是由传统广域网接入演变过来的,成对管理,扩展配置相对复杂。远程接入通常指单用户设备与vpn网关之间的通信连接;远程接入包含IPSECSSL VPNL2TPPPTP,由拨号演变过来,按用户管理,扩展性比较好。

下面介绍一下各种VPN技术的实现方式及其特点:

PPTP VPN

PPTPpoint point tunneling protocol):即点对点隧道协议,现在很少使用,基于MMPE加密,工作在TCP/IP的第二层,属于远程接入类型,其安全性较低,客户端连接基本均内置于windows系统。

L2TP VPN

L2TPLayer 2 Tunneling Protocol):即2层隧道协议,本质上是一种隧道传输协议,他使用两种类型的小时:控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道,而数据隧道消息则负责用户数据的真正传输。现在也很少用,基于MMPE加密,工作在TCP/IP的第二层,属于远程接入类型,其安全性较低,客户端连接基本均内置于windowsIOS中。

IPsec VPN

IPsecInternet Protocol Security):即互联网协议安全,是目前应用最为广泛的VPN技术,基于DES/3DES/AES加密可以保证数据的安全性,工作于TCP/IP的第二、三层,并且IPsec可同时支持点到点类型和远程接入类型,需要安装对应的客户端设备。其安全性高。在Linux系统上对于IPsec的开源实现软件为OpenSWANStrongSWAN

SSL VPN

SSL VPNSSL是近年兴起的VPN技术,企业中广泛使用,这种vpn使用证书,密码等SSL认可的可配置的方式进行认证。它不一定是第四层vpn,也不一定是第七层vpn,而只是强调它使用SSL协议实现认证以及密钥协商等安全策略。属于远程接入类型,其安全性高,可以存在3种部署模式,第一种是无客户端模式,这种模式提供对电子邮件及部分资源的远程访问,且不需安装任何程序或者客户端;第二种是瘦客户端模式,这种模式通过在客户端安装java程序或插件,提供基于tcp的访问;第三种是全隧道模式,这种模式通过SSL客户端,使客户端与企业内部建立一条隧道,使得访问者逻辑连接到企业网。在Linux系统上的开源实现软件为OpenVPN

VPN连接模式

传输模式:传输模式一个最显著地特点就是在整个vpn的传输过程中ip包头并没有被封装进去,攻击者截获数据后将无法破解数据内容但却可以清晰地知道通信双方的ip地址。如下图:

安全数据传输机制VPN原理介绍

隧道模式:隧道模式的VPN设备将整个三层数据报文封装在vpn数据内,再为其添加新的数据报文,攻击者截获数据后不但无法理解实际载荷数据的内容同时也无法知道实际通信双方的地址信息,如下图,IPsec vpn默认就是隧道模式。

安全数据传输机制VPN原理介绍

IPsec VPN

对几种VPN方式进行比较之后,可以发现IPsecSSL VPN方式应用最广泛,那么就先来了解IPsec标准。然后在Linux服务器上配置符合IPsec协议标准的OpenSWAN软件以加深理解它的工作机制。

IPsec应用于IP层上网络数据安全的一整套体系结构,包括网络认证头AHauthentication header)协议、封装安全载荷ESPencapsulating security payload)协议、因特网密钥交换IKEinternet key exchange)协议和用于网络认证及加密的一些算法等。

AH协议提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。

ESP协议提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。

在实际进行IP通信时,可以根据实际完全需求同时使用AHESP两种协议或选择使用其中的一种。

IKE密钥交换协议,如DH协议,就是可以根据特定的一些条件可以计算出对称密钥。

对于VPN两种传输模式来说,传输模式只是传输层数据被用来计算AHESP头,AHESP一级ESP加密的用户数据被放置在原IP包头后面。隧道模式更常用一些,在两个安全网关之间一般采用隧道模式进行通信,隧道技术就是利用封包和解包技术,在公用网络上建立一条安全的数据通道,让数据包通过这条隧道传输。用户的整个IP数据包被用来计算AHESP头,ESP加密的用户数据被封装在一个新的IP数据包中。

 


如果您觉得本站对你有帮助,那么可以支付宝扫码捐助以帮助本站更好地发展,在此谢过。
喜欢 (1)
[资助本站您就扫码 谢谢]
分享 (0)

您必须 登录 才能发表评论!