Openvpn是通過SSL技術實現的。因為主要是在應用層工作,效率很低。如果單位流量比較大,最好不要用這個。另壹種使用的是SSL技術,並不是我們通常所說的SSL VPN。
目前市場上比較流行的硬件VPN采用的是ipsec技術。所以選擇第壹個有助於妳以後更換硬件。
基本上市面上的硬件VPN產品很少采用openvpn這樣的技術。
IPSEC的工作原理
-
虛擬專用網是指在公網中建立壹個專用網絡,數據通過安全的“管道”在公網中傳播。使用VPN具有節約成本、遠程訪問、擴展性強、易於管理和完全控制等優點,是目前和未來網絡服務的重點項目。因此,我們必須充分了解虛擬專用網的技術特點,建立完善的服務體系。虛擬專用網的工作原理
目前構建虛擬專用網的國際標準有IPSEC(RFC 1825-1829)和L2TP(draft-IETF-PPP ext-L2TP-10)。L2TP(virtual private dial-up network protocol)是壹種虛擬專用撥號網絡協議,由IETF根據各個廠商的協議(包括微軟的PPTP和思科的L2F)起草,目前仍處於草案階段。IPSEC是由IETF正式定制的壹系列基於IP網絡(包括內網、外網和互聯網)的開放IP安全標準。它是虛擬專用網的基礎,已經相當成熟和可靠。L2TP協議草案規定,它(L2TP標準)必須基於IPSEC(見草案-IETF-PPP ext-L2TP-security-01)。因此,本文闡述了VPN的工作原理,主要分析了IPSEC的工作原理。
IPSEC提供了三種不同的形式來保護通過公共或專用IP網絡傳輸的專用號碼。
認證——功能是保證接收的數據和發送的數據壹致,同時保證應用的發送方實際上是真實的發送方,而不是偽裝。
數據完整性——功能是保證數據從原地點傳輸到目的地的過程中沒有不可察覺的數據丟失和變化。
保密性——作用是使相應的接收者能夠獲得傳輸的真實內容,而無意獲得數據的接收者無法知道數據的真實內容。
在IPSEC中,三個基本元素提供了上述三種形式的保護:認證協議報頭(AH)、安全加載封裝(ESP)和互聯網密鑰管理協議(IKMP)。身份驗證協議報頭和安全加載封裝可以單獨使用,也可以結合使用,以實現所需的保護級別。
認證協議報頭(AH)是給所有數據包報頭添加壹個密碼。顧名思義,AH通過只有密鑰持有者知道的“數字簽名”來認證用戶。這個簽名是數據包通過特殊算法得到的唯壹結果;AH還能保持數據的完整性,因為在傳輸過程中加載再小的變化,包頭的數字簽名都能檢測出來。但是因為AH無法對數據包中加載的內容進行加密,所以不保證任何保密性。兩種最常見的AH標準是MD5和SHA-1。MD5使用最大值為128的密鑰,而SHA-1使用最大值為160的密鑰提供更強的保護。
安全加載封裝(ESP)通過對數據包的所有數據和加載內容進行完全加密,嚴格保證了傳輸信息的機密性,可以防止其他用戶通過監聽打開信息交換的內容,因為只有可信用戶才有密鑰打開內容。ESP還可以提供身份驗證並維護數據完整性。最重要的ESP標準是數據加密標準(DES)。DES支持最大56位的密鑰,而3DES使用三組密鑰進行加密,相當於使用最大168位的密鑰。因為ESP實際上是對所有數據進行加密,所以比AH需要更多的處理時間,導致性能下降。
密鑰管理包括密鑰確定和密鑰分發兩個方面,最多需要四個密鑰:AH和ESP兩個發送和接收密鑰。密鑰本身是壹個二進制字符串,通常用十六進制表示。例如,壹個56位的密鑰可以表示為5F39DA752E0C25B4。註意,總長度* * *是64比特,包括8比特的奇偶校驗。56位密鑰(DES)對於大多數商業應用程序來說已經足夠了。密鑰管理包括手動和自動方法。人工管理系統可以在有限的安全需求中很好地工作,而自動管理系統可以滿足所有其他應用需求。
使用手動管理系統,密鑰由管理站點確定,然後分發給所有遠程用戶。真正的密鑰可以通過隨機數生成器或簡單的隨機拼湊來計算,每個密鑰都可以根據組的安全策略進行修改。使用自動管理系統,您可以動態地確定和分發密鑰,這顯然與名稱壹樣是自動的。自動管理系統有壹個中央控制點,集中的密鑰管理器可以使自己更加安全,並最大限度地發揮IPSEC的效用。
IPSEC的實現
IPSEC的壹個最基本的優勢就是可以完全在* * *網絡接入設備上實現,甚至是所有的主機和服務器,很大程度上避免了任何網絡相關資源的升級。在客戶端,IPSEC體系結構允許使用遠程訪問路由器中涉及的PC和工作站,或者使用基於純軟件的普通調制解調器。ESP通過兩種模式在應用中提供更多的靈活性:傳輸模式和隧道模式。
IPSEC數據包可以在隧道模式下用於壓縮原始IP地址和數據。
當ESP在主機(客戶端或服務器)上實現時,通常使用傳輸模式。傳輸模式使用原始明文IP報頭,並且只加密數據,包括其TCP和UDP報頭。
當在與多個主機相關聯的網絡訪問幹預設備中實現ESP時,通常使用隧道模式。隧道模式處理整個IP數據包,包括所有TCP/IP或UDP/IP報頭和數據,它使用自己的地址作為源地址添加到新的IP報頭中。當在用戶終端設置中使用隧道模式時,可以更方便地隱藏內部服務器主機和客戶端的地址。
虛擬專用網加密算法解讀
-
壹. IPSec認證
IPSec身份驗證頭(AH)是壹種提供IP數據報完整性和身份驗證的機制。完整性確保數據報不會被無意或惡意更改,而身份驗證則驗證數據的來源(主機、用戶、網絡等。).AH本身不支持任何形式的加密,無法保護通過互聯網發送的數據的可信度。只有當加密的出口、進口或使用受到當地政府的限制時,AH才能提高全球互聯網的安全性。當所有的功能都實現後,它將通過對IP數據包進行認證,減少基於IP欺騙的攻擊概率,從而提供更好的安全服務。AH使用的包頭放在標準IPv4和IPv6包頭和下壹個高層協議幀(如TCP、UDP、I CMP等)之間。).
AH協議通過在整個IP數據報中實現消息摘要計算來提供完整性和認證服務。消息摘要是壹種特定的單向數據函數,它可以創建數據報的唯壹數字指紋。消息摘要算法的輸出結果放在AH報頭的Authentication_Data區域中。消息摘要5算法(MD5)是壹種單向數學函數。當應用於分組數據時,它將整個數據分成若幹具有128比特的信息分組。128位組中的信息是大型數據包數據的壓縮或抽象表示。以這種方式使用時,MD5僅提供數字完整性服務。消息摘要可以在發送之前和接收之後從壹組數據中計算出來。如果兩次計算的摘要值相同,則分組數據在傳輸期間沒有被改變。這可以防止無意或惡意篡改。在HMAC-MD5認證的數據交換中,發送方首次使用之前交換的密鑰計算數據報的64位數據包的MD5摘要。從壹系列16位計算出的摘要值累加成壹個值,然後放入AH頭的認證數據區,再將數據報發送給接收方。接收者還必須知道密鑰值,以便計算正確的消息摘要,並使其適應所接收的認證消息摘要。如果計算出的摘要值等於接收到的摘要值,那麽數據報在發送過程中沒有被改變,可以認為是由只知道密鑰的另壹方發送的。
第二,IPSec加密
數據包安全協議(ESP)報頭提供IP數據報的完整性和可靠性服務。ESP協議設計為在兩種模式下工作:隧道模式和傳輸模式。兩者的區別在於IP數據報的ESP load部分的內容不同。在隧道模式下,整個IP數據報被封裝和加密在ESP有效負載中。當這樣做時,真實的IP源地址和目的地址可以隱藏為互聯網發送的普通數據。這種模式的典型用法是在通過虛擬專用網絡連接防火墻到防火墻時隱藏主機或拓撲。在傳輸模式中,只有更高層協議幀(TCP、UDP、ICMP等。)被放置在加密的IP數據報的ESP有效載荷部分中。在這種模式下,源和目標IP地址以及所有IP頭字段都不加密發送。
IPSec要求在所有ESP實現中使用壹個通用的默認算法DES-CBC算法。美國數據加密標準(DES)是壹種非常流行的加密算法。它最早由美國政府發布,最初用於商業應用。到目前為止,所有DES專利的保護期都已到期,所以在全球範圍內都實現了免費。IPSec ESP標準要求所有ESP實現支持CBC的DES作為默認算法。DES-CBC的工作原理是在壹個8位數據包中添加壹個數據功能,構成壹個完整的IP包(隧道模式)或下壹個更高層協議幀(傳輸模式)。DES-CBC使用8位加密數據(密文)而不是8位未加密數據(明文)。壹個隨機的8比特初始化向量(IV)被用於加密第壹明文分組,以便即使明文信息具有相同的開始,也能確保加密信息的隨機性。DES-CBC主要使用所有通信方共享的相同密鑰。因此,它被認為是壹種對稱加密算法。接收者只能通過使用發送者用來加密數據的密鑰來解密加密的數據。因此,DES-CBC算法的有效性取決於密鑰的安全性,ESP使用的DES-CBC的密鑰長度為56位。
基於IPSec的VPN技術原理與實現
本文首先闡述了VPN技術的基本原理和IPSec規範,然後介紹了VPN技術的實現方法和幾種典型的應用方案。最後,作者對VPN技術的推廣應用提出了自己的看法。
1.介紹
1998稱為“電子商務年”,而1999將是“政府在線年”。事實上,作為連接全球的“第四媒體”,互聯網已經成為壹個商機無限的地方。如何利用互聯網開展商務活動是目前各企業討論的壹個熱門話題。然而,當互聯網實際應用於商業時,仍有壹些問題需要解決,其中最重要的兩個問題是服務質量和安全性。服務質量問題正在相關廠商和ISP的努力下逐步得到解決,VPN技術的出現為解決安全問題提供了有效途徑。
所謂VPN(VirtualPrivate Network)是指通過公共骨幹網將物理上分布在不同地方的網絡連接起來形成的邏輯虛擬子網,這裏的公網主要指Interet。為了保證信息在互聯網上傳輸的安全性,VPN技術采用了認證、訪問控制、保密性、數據完整性等措施,保證信息在傳輸過程中不會被窺視、篡改或復制。由於使用互聯網進行傳輸的成本比租用專線的成本極低,VPN的出現使企業通過互聯網安全、經濟地傳輸私有機密信息成為可能。
除了省錢,VPN技術還有其他特點:
●可擴展性可以隨著網絡的擴展而靈活擴展。當添加新的用戶或子網時,只有修改現有的網絡軟件配置,在新添加的客戶端或網關上安裝相應的軟件並連接到互聯網,新的VPN才能工作。
●靈活性:除了容易地將新子網擴展到企業網絡之外,由於因特網的全球連接性,VPN使企業能夠隨時安全地訪問全球商業夥伴和客戶的信息。
●易於管理用專線連接企業的子網時,隨著子網數量的增加,所需的專線數量會呈幾何級數增長。使用VPN時,互聯網就像壹個HUB,只需要把每個子網連接到互聯網上,不需要管理每壹條線路。
VPN可以用來建立企業內部網和外部網。隨著全球電子商務的興起,VPN的應用會越來越廣泛。根據Infonetics Reseach的預測,VPN的市場份額將從今天的2億美元增長到2006年的119億美元,其中VPN產品的銷售收入將占十分之壹。
2.基於IPSec規範的VPN技術。
1)IPSec協議介紹
IPSec(1P Security)在IPv6的制定中應運而生,用於提供IP層的安全性。由於所有支持TCP/IP協議的主機在通信時都要經過IP層,所以提供IP層的安全性就相當於為整個網絡提供了安全通信的基礎。鑒於IPv4的廣泛應用,在IPSec的制定中加入了對IPv4的支持。
第壹套IPSec標準是IETF在1995年制定的,但由於壹些未解決的問題,IETF從1997開始新壹輪的IPSec制定,到1998+01年底主要協議已經基本完成。然而,這套新協議仍存在壹些問題,預計IETF將在近期進行下壹輪IPSec修訂。
2)IPSec的基本工作原理
IPSec的工作原理(如圖L所示)類似於包過濾防火墻,可以看作是包過濾防火墻的擴展。當收到IP數據包時,包過濾防火墻使用其報頭在規則表中進行匹配。當找到匹配的規則時,包過濾防火墻根據該規則制定的方法處理接收的IP包。這裏的處理工作只有兩種:丟棄或者轉發。
圖1 IPSec工作原理圖
IPSec通過查詢SPD(安全p 01策略數據庫安全策略數據庫)來確定接收的IP數據包的處理。然而,IPSec不同於包過濾防火墻。除了直接丟棄轉發IP包,還有壹種方法,就是IPSec處理。正是這種新增加的處理方法,提供了比包過濾防火墻更進壹步的網絡安全。
執行IPSec處理意味著對IP數據包進行加密和認證。包過濾防火墻只能控制來自或去往某個站點的IP包的通過,可以拒絕來自外部站點的IP包訪問某些內部站點,也可以拒絕內部站點訪問某些外部網站。但是包過濾防火墻不能保證從內網出去的包不被攔截,也不能保證進入內網的包沒有被篡改。只有對IP數據包進行加密和認證後,才能保證在外網傳輸的數據包的機密性、真實性和完整性,才有可能通過互聯網進入新的安全通信。
IPSec可以只加密IP數據包,只進行身份驗證,或者兩者都加密。但是無論是加密還是認證,IPSec都有兩種工作模式,壹種是類似上壹節提到的協議的隧道模式,另壹種是傳輸模式。
如圖2所示,傳輸模式僅加密或驗證IP數據包的有效負載。此時繼續使用之前的IP頭,只修改IP頭的部分字段,而在IP頭和傳輸層頭之間插入IPSec協議頭。
圖2傳輸模式示意圖
如圖3所示,隧道模式對整個IP數據顏色進行加密或認證。此時需要生成壹個新的IP頭,IPSec頭放在新生成的IP頭和之前的IP包之間,這樣就形成了壹個新的IP頭。
圖3隧道模式示意圖
3)IPSec中的三個主要協議。
如前所述,IPSec的主要功能是加密和認證。為了加密和認證,IPSec還需要密鑰管理和交換的功能,以便提供加密和認證所需的密鑰並管理密鑰的使用。以上三個方面由AH、ESP、IKE三個協議規定。為了介紹這三個協議,有必要介紹壹個非常重要的術語——安全關聯SA。所謂安全關聯,是指安全服務與其服務的運營商之間的壹種“連接”。AH和ESP都需要使用SA,IKE的主要功能就是SA的建立和維護。只要實現了AH和ESP,就必須為SA提供支持。
如果通信雙方都想用IPSec建立安全的傳輸路徑,就需要事先協商好要采用的安全策略,包括加密算法、密鑰、密鑰生存期等等。當雙方就使用的安全策略達成壹致時,我們說雙方已經建立了壹個SA。SA是壹個簡單的連接,可以為其上的數據傳輸提供壹些IPSec安全性,可以由AH或ESP提供。當給出SA時,確定由IPSec執行的處理,例如加密、認證等。SA可以以兩種方式組合,即傳輸鄰近和嵌套隧道。
1)ESP(封裝安全負載)
ESP協議主要用於加密IP包,同時也為認證提供壹些支持。ESP獨立於具體的加密算法,幾乎可以支持所有種類的對稱密鑰加密算法,如DES、TripleDES、RC5等。為了保證各種IPSec實現之間的互操作性,目前ESP必須提供對56位DES算法的支持。
ESP協議數據單元格式由三部分組成,除了報頭和加密數據部分,在實現認證時還包括可選的尾部。報頭有兩個字段:安全策略索引(SPl)和序列號(Sequencenumber)。在使用ESP進行安全通信之前,雙方需要協商壹套要采用的加密策略,包括使用的算法、密鑰和密鑰的有效期。“安全策略索引”用於確定發送方使用哪種加密策略來處理IP數據包。當接收方看到這個序列號時,它就會知道如何處理接收到的IP數據包。序列號用於區分使用同壹組加密策略的不同數據包。除了原始IP包的有效載荷之外,加密數據部分和填充字段(用於確保加密數據部分滿足塊加密的長度要求)在傳輸過程中都是加密的。“下壹個報頭”用於指示凈荷部分使用的協議,可以是傳輸層協議(TCP或UDP)或IPSec協議(ESP或AH)。
壹般ESP可以作為IP的有效載荷傳輸,jip的UKB頭表示下壹個協議是ESP,而不是TCP和UDP。由於這種封裝形式,ESP可以使用舊網絡進行傳輸。
前面提到過IPSec的加密有兩種工作模式,也就是說ESP協議有兩種工作模式:傳輸模式和隧道模式。當ESP工作在傳輸模式時,采用當前IP頭。在隧道模式下,整個IP包作為ESP的有效載荷進行加密,在ESP報頭前增加壹個以網關地址為源地址的新IP報頭,可以起到NAT的作用。
2)AH(認證報頭)
AH只涉及認證,不涉及加密。雖然AH在功能上與ESP有壹些重復,但是AH可以認證IP報頭以及IP有效載荷。主要處理數據對,可以認證IP頭,而ESP的認證功能主要是面向IP凈荷。為了提供最基本的功能並確保互操作性,AH必須包括對HMAC的支持?/FONT & gt;沙和/FONT & gt;MD5(HMAC是壹種受SHA和MD5支持的對稱認證系統)。
AH可以單獨使用,也可以在隧道模式下使用,或者與ESP結合使用。
3)IKE(互聯網密鑰交換)
IKE協議主要管理密鑰交換,主要包括三個功能:
●協商使用的協議、加密算法和密鑰。
方便的密鑰交換機制(這可能需要定期執行)。
跟蹤這些協議的執行情況。
3.3的設計。虛擬專用網系統
如圖4所示,VPN的實現由管理模塊、密鑰分發和生成模塊、身份認證模塊、數據加密/解密模塊、數據包封裝/分解模塊和加密函數庫組成。
管理模塊負責整個系統的配置和管理。管理模塊決定采用哪種傳輸模式以及加密/解密哪些IP包。因為加密IP包會消耗系統資源,增加網絡延遲,所以為兩個安全網關之間的所有IP包提供VPN服務是不現實的。網絡管理員可以通過管理模塊指定加密哪些IP數據包。內部網用戶也可以指定VPN系統,通過Telnet協議傳輸的特殊命令,為自己的IP包提供加密服務。
密鑰管理模塊負責身份認證和數據加密所需的密鑰生成和分發。密鑰是隨機生成的。安全網關間密鑰的分發采用人工分發,安全網關間密鑰的傳輸通過網絡傳輸以外的其他安全通信方式完成。每個安全網關的密鑰都存儲在壹個秘密數據庫中,支持以IP地址為密鑰的快速查詢和獲取。
身份認證模塊完成對IP數據包的數字簽名操作。數字簽名的整個過程如圖5所示:
圖5數字簽名
首先發送方對數據H = H (m)進行哈希處理,然後用通信密鑰K對H進行加密,得到Signature={ h} key。發送方將簽名附加到明文上,壹起發送給接收方。接收到數據後,接收方首先用密鑰K解密簽名得到H,並與H(m)進行比較。如果壹致,說明數據是完整的。數字簽名不僅保證了數據的完整性,還起到了身份認證的作用,因為只有有密鑰才能對數據進行正確的簽名。
數據加密/解密模塊完成IP包的加密和解密。可選的加密算法有IDEA算法和DES算法。前者用軟件實現可以獲得更快的加密速度。為了進壹步提高系統的效率,我們可以使用專門的硬件來加密和解密數據,然後DES算法可以獲得更快的加密速度。隨著計算機計算能力的提高,DES算法的安全性受到了挑戰。對於安全性要求較高的網絡數據,數據加密/解密模塊可以提供三重DES加密服務。
數據包封裝/分解模塊實現IP數據包的安全封裝或分解。當從安全網關發送IP數據分組時,數據分組封裝/分解模塊將身份附加到IP數據分組上。
認證報頭AH和安全數據封裝報頭ESP。當安全網關接收到IP數據包時,數據包封裝/分解模塊解析AH和ESP的協議,根據包頭信息進行身份認證和數據解密。
加密函數庫為上述模塊提供統壹的加密服務。加密函數庫設計的壹個基本原則是通過統壹的函數接口與上述模塊進行通信。這可以基於實際需要
可以肯定的是,在連接不同加密算法和加密強度的函數庫時,不需要改變其他模塊。
4.幾種典型的VPN應用方案
VPN應用程序有兩種基本類型:撥號VPN和專用VPN。
撥號VPN為移動用戶和遠程辦公者提供遠程內部網訪問,是目前最流行的形式。撥號VPN服務也叫“公司撥號外包”。根據隧道建立的地點,撥號VPN可以分為兩種:在用戶的PC上或在服務提供商的網絡接入服務器(NAS)上。
私有VPN有很多種形式,相同的要素是為用戶提供IP服務。通常,安全設備或客戶端的路由器用於完成IP網絡上的服務。IP服務也可以通過在幀中繼或ATM網絡上安裝IP接口來提供。私有服務應用程序通過WAN將遠程辦公室與企業內部網和外部網絡連接起來。這些服務的特點是多用戶和高速連接。為了提供完整的VPN服務,企業和服務提供商經常將私有VPN和遠程訪問方案結合起來。
目前,VPN感知網絡剛剛興起,服務提供商將很快推出壹系列新產品,專門用於滿足提供商在向企業提供特殊增值服務時對可擴展性和靈活性的需求。
5.結束語
總之,VPN是壹項綜合性的網絡新技術,即使在網絡高度發達的美國,它也表現出了強大的生命力。思科、3Com、Ascend等公司都推出了自己的產品。但VPN產品能否被廣泛接受,主要取決於以下兩點:壹是VPN方案能否線速加密,否則會產生瓶頸;第二個是VPN數據流是否可以被調度和引導到網絡上的不同管理域。
在國內,由於網絡基礎設施還比較落後,計算機應用水平不高,目前對VPN技術的需求不高,大部分廠商還處於觀望階段。但是,隨著國家經濟信息化進程的加快,特別是政府上網和電子商務的推進,VPN技術將大有用武之地。