第9章VPZ技术原理与应用
1VPZ概念
VPZ是英文VirtualPrivateNetwork的缩写,中文翻译为“虚拟专用网”,其基本技术原理是把需要经过公共网传递的报文加密处理后,再由公共网络发送到目的地。利用VPZ技术能够在不可信任的公共网络上构建一条专用的安全通道,经过VPZ传输的数据在公共网上具有保密性,所谓“虚拟”指网络连接特性是逻辑的而不是物理的。VPZ是通过密码算法、标识鉴别、安全协议等相关的技术,在公共的物理网络上通过逻辑方式构造出来的安全网络。
2VPZ安全功能
通过VPZ技术,企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道,并能得到VPZ提供的多种安全服务,从而实现企业网安全。VPZ主要的安全服务有以下3种:保密性服务:防止传输的信息被监听;完整性服务:防止传输的信息被修改;认证服务:提供用户和设备的访问认证,防止非法接入。
3VPZ发展
未来VPZ产品的技术动向具有以下特点:VPZ客户端尽量简化,将出现“零客户端“安装模式;VPZ网关一体化,综合集成多种接入模式,融合多种安全机制和安全功能;VPZ产品可能演变成可信网络产品;VPZ提供标准安全管理数据接口,能够纳入SOC中心进行管理控制。
4VPZ技术风险VPZ产品代码实现的安全缺陷。VPZ密码算法安全缺陷。VPZ管理不当引发的安全缺陷。
2VPZ类型和实现技术VPZ的类型包括链路层VPZ、网络层VPZ、传输层VPZ;链路层VPZ的实现方式有ATM、Frame、Relay、多协议标签交换MPLS;网络层VPZ的实现方式有受控路由过滤、隧道技术;传输层VPZ则通过SSL来实现。VPZ的实现技术是密码算法、密钥管理、认证访问控制、IPSec、SSL、PPTP和L2TP等。
2密码算法VPZ的核心技术是密码算法,VPZ利用密码算法,对需要传递的信息进行加密变换,从而确保网络上未授权的用户无法读取该信息。目前,除了国外的DES、AES、IDE、RSA等密码算法外,国产商用密码算法SMl、SM4分组密码算法、SM3杂凑算法等也都可应用到VPZ。
3密钥管理VPZ加、解密运算都离不开密钥,因而,VPZ中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式;另一种采用密钥交换协议动态分发。主要的密钥交换与管理标准有SKIP和ISAK.MP/Oakley。
4认证访问控制
目前,VPZ连接中一般都包括两种形式的认证。
用户身份认证在VPZ连接建立之前,VPZ服务器对请求建立连接的VPZ客户机进行身份验证,核查其是否为合法的授权用户。如果使用双向验证,还需进行VPZ客户机对VPZ服务器的身份验证,以防伪装的非法服务器提供虚假信息。
数据完整性和合法性认证VPZ除了进行用户认证外,还需要检查传输的信息是否来自可信源,并且确认在传输过程中信息是否经过篡改。
5IPSecIPSec是InternetProtocolSecurity的缩写。认证头协议封装安全负荷。IPESP也是一种安全协议,其用途在于保证IP包的保密性。而IPAH不能提供IP包的保密性服务密钥交换协议基于IPSec技术的主要优点是它的透明性,安全服务的提供不需要更改应用程序。但是其带来的问题是增加网络安全管理难度和降低网络传输性能。
6SSLSSL是SecureSocketsLayer的缩写,是一种应用千传输层的安全协议,用千构建客户端和服务端之间的安全通道。
SSL不是简单的单个协议,而是两层协议,包含:
SSL握手协议、SSL交换密码规范协议、SSL警报协议、HTTP———————————————————————SSL记录协议———————————————————————TCP———————————————————————IP/IPSec
SSL协议提供三种安全通信服务。保密性通信。握手协议产生秘密密钥后才开始加、解密数据。数据的加、解密使用对称式密码算法,例如DES、AES等。点对点之间的身份认证。采用非对称式密码算法,例如RSA、DSS等。可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码。MAC的计算采用安全杂凑函数,例如SHA、MD
SSL记录协议的数据处理过程,其步骤如下:SSL将数据分割成可管理的区块长度。选择是否要将已分割的数据压缩。加上消息认证码。将数据加密,生成即将发送的消息。接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层,即完成接收。
7PPTPPPTP是Point—to—PointTunnelingProtocol的缩写,它是一个:点到点安全隧道协议。该协议的目标是给电话上网的用户提供VPZ安全服务。
8L2TPL2TP是Layer2TunnelingProtocol的缩写,用于保护设置L2TP-enabled的客户端和服务器的通信。该协议运行在UDP的1701端口。
3VPZ主要产品与技术指标
1VPZ主要产品
IPSecVPZIPSecVPZ产品的工作模式应支待隧道模式和传输模式,其中隧道模式适用千主机和网关实现,传输模式是可选功能,仅适用千主机实现。IPSecVPZ使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法。
SSLVPZSSLVPZ产品的工作模式分为客户端-服务端模式、网关-网关模式两种。
2VPZ产品主要技术指标
密码算法要求
IPSecVPZ算法及使用方法如下:
•非对称密码算法使用1024比特RSA算法或256比特SM2椭圆曲线密码算法,用千实体验证、数字签名和数字信封等。•对称密码算法使用128比特分组的SMl分组密码算法,用千密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为CBC模式。•密码杂凑算法使用SHA-1算法或SM3密码杂凑算法,用千对称密钥生成和完整性校验。其中,SM3算法的输出为256比特。•随机数生成算法生成的随机数应能通过《随机性检测规范》规定的检测。
SSLVPZ算法及使用方法如下:
•非对称密码算法包括256位群阶ECC椭圆曲线密码算法SMIBC标识密码算法SM9和1024位以上RSA算法。•分组密码算法为SMl算法,用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为CBC模式。•密码杂凑算法包括SM3算法和SHA-1算法,用于密钥生成和完整性校验。
VPZ产品功能要求
IPSecVPZ的主要功能包括:随机数生成、密钥协商、安全报文封装、NAT穿越、身份鉴别。身份认证数据应支持数字证书或公私密钥对方式,IP协议版本应支持IPv4协议或IPv6协议。
SSLVPZ的主要功能包括:随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查。
VPZ产品性能要求
IPSecVPZ主要性能指标如下。l)加解密吞吐率加解密时延加解密丢包率每秒新建连接数
SSLVPZ主要性能指标如下。l)最大并发用户数最大并发连接数每秒新建连接数吞吐率
4VPZ技术应用
1VPZ应用场景根据VPZ的用途,VPZ可分为三种应用类型:远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网CExtranetVPZ)。2远程安全访问AccessVPZ主要解决远程用户安全办公问题,远程办公用户既要能远程获取到企业内部网信息,又要能够保证用户和企业内网的安全。远程用户利用VPZ技术,通过拨号、ISDN等方式接入公司内部网。
3构建内部安全专网IntranetVPZ的用途就是通过公用网络,如因特网,把分散在不同地理区域的企业办公点的局域网安全互联起来,实现企业内部信息的安全共享和企业办公自动化。
4外部网络安全互联ExtranetVPZ则是利用VPZ技术,在公共通信基础设施上把合作伙伴的网络或主机安全接到企业内部网,以方便企业与合作伙伴共享信息和服务。ExtranetVPZ解决了企业外部机构接入安全和通信安全的问题,同时也降低了网络建设成本。
文章为作者独立观点,不代表观点