虚拟专用网络简介

虚拟专用网络

概念：虚拟专用网络

分类：

• 网关到网关
• 网关到客户端：身份认证

关键技术：

• 隧道技术
• 加/解密技术
• 密钥管理技术
• 身份认证技术
• 访问控制技术

隧道协议：

一种通过使用互联网网络的基础设施在网络之间传递不同协议数据的规则

• 传输协议：
• 封装协议：L2F PPTP L2TP
• 乘客协议：IP PPP SLIP

IPsec VPN

• IP头 + IPsec头 + IP数据（在网关去掉 IP sec 头、只保护内网数据）
• ESP（认证加密）
• AH（认证）
• IKE（密钥管理协商、安全关联协商）

• SA：安全关联 由IKE生成
  • SPI 源/目的 IP IPsec协议 （三元组）
  • 单向
• SP：安全策略
  • 丢弃
  • 绕过
  • 应用
• DOI 解释域

传输模式 & 隧道模式

• 传输模式（主机间通信）
  • 源IP头 ESP头 TCP/UDP 数据 ESP尾
  • 源IP头 AH头 TCP/UDP 数据
• 隧道模式（网关到网关 主机到网关）
  • 新IP头 ESP头 源IP头 TCP/UDP 数据 ESP尾
  • 新IP头 AH头 源IP头 TCP/UDP 数据

AH协议

• 完整性、可知源、抗重放

• 对整个报文认证
• 序列号抗重放，通过滑动窗口
• 数据验证 ：消息验证码
• AH认证协议（Ipv4、v6）的不变部分，不能认证可变部分
• AH传输模式失效：NAT（隧道模式也失效）、代理网关

ESP

• 认证范围比 AH 小，一般用 AH 做认证
• 不认证 IP 报头（新、老）
  
• 认证冲突：认证数据不变则冲突

IKE

• 主模式交换
• 快速模式交换

SSL/TLS VPN

• 运输层安全协议，TLS/SSL VPN用户不需要安装和配置客户端软件，用数字证书、做身份认证（用数字证书做认证）用于基于web上。
• 认证、加密、机密性、密钥管理。

TLS（使用两种加密算法）

• 握手协议：互相认证（默认单项认证对服务器进行认证，也可实现双向认证）协商加密算法和密钥等、提供链接的安全性

拓展：

• IPsec VPN主要用于企业间，SSL VPN用于员工访问企业网络。

• 认证的主要：MAC认证（确认来源，完整性的验证）、Hash认证

区别：

• MAC消息本体和共享密钥
• Hash没有密钥只有本体