【第9章】VPZ 技术原理与应用。信息安全工程师
9.1 VPZ 概述
9.1.1 VPZ 概念
VPZ 是英文 Virtual Private Network 的缩写,中文翻译为“虚拟专用网”,其基本技术原理是把需要经过公共网传递的报文(packet) 加密处理后,再由公共网络发送到目的地。利用VPZ 技术能够在不可信任的公共网络上构建一条专用的安全通道,经过 VPZ 传输的数据在公共网上具有保密性,所谓“虚拟”指网络连接特性是逻辑的而不是物理的。VPZ 是通过密码算法、标识鉴别、安全协议等相关的技术,在公共的物理网络上通过逻辑方式构造出来的安全网络 。
9.1.2 VPZ 安全功能
通过 VPZ 技术,企业可以在远程用户、分支部门、合作伙伴之间建立一条安全通道,并能得到 VPZ 提供的多种安全服务,从而实现企业网安全 。VPZ 主要的安全服务有以下 3 种:
保密性服务(Confidentiality) :防止传输的信息被监听;
完整性服务(Integrity) :防止传输的信息被修改;
认证服务(Authentication) :提供用户和设备的访问认证,防止非法接入。
9.1.3 VPZ 发展
未来 VPZ 产品的技术动向具有以下特点:
VPZ 客户端尽量简化,将出现“零客户端“安装模式;
VPZ 网关一体化,综合集成多种接入模式,融合多种安全机制和安全功能;
VPZ 产品可能演变成可信网络产品 ;
VPZ 提供标准安全管理数据接口,能够纳入 SOC 中心进行管理控制。
9.1.4 VPZ 技术风险
(1) VPZ 产品代码实现的安全缺陷。(2) VPZ 密码算法安全缺陷。(3) VPZ 管理不当引发的安全缺陷。
---------------
9.2 VPZ 类型和实现技术
VPZ 的类型包括链路层 VPZ、网络层 VPZ 、传输层 VPZ;链路层 VPZ 的实现方式有 ATM 、Frame、Relay、多协议标签交换
MPLS;网络层 VPZ 的实现方式有受控路由过滤、隧道技术;传输层 VPZ 则通过 SSL 来实现。
VPZ 的实现技术是密码算法、密钥管理、认证访问控制、IPSec 、SSL 、PPTP和 L2TP 等。
9.2.2 密码算法
VPZ 的核心技术是密码算法,VPZ 利用密码算法,对需要传递的信息进行加密变换,从而确保网络上未授权的用户无法读取该信息。目前,除了国外的 DES 、AES 、IDE 、RSA 等密码算法外,国产商用密码算法 SMl 、 SM4 分组密码算法、SM3 杂凑算法等也都可应用到 VPZ。
9.2.3 密钥管理
VPZ 加、解密运算都离不开密钥,因而,VPZ 中密钥的分发与管理非常重要。
密钥的分发有两种方法:一种是通过手工配置的方式(密钥更新速度慢,一般只适合简单网络);另一种采用密钥交换协议动态分发(自动协商动态生成密钥,密钥可快速更新,可以显著提高 VPZ 的安全性)。主要的密钥交换与管理标准有 SKIP (互联网简单密钥管理协议)和 ISAK.MP/Oakley(互联网安全联盟和密钥管理协议)。
9.2.4 认证访问控制
目前,VPZ 连接中一般都包括两种形式的认证。
1. 用户身份认证
在 VPZ 连接建立之前, VPZ 服务器对请求建立连接的 VPZ 客户机进行身份验证,核查其是否为合法的授权用户。如果使用双向验证,还需进行 VPZ 客户机对 VPZ 服务器的身份验证,以防伪装的非法服务器提供虚假信息。
2. 数据完整性和合法性认证
VPZ 除了进行用户认证外,还需要检查传输的信息是否来自可信源,并且确认在传输过程中信息是否经过篡改。
9.2.5 IPSec
IPSec 是 Internet Protocol Security 的缩写。
1. 认证头协议(IPAH )
2. 封装安全负荷(IP ESP)。IP ESP 也是一种安全协议,其用途在于保证 IP 包的保密性。而 IPAH 不能提供 IP 包的保密性服务
3. 密钥交换协议(IKE)基于 IPSec 技术的主要优点是它的透明性,安全服务的提供不需要更改应用程序。但是其带来的问题是增加网络安全管理难度和降低网络传输性能。
9.2.6 SSL
SSL 是 Secure Sockets Layer 的缩写,是一种应用千传输层的安全协议,用千构建客户端和服务端之间的安全通道。
SSL不是简单的单个协议,而是两层协议,包含:
SSL握手协议 、SSL交换密码规范协议 、SSL警报协议 、HTTP
———————————————————————
SSL记录协议
———————————————————————
TCP
———————————————————————
IP/IPSec
SSL 协议提供三种安全通信服务。
(1) 保密性通信 。 握手协议产生秘密密钥(secret key) 后才开始加 、解密数据 。 数据的加、
解密使用对称式密码算法,例如 DES 、AES 等。
(2) 点对点之间的身份认证。采用非对称式密码算法,例如 RSA 、DSS 等。
(3) 可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码 (Message Authentication Code,简称 MAC) 。MAC 的计算采用安全杂凑函数,例如 SHA 、MD5 。
SSL 记录协议(record protocol) 的数据处理过程,其步骤如下:
(1) SSL 将数据(data) 分割成可管理的区块长度。
(2) 选择是否要将已分割的数据压缩。
(3) 加上消息认证码(MAC)。
(4) 将数据加密,生成即将发送的消息。
(5) 接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层(例如应用层),即完成接收。
9.2.7 PPTP
PPTP 是 Point—to—Point Tunneling Protocol 的缩写,它是一个:点到点安全隧道协议。该协议的目标是给电话上网的用户提供 VPZ 安全服务。
9.2.8 L2TP
L2TP 是 Layer 2 Tunneling Protocol 的缩写,用于保护设置 L2TP-enabled 的客户端和服务器的通信。该协议运行在 UDP 的 1701端口。
---------------
9.3 VPZ 主要产品与技术指标
9.3.1 VPZ 主要产品
1. IPSec VPZ
IPSec VPZ 产品的工作模式应支待隧道模式和传输模式,其中隧道模式适用千主机和网关实现,传输模式是可选功能,仅适用千主机实现。IPSec VPZ 使用国家密码管理局批准的非对称密码算法、对称密码算法、密码杂凑算法和随机数生成算法。
2. SSL VPZ
SSL VPZ 产品的工作模式分为客户端-服务端模式、网关-网关模式两种。
9.3.2 VPZ 产品主要技术指标
1. 密码算法要求
IPSec VPZ算法及使用方法如下:
•非对称密码算法使用1024 比特 RSA 算法或 256 比特 SM2 椭圆曲线密码算法,用千实体验证、数字签名和数字信封等。
•对称密码算法使用 128 比特分组的 SMl 分组密码算法,用千密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式。
•密码杂凑算法使用 SHA-1 算法或 SM3 密码杂凑算法,用千对称密钥生成和完整性校验。其中,SM3 算法的输出为 256 比特。
•随机数生成算法生成的随机数应能通过《随机性检测规范》规定的检测。
SSL VPZ 算法及使用方法如下:
•非对称密码算法包括 256 位群阶 ECC 椭圆曲线密码算法 SM2 、 IBC 标识密码算法 SM9和 1024 位以上 RSA 算法。
•分组密码算法为 SMl 算法,用于密钥协商数据的加密保护和报文数据的加密保护。该算法的工作模式为 CBC 模式。
•密码杂凑算法包括 SM3 算法和 SHA-1 算法,用于密钥生成和完整性校验。
2. VPZ 产品功能要求
IPSec VPZ 的主要功能包括:随机数生成、密钥协商、安全报文封装、NAT 穿越、身份鉴别。身份认证数据应支持数字证书或公私密钥对方式,IP 协议版本应支持 IPv4 协议或IPv6 协议。
SSL VPZ 的主要功能包括:随机数生成、密钥协商、安全报文传输、身份鉴别、访问控制、密钥更新、客户端主机安全检查。
3. VPZ 产品性能要求
IPSec VPZ 主要性能指标如下。
l) 加解密吞吐率
2) 加解密时延
3) 加解密丢包率
4) 每秒新建连接数
SSL VPZ 主要性能指标如下。
l) 最大并发用户数
2) 最大并发连接数
3) 每秒新建连接数
4) 吞吐率
---------------
9.4 VPZ 技术应用
9.4.1 VPZ 应用场景
根据 VPZ 的用途,VPZ 可分为三种应用类型:远程访问虚拟网(Access VPZ) 、企业内部虚拟网 (Intranet VPZ) 和企业扩展虚拟网 CExtranet VPZ)。
9.4.2 远程安全访问
Access VPZ 主要解决远程用户安全办公问题,远程办公用户既要能远程获取到企业内部网信息,又要能够保证用户和企业内网的安全 。 远程用户利用 VPZ 技术,通过拨号、ISDN 等方式接入公司内部网。
9.4.3 构建内部安全专网
Intranet VPZ 的用途就是通过公用网络,如因特网,把分散在不同地理区域的企业办公点的局域网安全互联起来,实现企业内部信息的安全共享和企业办公自动化。
9.4.4 外部网络安全互联
Extranet VPZ 则是利用 VPZ 技术,在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全
接到企业内部网,以方便企业与合作伙伴共享信息和服务。Extranet VPZ 解决了企业外部机构接入安全和通信安全的问题,同时也降低了网络建设成本。
