1月 20th, 2010

浅谈VPN的关键安全技术

Category: VPN专题, Author: admin, Popularity: 15%

VPN已经成为越来越多企业使用的网络连接方式了,VPN用户对数据的安全性都比较关心。

为了进一步了解VPN,本篇将对VPN主要采用的四项安全保证技术进行深入解释。

目前VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术来保证安全。

1、网络隧道:

网络隧道是指在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。网络隧道技术是个关键技术,这项vpn的基本技术。

现有两种类型的网络隧道协议:
1>二层隧道协议

用于传输二层网络协议,它主要应用于构建远程访问虚拟专网(AccessVPN);
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。

2>三层隧道协议

用于传输三层网络协议,它主要应用于构建企业内部虚拟专网(IntranetVPN)和扩展的企业内部虚拟专网(Extranet VPN)。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec, GRE等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。通用路由封装GRE(Generic Routing Encapsulation)是对某些网络层协议(如IP、IPX)的数据进行封装, 使被封装的数据包能够在另一个网络层协议中传输。

2、加解密技术:
VPN(虚拟专用网络)建筑在Internet公众数据网络上,为确保私有资料在传输过程中不被其他人浏览、窃取或篡改,所有的数据包在传输过程中均需加密,当数据包传送到专用数据网络后,再将数据包解密。加解密的作用是保证数据包在传输过程中即使被窃听,黑客只能看到一些封锁意义的乱码。如果黑客想看到数据包内的资料,他必须先破解用于加密该数据包的密钥(Encryption Key)。随着加密技术与密钥长度的不同,破解密钥所需的设备与时间有显著不同。
加解密技术是较成熟的安全数据通信技术,VPN可直接利用现有加解密技术。

3、密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
1>SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥
2>在ISAKMP中,双方都有两把密钥,分别用于公用、私用。

4、使用者与设备身份认证技术:
身份认证技术是VPN网络安全的第一道关卡。对于身份认证,是由身份认证协议来完成的。

VPN客户端中集成的常用身份认证协议:

1>PAP:密码认证协议

客户端直接发送包含用户名/口令的认证请求,服务器端处理并作回应。

优点:简单。
缺点:明文传送,极容易被窃听。

2>SPAP:Shiva密码验证协议

Shiva公司开发,是一种受Shiva远程访问服务器支持的简单加密密码的身份验证协议。

优点:安全性较PAP好。
缺点:单向加密、单向认证,虽然是对密码进行加密,但还是会被破解,安全性差,通过认证后不支持Microsoft点对点加密(MPPE)。

3>CHAP:挑战握手协议

先由服务器端给客户端发送一个随机码challenge,客户端根据challenge,对自己掌握的口令、challenge、会话ID进行单向散例,即 md5(password1,challenge,ppp_id),然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2, 进行同样的算法,即md5(password2,challenge,ppp_id),最后,比较加密的结果是否相同。如相同,则认证通过。

优点:安全性较SPAP有了很大改进,不用将密码发送到网络上。
缺点:安全性还不够强健,但也不错、单向加密、单向认证、通过认证后不支持Microsoft点对点加密(MPPE)。

4>MS-CHAP

微软版本的CHAP,和CHAP基本上一样,区别我也不太清楚。认证后支持MPPE,安全性要较CHAP好一点。

5>MS-CHAP V2

微软版本的CHAP第二版,它提供了双向身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAP v2作为唯一的身份验证方法,那么客户端和服务器端都要证明其身份,如果所连接的服务器不提供对自己身份的验证,则连接将被断开。

优点:双向加密、双向认证、安全性相当高。
缺点:不太清楚。

6>EAP:可扩展的认证协议

EAP可以增加对许多身份验证方案的支持,其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议—传输层安全协议”,即EAP-TLS认证。

优点:安全性最好。
缺点:需要PKI(公钥基础设施)支持。

一般的VPN服务器,都是使用”用户名”"密码”进行身份验证,虽然用户使用比较简单,安全性也比较高,但这个安全性主要体现在传输部分,它不能保证”用户不被仿冒”。
智能卡式认证、基于指纹识别认证等方式是强度较高的使用者与设备身份认证技术。

相关日志

Tags:, , , , .
评论数量() | Add Comments
本文网址:http://www.9usb.net/201001/vpn-anquan-jishu.html

There are No comments.

» You can leave a response

leave a reply