软考-虚拟专用网原理与应用

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

by 2023年10月

虚拟专用网概念

虚拟专用网（Virtual Private Network）是一种通过公共网络（例如Internet）建立起来的安全加密通讯隧道，可以在公共网络上传送数据，使得发送的数据经过加密后，在公共网络中的传输变得更加安全。虚拟专用网技术可以实现远程访问、加密通讯、局域网互联等功能，广泛用于企业、政府机构和个人用户之间的网络通讯。 虚拟专用网可以让用户不需要通过特殊的物理连接（例如有线电路或专线）而访问公司或机构的内部网络，从而提高了网络访问的便利性，也加强了网络的安全性。

虚拟专用网是一种安全服务，其主要安全服务内容包括：

1. 保护隐私：虚拟专用网通过加密技术，可以将用户在网上的行为和数据流量进行保护，防止第三方机构或个人窃取用户的隐私信息。

2. 防止网络钓鱼：虚拟专用网通过加密技术，可以使用户的网络流量经过隧道传输，从而避免网络钓鱼。

3. 浏览匿名：虚拟专用网可以隐藏用户的真实IP地址，避免用户被跟踪，从而可以保护用户的匿名性和隐私。

4. 突破网络限制：虚拟专用网可以允许用户突破地域限制和封锁，让用户访问被限制的网站和应用程序。

5. Wi-Fi安全：虚拟专用网可以保护用户在公共Wi-Fi上的个人信息，从而避免用户被黑客攻击。

主要安全特性：

保密性服务(Confidentiality) ：防止传输的信息被监听

完整性服务(lntegrity) ：防止传输的信息被修改

认证服务(Authentication) ：提供用户和设备的访问认证，防止非法接入。

虚拟专用网技术风险：1、产品代码实现的安全缺陷；2、密码算法安全缺陷；3、配置不当的管理缺陷。

虚拟专用网技术虽然可以为用户提供较高的网络安全性和隐私保护，但同时也存在一些风险：

1. 数据泄露：尽管虚拟专用网通常使用加密技术对数据进行保护，但如果虚拟专用网供应商的服务器被攻击或出现漏洞，用户的数据就会被泄露。

2. 网络速度降低：由于虚拟专用网需要将用户的网络流量传输到远程服务器进行加密和解密处理，因此会增加网络延迟和降低网络速度。

3. 受限制的访问：一些网站和服务可能不允许使用虚拟专用网，这可能会导致用户的访问受到限制或封锁。

4. 不可靠的供应商：一些虚拟专用网服务供应商可能存在不可靠或欺诈行为，如记录用户活动日志、共享用户数据等不良行为。

5. 依赖性问题：使用虚拟专用网需要依赖虚拟专用网供应商的服务器和网络，如果供应商服务不稳定或出现故障，用户将无法使用虚拟专用网服务。

虚拟专用网类型

按照在TCP/IP 协议层的实现方式可将其分为链路层虚拟专用网、网络层虚拟专用网、传输层虚拟专用网。

• 链路层虚拟专用网：实现方式有ATM 、Frame Relay、多协议标签交换MPLS；
• 网络层虚拟专用网：受控路由过滤、隧道技术、GRE通用路由封装协议；
• 传输层虚拟专用网： 通过SSL 来实现。

实现技术是密码算法、密钥管理、认证访问控制、IPSec、SSL、PPTP和L2TP 等。

核心技术是密码算法。应用到密码算法有国外的DES、AES、IDE、RSA，国产商用密码算法SM1.M4分组密码算法、SM3杂凑算法

密钥的分发有两种方法

手工配置：可靠，密钥更新速度慢。

密钥交换协议动态分发：自动协商动态生成密钥，密钥可快速更新。主要有SKIP (互联网简单密钥管理协议)和SAKMP/Oakley (互联网安全联盟和密管理协议)。

认证访问控制

连接中认证访问控制一般包括两种形：1、用户身份认证；2、据完整性和合法性认证

IPSEC

IPSec (Internet Protocolecurity) 规范：认证头(Authentication Header, 简称AH)、封装安全有效负荷(Encapsulatin Security Payload,简称ESP)以及密钥交换协议。

IP AH( 认证头协议 )是保证IP 包的完整性和提供数据源认证，为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。

IP ESP在于保证IP包的保密性，方法是将IP包做加密处理，对数据域进行安全封装，并生成带有ESP 协议信息的IP包。接收方收到后，对ESP 进行解密去ESP 头，再像普通的IP包那样进行处理。AH与ESP可以合用也可以分用。

IP AH 和IP ESP 都有两种工作模式，即透明模式(Transport mode)和隧道模式(TunnelMode)。透明模式只保护IP包中的数据域(data payload)，而隧道模式则保护IP包的包头和数据域。

IPSec 的相关密钥管理协议主要有互联网密钥交换协议IKE、互联网安全关联与密管理协议ISAKMP、密钥交换协议Oakley。

SSL

( Secure Sockets Layer )是应用于传输层的安全协议，用于构建客户端和服务端之间的安全通道。包含握手协密码规格变更协议、报警协议和记录层协议。

• 握手协议: 身份鉴别和安全参数协商
• 密码规格变更协议: 通知安全参数变更
• 报警协议: 通知和报警
• 记录层协议: 数据传输分段、压缩和解压缩、加密解密、完整性校验

SSL提供了三种安全通信服务，分别为：

1. 数据加密：SSL使用公开密钥加密技术来加密传输的数据。在传输过程中，数据被加密后再发送到目的地，只有接收方能够解密并读取数据。

2. 身份验证：SSL使用数字证书来验证服务器的身份，确保用户正在与正确的服务器建立连接。数字证书由权威CA机构颁发，证书中包含了服务器的公钥等信息。

3. 数据完整性验证：SSL使用哈希函数来验证数据的完整性，确保数据在传输过程中没有被篡改或损坏。哈希函数会对每个数据包进行计算，生成独特的哈希值。接收方会对哈希值进行验证，确保数据没有被篡改。

PPTP协议

PPTP（Point-to-Point Tunneling Protocol）是一种基于TCP/IP协议的虚拟专用网协议。它是由Microsoft与其他公司共同开发的，旨在帮助用户通过Internet安全地连接到公司内部网络。

PPTP使用了一个称为GRE（Generic Routing Encapsulation）的协议，将用户的数据包封装在IP包中，然后通过Internet传输。PPTP还使用了一种称为PPP（Point-to-Point Protocol）的协议，用于建立和维护连接。 PPP提供了一种标准的方法来认证用户和数据加密。

PPTP使用了128位的数据加密，以确保传输的数据在传输过程中不被篡改或窃听。然而，PPTP已经被认为存在一些安全漏洞，因此在安全性方面不如其他虚拟专用网协议，如Open虚拟专用网和IPSec。

尽管如此，PPTP仍然是一种被广泛使用的虚拟专用网协议，因为它易于设置和使用，适用于多种操作系统和设备，并且具有较快的连接速度。