欢迎您来到北京密安
欢迎您来到北京密安
当前位置: 首页 > 产品介绍 > 技术白皮书 > VPN技术白皮书
MALVPN-密安VPN产品技术白皮书

二、产品简介

1、虚拟专用网络(VPN)

    VPN允许一个单位基于公共网络基础设施构建自己的"专用网络",并通过控制对该网络的访问来建立对等的连接。VPN"虚拟"的含义在于它没有专用的物理网络,而只是在逻辑上共享物理线路,VPN"专有"的含义在于它使用路由或加密技术将信息流从不安全的公共网络环境隔离出来。VPN可以使网络通信对用户"透明";具有"虚拟"和"专用"的安全特性;充分利用已有公共网络基础设施的高效性;可以节省远程访问的长话费、网络设备运行和维护费。

    VPN是使用隧道技术来实现其功能的。目前,普遍采用的隧道技术主要有三种:即:基于第二层的

    PPTP协议(Point-to-Point Tunneling Protocol)和L2TP协议(Layer2 Tunlleling Protocol);基于第三层的IPSec安全体系结构(IP Security)。其中网络层的安全标准是IPSec,它是一个开发性的标准框架,可以把多种安全技术集合到一起,可以建立一个安全、可靠的隧道。事实证明,基于IPSec技术构建的VPN是应用最广、安全特性最完备的实现形式。

2、北京密安VPN (MAVPN)

    MAVPN系统专门用于构建网络安全专用平台,真正完全实现VPN核心技术中的IKE与IPSEC协议的全功能,完全符合IETF的IKE/IPSEC协议标准,支持各种认证及加密算法。对用户数据提供加密、完整性校验以及身份认证的功能,最大限度的对上层应用提供安全保护;支持多种安全算法的协商,协商内容包括加密所采用的算法、密钥和摘要认证所采用的算法及相关密钥等;设备之间采用基于证书的认证。证书遵循X.509证书体系。

MAVPN所涉及的技术主要包括隧道技术、认证技术和加密技术。

⑴隧道技术

    VPN利用"隧道技术"的处理方法,在Internet上传送加密的信息。隧道技术就是将网络数据包封装在另一个数据包中的过程。其优点是能够隐藏实际发送者、接收者的IP地址及其它协议信息(例如它可以隐藏数据包中是否包括Email或网页信息)。

    在Internet上传送的加密数据包,只有VPN端口(或网关)的IP地址暴露在外面。

⑵加密技术

    加密是修改信息以使其不能被预期接收者以外的其他人读取的技术。这些工作主要是通过数学算法(加密算法)来实现。它需要"钥匙"(密钥)对原始数据"开锁"(解密)。使用相同密钥来对数据进行加密或者解密的过程被称为"对称加密算法",如DES和RC4;使用不同密钥(公钥和私钥)来加密和解密的算法被称为"非对称加密算法"或"公开密钥加密算法",如RSA和Diffie-Hellman。

⑶认证技术和数据完整性

    除了加密和解密,VPN也需核实信息发送方的身份,并确保信息在Internet上传送时没有被篡改。核实发送者身份的过程被称作"认证"。认证通过用户的名字和口令来实现,或通过被称作"电子证书"或"数字证书"的信息来完成。电子证书包括加密参数。它是唯一被用作验证用户或主系统身份的工具。

    核实数据传输过程中没有被外部人员篡改的过程称作"数据完整性检查"。完整性检查通过数学算法来完成,即Hash函数。在数据被送出之前对数据进行处理,当接收到数据时,使用相同的Hash函数处理,如果得到的结果相同,则说明数据没有被篡改。

    MAVPN是基于的Linux操作系统,并支持其他各种操作系统,是用C/C++语言编写的。它沿用了IETF标准,保证了在最大程度上与配置在其他网络上的VPN解决方案的互用性。该产品的安全机制配置在传输层以下,这样使得它对于应用软件和用户是透明的,用户网络环境无需认证变动即可以实现对整个子网的安全保护。

    北京密安公司的VPN是第一个通过公安部计算机信息系统安全产品质量监督检测中心检测的符合国际标准的VPN。销售许可证编号:XKC300094。

MAVPN配置有两种方式:命令行方式和界面方式。界面方式如下图:

3、产品符合协议:

IKE协议

*处理模式:主模式,快速模式

*认证方法:预先共享密钥,RSA数字签名

*加密算法:HMAC-MD5,HMAC-SHA-1

*Oakley组描述:768位的MODP组,1024位的MODP组

*身份标识保护

*对IPSEC的密钥信息的完全向前保密。

IPSEC协议

*封装模式:AH,ESP

*AH认证的转换:HMAC-MD5,HMAC-SHA-1

*ESP加密算法:DES-CBC,3DES-CBC

*ESP认证算法:HMAC-MD5,HMAC-SHA-1

*IPSEC层数据包重组

*防重发保护

*符合的相关RFC

*RFC 1828:用加密钥的MD5算法进行IP认证

*RFC 1829:ESP DES-CBC转换

*RFC 1851:ESP 3-DES转换

*RFC 2085:HMAC-MD5 IP的具有防止重发的认证

*RFC 2104:HMAC:对信息认定的加密钥散列

*RFC 240:IP的安全体系结构

*RFC 2402:IP认证报文头

*RFC 2403:在ESP和AH内部使用HMAC-MD5-96

*RFC 2404:在ESP和AH内部使用HMAC-SHA-1-96

*RFC 2405:使用外在IV的ESP DES-CBC加密算法。

*RFC 2406:IP封装安全有效负荷

*RFC 2407:ISAKMP解释的InternetIP安全域

*RFC 2408:Internet安全协会和密钥管理协议(ISAKMP)

*RFC 2409:Internet密钥交换(IKE)

*RFC 2410:零加密算法和它在IPSec中的使用

*RFC 2411:IP安全域路标

*RFC 2412:OAKLEY密钥确定协议

*RFC 2451:ESP中的 CBC模式下的加密算法

欢迎您来到北京密安

地址:北京市海淀区上地信息路华成大厦            电话:正在变更            邮编:100085

E-Mail:intrust@onets.com.cn        网址:http://www.onets.com.cn         传真:正在变更

Copyright@2013北京密安网络技术股份有限公司    京ICP备17034799号