最近更新时间:2021-09-23
VPN(Virtual Private Network)是指通过加密通道在公网建立一条安全隧道,使得VPC、用户数据中心、办公场所之间的数据通过隧道安全加密地进行传输。
通过VPN连接,本地业务快速拓展到云上,可以实现应用和业务弹性、灵活扩展的需求,保证业务的稳定运行。还可以基于VPN网关构建云上灾备中心,备份业务资源,防止因资源业务中断而影响现有业务,保证业务数据安全。
VPN连接由VPN网关、客户端网关、VPN连接组成。
VPN网关是建立VPN连接的出口网关,为VPC提供了公网出口。通过VPN网关可实现VPC和用户本地网络的安全加密通信。一个VPC绑定一个VPN网关。
一个VPN网关可以与一个或多个客户端网关建立VPN连接。
客户端网关即客户端网络的出口网关。客户端网络即需要与紫光云VPC建立IPSec隧道连接的用户本地网络(例如IDC网络)。一个用户本地网络对应一个客户端网关。
VPN连接是指在VPN网关和客户端网关之间建立的安全加密通道。目前VPN网关基于IPSec协议和IKE协议,与用户本地网络之间建立加密的传输隧道,实现数据的安全可靠。
IPSec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证,是一种传统的实现三层VPN的安全技术。
IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)和用于网络认证及加密的一些算法等。其中,AH协议和ESP协议用于提供安全服务,IKE协议用于密钥交换。
IPSec提供了两种安全机制:认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。
IPSec在两个端点之间提供安全通信,端点被称为IPSec对等体。
安全联盟(Security Association,SA)是IPSec的基础,也是IPSec的本质。SA是通信对等体间对某些要素的约定,例如,使用哪种协议(AH、ESP还是两者结合使用)、协议的封装模式(传输模式和隧道模式)、加密算法(DES、3DES和AES)、特定流中保护数据的共享密钥以及密钥的生存周期等。
在实施IPSec的过程中,可以使用IKE(Internet Key Exchange,互联网密钥交换)协议来建立SA,该协议建立在由ISAKMP(Internet Security Association and Key Management Protocol,互联网安全联盟和密钥管理协议)定义的框架上。IKE为IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理,大大简化IPSec的配置和维护工作。
IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三方截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
DH(Diffie-Hellman,交换及密钥分发)算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三方(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,也不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。
PFS(Perfect Forward Secrecy,完善的前向安全性)特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。
