VPN加密通道的高速解析与还原方法技术

本发明专利技术公开了一种VPN加密通道的高速解析与还原方法，包括PPTP加密通道的高速解析与还原；L2TP加密通道的高速解析与还原；IPSec积极模式的通道高速解析与还原。本发明专利技术从VPN通道的底层协议入手，着重研究VPN的数据链路层与网络层协议，解析协议的安全机制，找出其认证交互过程与加密传输过程中的不安全点，然后提出对VPN加密通道进行解析和破译的一种方法，并进一步实时地还原VPN加密通道上的敏感信息；本发明专利技术中的高性能计算技术可以有效的提高破译速度，降低了VPN中的RC4、DES等加密算法的攻击时间和空间复杂度，通过融入Hashcat源码扩大了破解算法种类。

【技术实现步骤摘要】
VPN加密通道的高速解析与还原方法
本专利技术涉及一种VPN加密通道的高速解析与还原方法。
技术介绍
VPN(虚拟专用网络)是在公用网络上建立专用网络，进行加密通讯的安全机制。在互联网和企业网络中有广泛应用。VPN通过隧道(通道)的方式实现数据包的加密和数据包的远程访问。VPN有多种关键技术，包括安全隧道技术、密钥管理技术、访问控制技术和用户身份认证技术。结合不同的认证加密方法，目前网络上的VPN种类有很多，其中，主流VPN加密协议包括PPTP、L2TP、IPSec、L2TP/IPSec等，使用VPN技术登陆到境外VPN服务器，不但绕过了国家对信息网络的监管，而且在实施各类网上违法犯罪活动时，由于隐藏了用户真实IP，导致难以追踪IP源头，给信息网络安全监管及打击网络违法犯罪带来巨大挑战。目前，世界各国和地区为了防止国家安全信息的传播，保护国家企业的机密资料不在互联网流传，都对网络采取了一定的监管措施。VPN加密通道高速解析与还原技术能够对网络进行监管，及时有效地追踪到违法犯罪源头，保障信息网络安全。PPTP协议作为VPN主流方式之一，被整个商业及互联网世界广泛使用，但是其密钥协商机制设计简单，加密算法和密钥都较弱，一旦密钥被破解就可以解密全部的流量，所以一直为认为是不安全的协议。IPSec的密钥协商机制IKE采用的是Diffie-Hellman和数字证书的认证方法，是公认的强加密的安全协议，具有抗攻击、保护数据完整性、机密性和完美向前保密的诸多优点。对VPN加密通道的解析与还原是国内外的研究热点和难点。根据棱镜门透露，目前一个代号不明的计划旨在挑选VPN加密密钥破译并建立数据库，美国间谍结构GCHQ(GovernmentCommunicationsHeadQuarters国家通信总局)在具备超级计算机的条件下，希望可以很快的获取VPN的加密密钥和登录口令，一般来说，PPTP加密协议的弱密钥在超级计算机的攻击下可以很快的被破解，1024位RSA加密(通常用于保护证书)比以前认为更弱。一旦一个密钥被解密，那么所有过去和将来的网络流量会在密钥不变化的情况下受到影响和监控。由于此研究内容的高难度与敏感性，国外还没有基于高性能计算破解VPN的公开详细资料。国内机构和高校对VPN的破译研究还处于人工流量分析阶段，对IPSec安全机制的破译没有切实可行的破译方法，针对PPTP加密协议主要通过软件抓包解析的方式解密加密流量，此方法主要针对采用PAP等简单过时加密机制的PPTP数据包，有很大的应用局限性，并且流量分析工作时间需求量大，分析流程人工化而繁琐，没有时效性和高速性。以高性能计算为基础的分析破译方法是一种普适性通用的高速加密分析方法，可以长期而有效的对加密协议进行解析并通过获取加密密钥来还原加密数据。
技术实现思路
为了克服现有技术的上述缺点，本专利技术提供了一种VPN加密通道的高速解析与还原方法。本专利技术解决其技术问题所采用的技术方案是：一种VPN加密通道的高速解析与还原方法，包括如下内容：(一)PPTP加密通道的高速解析与还原：在MS-CHAP的身份认证过程中，捕获明文数据包，根据加密流程，通过GPU高性能计算机对用户登录密码进行字典破解并获取登录口令，在获取登录口令的基础上，对MPPE的RC4加密密钥进行破译，获取MPPE加密密钥，从而还原加密信息；(二)L2TP加密通道的高速解析与还原：L2TP的身份认证过程中，数据以明文传递，破解CHAP即可实现加密通道的高速解析与还原；(三)IPSec积极模式的通道高速解析与还原：当IKEPhase1采用积极模式并且验证方法采用预共享密钥时，利用暴力破解法破解出密码，通过截取数据包分离出HASHr，利用SKEYID的生成公式破解出预共享密钥，通过替换Diffie-Hellman的密钥来完成对IPSec积极模式的加密信息还原。与现有技术相比，本专利技术的积极效果是：(1)本专利技术的研究方法是从VPN通道的底层协议入手，着重研究VPN的数据链路层与网络层协议，解析协议的安全机制，找出其认证交互过程与加密传输过程中的不安全点，然后提出对VPN加密通道进行解析和破译的一种方法，并进一步实时地还原VPN加密通道上的敏感信息。(2)本专利技术的VPN加密通道解析方法的攻击性与有效性得到了有效地验证：通过CUDA代码将原理性方法在GPU集群中实现，并以国内知名的翻墙软件GreenVPN、Cisco路由器和TP-Link路由器等设备作为目标，通过高性能破译平台实时在线的获取PPTP、L2TP的登录名和口令、IPSec的预共享密钥，成功的还原了VPN通道的加密数据。(3)本专利技术中的高性能计算技术通过彩虹表、字典攻击等方法可以有效的提高破译速度，降低了VPN中的RC4、DES等加密算法的攻击时间和空间复杂度，通过融入Hashcat源码扩大了破解算法种类。(4)本专利技术的研究成果应用广泛，可以适用于手机VPN软件的监管，企业跨网VPN设备的破译，互联网翻墙软件的破译，网络监控与测评系统的研究等，有助于将境内外VPN服务纳入到我国法律管理，加强VPN服务的市场管理，降低手机VPN技术应用对移动通信领域带来的危险，能及时有效的追踪互联网信息犯罪源头，有利于电子取证技术的发展，具有一定的社会经济效益。附图说明本专利技术将通过例子并参照附图的方式说明，其中：图1为MS-CHAPv1身份验证过程示意图；图2为MS-CHAPv2身份验证过程示意图；图3为IPSec积极模式的IKEPhase1交互过程示意图；图4为IPSec积极模式高速解析与还原的攻击原理图；图5为IPSec积极模式高速解析与还原的的演示环境图。具体实施方式本专利技术要解决的技术问题：1、解析PPTP协议的安全机制，突破MS-CHAPv1、MS-CHAPv2认证和MPPE加密的关键技术，并提出加密通道高速解析的方法。2、以高性能计算为破解平台获取PPTP协议的用户名和登录口令，对加密信息进行还原。3、解析L2TP协议的安全机制，突破认证和加密的关键技术，并提出加密通道高速解析的方法。4、解析IPSec协议积极模式的安全机制，突破认证方式为“预共享密钥”模式时的关键技术，并提出加密通道高速解析的方法。5、以高性能计算为破解平台破译出IPSec积极模式的预共享密钥，并结合数据流重定向的方法还原加密数据。PPTP和L2TP协议工作在OSI模型的第二层，又称为第二层隧道协议，IPSec是第三层隧道协议。第二层隧道和第三层隧道的本质区别在于，用户的数据包是被封装在哪一层里面的。一般来说每层协议可以独立加密数据包，也可以将两层协议结合，从而具有更好的安全性。例如：L2TP和IPSec协议的配合使用将形成性能更强的L2TP/IPSecVPN网络，下面将从网络各个层面对VPN协议的高速解析与还原进行详细说明：(一)PPTP加密通道的高速解析与还原PPTP协议本身没有重新定义加密机制，它继承了PPP的认证和加密机制，包括PAP、SPAP、MS-CHAPv1、MS-CHAPv2等身份验证机制以及MPPE(微软点对点加密)加密方法：1)PAP(密码认证协议)的客户端直接发送包含用户名/口令的认证请求，明文传送，极容易被窃听，只需要通过wireshak等数据包截获软件就可以分析本文档来自技高网...

【技术保护点】
一种VPN加密通道的高速解析与还原方法，其特征在于：包括如下内容：(一)PPTP加密通道的高速解析与还原：在MS‑CHAP的身份认证过程中，捕获明文数据包，根据加密流程，通过GPU高性能计算机对用户登录密码进行字典破解并获取登录口令，在获取登录口令的基础上，对MPPE的RC4加密密钥进行破译，获取MPPE加密密钥，从而还原加密信息；(二)L2TP加密通道的高速解析与还原：L2TP的身份认证过程中，数据以明文传递，破解CHAP即可实现加密通道的高速解析与还原；(三)IPSec积极模式的通道高速解析与还原：当IKE Phase 1采用积极模式并且验证方法采用预共享密钥时，利用暴力破解法破解出密码，通过截取数据包分离出HASHr，利用SKEYID的生成公式破解出预共享密钥，通过替换Diffie‑Hellman的密钥来完成对IPSec积极模式的加密信息还原。

【技术特征摘要】
1.一种VPN加密通道的高速解析与还原方法，其特征在于：包括如下内容：(一)PPTP加密通道的高速解析与还原：在MS-CHAP的身份认证过程中，捕获明文数据包，根据加密流程，通过GPU高性能计算机对用户登录密码进行字典破解并获取登录口令，在获取登录口令的基础上，对MPPE的RC4加密密钥进行破译，获取MPPE加密密钥，从而还原加密信息；(二)L2TP加密通道的高速解析与还原：L2TP的身份认证过程中，数据以明文传递，破解CHAP即可实现加密通道的高速解析与还原；(三)IPSec积极模式的通道高速解析与还原：当IKEPhase1采用积极模式并且验证方法采用预共享密钥时，利用暴力破解法破解出密码，通过截取数据包分离出HASHr，利用SKEYID的生成公式破解出预共享密钥，通过替换Diffie-Hellman的密钥来完成对IPSec积极模式的加密信息还原。2.根据权利要求1所述的VPN加密通道的高速解析与还原方法，其特征在于：在MS-CHAPv1的身份认证过...

【专利技术属性】
技术研发人员：罗杰，吉庆兵，于飞，张李军，陈曼，
申请(专利权)人：中国电子科技集团公司第三十研究所，
类型：发明
国别省市：四川,51