返回
基于ipsec安全体系的vpn网络设计与实现

基于ipsec安全体系的vpn网络设计与实现

ID:18005327

大小:31.25 KB

页数:9页

时间:2018-09-12

基于ipsec安全体系的vpn网络设计与实现_第1页
基于ipsec安全体系的vpn网络设计与实现_第2页
基于ipsec安全体系的vpn网络设计与实现_第3页
基于ipsec安全体系的vpn网络设计与实现_第4页
基于ipsec安全体系的vpn网络设计与实现_第5页
资源描述:

《基于ipsec安全体系的vpn网络设计与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于IPSec安全体系的VPN网络设计与实现  (呼伦贝尔学院信息科学学院,内蒙古呼伦贝尔021008)  摘要:文章通过对IP安全体系结构(IPSec)的关键技术进行研究,提出了建立基于IPSec的虚拟专用网的设计原则,并在此基础上给出了一个用于连接企业分支机构的虚拟专用网的设计实例与工作流程分析,指出利用IPSec实现虚拟专用网具有灵活、有效和易于实现的优点。  关键词:IPSec;VPN;网络安全;防火墙  中图分类号:TP89308文献标识码:A文章编号:1007—6921(XX)03—0316—02  随着Internet技术的迅猛发展

2、,开放的互联网络已经成为社会生活中不可或缺的一部分。因而,如何保证网络中传输的敏感信息的安全成了迫在眉睫的问题。许多大公司和政府机构出于安全考虑不得不用物理的办法将专用网络和Internet隔离,这种分割阻碍了Internet全球化的实现。为此IETF(InternetEngineeringTaskForce)定义了IPSec协议簇,为IP协议引入了安全特性,同时也是目前适用于所有Internet通信的惟一一种安全技术。  目前,组建大型信息网络的关键技术是TCP/IP网络互联和路由技术,特别在Internet中,路由器起着重要的作用。这里所指的安全路由器是

3、在完成普通路由器功能的基础上实现了IPSec协议簇的路由设备,是保证互联网(同时也包括Intranet和Extranet)信息安全的关键设备之一,它可以防止虚假路由信息的接收;防止路由器的非法接入;对路由信息和IP数据包进行加密保护;对复杂网络加密的正确性和系统的可用性进行检查。  1IP安全体系结构的研究  IP安全体系结构由IETF的IPSec工作组制订,是一个开放性的标准框架。它不仅可以使用现今的密码学算法,而且将来出现更新更强大的密码算法,同样也可以用于该体系结构。IPSec不仅为因特网提供了基本的安全功能,而且为创建健壮安全的虚拟专用网络也提供了

4、灵活的手段。  1.1安全服务和安全协议  IPSec工作组制订的协议主要是为了解决以下几个领域的问题:①数据源身份认证证实数据报文是所声称的发送者发出的。②数据完整性证实数据报文的内容在传输过程中没有被修改过,无论是被故意改动或是由于发生了随机的传输错误。③数据保密隐藏明文的消息,通常靠加密来实现。④重放攻击保护攻击者不能截获数据报文,且稍后某个时间再发放数据报文,而不会被检测到。⑤自动密钥管理和安全关联管理保证只需少量或根本不需要手工配置就可以在扩展的网络上方便并精确地实现公司的虚拟专用网络。这样,虚拟专用网的规模就可以根据业务的需要任意调整。  I

5、PSec定义了两种类型的安全协议:IP认证报头(AH)和IP负载安全封装(ESP)。其中AH采用MD5(MessageDigest5)和SHA1(SecureHashAlgorithm)算法,AH为IP数据报文提供无连接的数据完整性校验和数据源身份认证,同时可以防止重放攻击。数据完整性校验通过有消息认证代码(如MD5)产生的校验来保证;数据源身份认证通过在待认证数据中加入一个共享密钥来实现;而AH报头中的序列号则是为了防止重放攻击而加入的。  ESP采用DES(DataEncryptionStandard)和3DES等算法,ESP提供的功能包括数据加密、无连

6、接的数据完整性、数据源身份认证和重放攻击保护。其中数据加密是ESP的基本功能,而数据源身份认证、数据完整性校验和重放攻击保护则是可供选择的。虽然加密可以独立于其他服务单独选择,但强烈推荐在使用加密的同时使用完整性校验和身份认证。如果只选了加密服务,攻击者就可以通过伪数据报文来实施密码分析攻击。而当选择了完整性校验和身份认证服务时,上述攻击方法就是无效的,此外,如果采用了非对称的加密算法,还能提供数字签名服务。  AH和ESP协议都具有两种使用模式:传输模式和通道模式(或叫隧道模式).传输模式仅适用于主机之间的通信,该模式中,AH或ESP报头被插入到IP分组的

7、IP报头之后、上层协议或其他IPSec报头之前。通道模式可用于主机或安全网关之间的通信,在该模式下,源IP分组作为被鉴别或加密的数据,在AH或ESP报头之前再增加一新的IP报头。  1.2安全关联  IKE(InternetKeyExchange,因特网密钥交换协议)为IPSec提供了自动协商交换密钥、建立安全联盟的服务。  安全关联(SA)是实现安全服务的基础。一个SA就是两个IPSec系统之间的一个单向逻辑连接,它详细定义了用于保密通信的一组安全参数,包括加密P鉴别算法、加密密钥、协议模式、SA的生存期等,通常用一个三元组惟一地表示,即:。  对应于

8、AH和ESP的模式,SA也可分为两种类

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。