欢迎来到天天文库
浏览记录
ID:20427255
大小:75.72 KB
页数:12页
时间:2018-10-12
《ipsecvpn技术的分析与研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、IPSecVPN技术的分析与研宄摘要:本文对IPsec协议的基本数据结构和安全特性进行分析,讨论了VPN关键技术和隧道协议,在此基础上给出了以IPsec为隧道协议的VPN基本工作原理,通过SSLVPN与IPsecVPN比较,得出IPsecVPN的优缺点及其适用的工作场景。关键词:IPsec;AH;EPS;VPN;SSL中图分类号:TP393.08文献标识码:A1概述IPSec的英文全名为“InternetProtocolSecurity”,中文名为“因特网安全协议”、这个安全协议是VPN的基本加密协议,它为数据通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双
2、方要建立IPSec通道,首先要采用一定的方式建立通信连接,因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,包括加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过力口密,如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。2IPsec原理2.1安全特性[1]IPSec的安全特性主要有:2.1.1不可否认性“不可否认性”可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。“不可否认性”是采用公钥技术
3、的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。2.1.2反重播性“反重播”确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地。2.1.3数据完整性防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。2.1.4数据
4、可靠性(加密)在传输前,对数据进行加密,可以保证在传输过程中即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。2.2数据包结构[2]2.2.1认证头认证头(AH)被用来保证被传输分组的完整性和可靠性。此外,它还保护不受重放攻击。表1认证头分组012301234567012345670123456701234567下一个头载荷长度保留安全参数索引(SPI)序列号认证数据(可变长度)字段含义:下一个头:标识被传送数据所属的协议。载荷长度:认证头包的大小。保留:为将来的应用保留(目前都置为0).安全参数索引与IP地址一同用来标识安全
5、参序列号:单调递增的数值,用来防止重放攻认证数据:包含了认证当前包所必须的数据。2.2.2封装安全载荷(ESP)封装安全载荷(ESP)协议对分组提供了源可靠性、完整性和保密性的支持。与AH头不同的是,IP分组头部不被包括在内。字段含义:安全参数索引:与IP地址一同用来标识安全参数。序列号:单调递增的数值,用来防止重放攻击。载荷数据:实际要传输的数据。填充:某些块加密算法用此将数据填充至块的长度。填充长度:以位为单位的填充数据的长度。下一个头:标识被传送数据所属的协议。认证数据:包含了认证当前包所必须的数据。3VPN原理3.1VPN的基本概念[3]在VPN(VirtualP
6、rivateNetwork,虚拟专用网络)中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。虚拟专用网对用户端透明,用户好像使用一条专用线路进行通信。3.2VPN的关键技术[4]目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密钥管理技术(KeyManagement)、使用者与设备身份认证技术(Authentication)。3.2.1隧道技术隧道是一种利用公网设施,在一个网络之上的“网络”传输数据的方法,被传输的数据可以是另一
7、协议的帧。隧道协议用附加的报头封装帧,附加的报头提供了路由信息,因此封装后的包能够通过中间的公网。封装后的包所途经的公网的逻辑路径称为隧道。一旦封装的帧到达了公网上的目的地,帧就会被解除封装并被继续送到最终目的地。3.2.2加解密技术加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。用于VPN上的加密技术由IPSec的ESP(EncapsulationgSecurityPayload)实现。主要是发送者在发送数据之前对数据加密,当数据到达接收者时由接收者对数据进行解密的处理过程,算法主要种类包括:对称加密(单钥
此文档下载收益归作者所有