返回
软件VPN的安全性.doc

软件VPN的安全性.doc

ID:25816740

大小:281.00 KB

页数:8页

时间:2018-11-22

软件VPN的安全性.doc_第1页
软件VPN的安全性.doc_第2页
软件VPN的安全性.doc_第3页
软件VPN的安全性.doc_第4页
软件VPN的安全性.doc_第5页
资源描述:

《软件VPN的安全性.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、软件VPN的安全性本文主要论述基于业界公认的IPSec加密安全通讯协议之上开发的软件VPN的安全性,其它基于非加密通讯协议(如:L2TP、PPTP等)或一些企业自定义通讯协议(如:VNN、金万维天联VPN)的软件VPN等不在本文的讨论范围内。IPSec安全机制Internet网络无处不在,是一个非常理想的数据传输广域网络,但是传统的Internet网上的应用数据传输都是采用明文直接传输的,易于被恶意地监听和窃取,因此一直以来大家在使用Internet传输敏感信息时,都在当心其信息数据的安全性。在使用TC

2、P/IP协议的Internet体系结构中,IP层是一个附加安全措施的很好场所,因为IP层处于整个协议体系的中间点,它既能捕获所有从高层来的报文,也能捕获所有从低层来的报文。从IP层的定义来看,在这一层附加安全措施是与低层协议无关的,可对高层协议和应用进程透明。许多Internet网络应用可以从IP层提供的安全服务中得益。正是基于这一考虑,Internet标准协议制定组织IETF已制定了一系列安全协议标准IPSec和IKMP密钥管理协议,用来提供IP层安全服务。目前已有多种产品支持IPSece安全协议。I

3、PSec和一些密钥管理协议为组建安全的VPN提供了一条很好的途径。IPSec是一个能在Internet上保证通道安全的开放标准,IPSec生成一个标准平台,来开发安全网络和机器之间的安全数据隧道。通过IPsec的安全隧道,在数据包可以传送的网络中生成像电路那样的专用连接。利用IPsec来确保数据网络的安全,通过使用数字证书和自动认证设备,来相互验证发送信息双方的用户身份。对需要在很多设备之间安全连接的大型网络中确保数据安全,IPsec是一个理想的安全VPN解决方案。部署了IPsec的用户能确保其网络基础

4、设施的安全,而不会影响各台计算机上的应用程序。此套协议是用作对网络基础设施的纯软件升级,这既允许实现安全性,又没有花什么钱对每台计算机进行改造。最重要的是,IPsec允许不同的网络设备、PC机和其他计算机系统之间实现互通。IPsec有两种模式——传输模式和隧道模式。传输模式只对IP分组应用IPsec协议,对IP报头不进行任何修改,它只能应用于主机对主机的IPsec虚拟专用网VPN中。隧道模式中IPsec将原有的IP分组封装成带有新的IP报头的IPsec分组,这样原有的IP分组就被有效地隐藏起来了。IPs

5、ec协议中有两点是我们所关心的:鉴定报头AH(AuthenticationHeader)和封装安全载荷ESP(EncapsulationSecurityPayload)。鉴定报头AH可与很多各不相同的安全认证算法一起工作。它要校验源地址和目的地址这些标明发送设备的字段是否在路由过程中被改变过,如果校验没通过,分组就会被抛弃。通过这种方式AH就为数据的完整性和原始性提供了鉴定,对IP报文提供鉴别信息和强大的完整性保护。如果鉴别算法以及密钥采用非对称密码体制如RSA,则还可提供无法否认的数字签名。AH通过对

6、IP报文增加鉴别信息来提供完整性保护,此鉴别信息是通过计算整个IP报文,包括IP报头、其他报头和用户数据中的所有信息而得到的,AH鉴别信息通常总是出现在IP报头之后。封装安全载荷(ESP)包头提供数据载荷的完整性和IP数据的可靠性。数据载荷的完整性保证了用户数据没有被恶意网客破坏,可靠性保证使用密码技术的安全。对IPv4和IPv6,ESP包头都列在其它IP包头后面。ESP编码只有在不被任何IP包头扰乱的情况下才能正确发送包。ESP协议非常灵活,可以在多种加密算法下工作,可选择算法包括Triple-DES

7、、AES、RC5、IDEA、CAST、BLOWFISH和RC4。ESP是通过对数据进行加密来提供数据的私密性和完整性保护的,从而避免数据在传输过程中的泄密和非法篡改。根据用户的安全需求,ESP机制可用于只对用户数据加密或对整个IP报文进行加密。IP层的安全机制需要密钥管理协议。有几种密钥管理系统可用于IPSec的安全机制AH和ESP中,包括人工密钥分配、自动密钥分配。IETF已经开发出Internet标准密钥管理协议(ISAKMP:InternetSecurityAssociationandKeyMan

8、agementProtocol),实现Internet网上安全的自动密钥分配。传统IPSecVPN的局限性易联网服务是一种全新的安全VPN解决方案,它有别于其任何传统的以IPSec为基础的安全VPN解决方案。在这里,有必要把传统的IPSecVPN的实现方式说明一下。传统的IPSecVPN的实现方式是指那些采用VPN(IPSec)网关的实现方式,如下图所示:在这种实现方式中,不同的VPN网关之间,或者是在个人用户与VPN网关之间建立一条IPS

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。