欢迎来到天天文库
浏览记录
ID:43442405
大小:18.48 KB
页数:6页
时间:2019-10-02
《VPN的实现技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、VPN的实现技术为了在Internet等公共网络基础设施上高效、安全的实现数据传输,VPN综合利用了隧道技术、加密技术、秘钥管理技术和身份认证技术。1、隧道技术是VPN的核心技术,VPN的所有实现都是依赖于隧道。隧道主要利用协议的封装来实现的。即用一种网络协议来封装另一种网络协议的报文。 简单说:就是在隧道的一端把B协议报文封装在A协议报文中,然后按照A协议报文在已建立的隧道中进行传输,到达另一端的时候,在进行解封装的操作,从A协议报文中解析出B协议报文,将得到的原始数据交给对端设备。 在进行数据封装时,根据封装协议(隧道协议)在OSI/RM中位置的不同,可以分为第二层隧道技术
2、和第三层隧道技术两种类型,其中,第二层隧道技术是在数据链路层使用隧道协议对数据进行封装,再把封装后的数据通过数据链路层的协议进行传输。第三层隧道技术是在网络层进行数据封装,即利用网络层的隧道协议对数据进行封装,封装后的数据再通过网络层协议进行传输协议名称 RFC编号封装化协议号码L2/L3加密与否LAN连接类型VPN远程访问类型VPNL2F 2341L2FUDP(17)第二层否×√PPTP草案DREGRE(47)第二层否√√L2TP草案L2TPUDP(17)第二层否√√ATMP2107GREGRE(47)第三层否×√BayDVS无GREGRE(47)第三层否×√GRE170
3、1GREGRE(47)第三层否√ IPSecESP2406ESPESP(50)第三层是√√ IPSecAH2406AHAH(51)第三层否√√二层隧道协议主要有:L2F、PPTP、L2TP,这三种协议通常是基于PPP协议的并且主要面向拨号用户,由此导致了这3种协议应用的局限性三层隧道协议主要有:IPSec、GRE在数据链路层上实现VPN具有一定的优点,加密时可使用硬件设备进行加密,这样做的好处在于速度快。缺点:不易扩展,而且仅在专用链路上才能很好的工作,另外,进行通信的两个实体必须在物理上连接到一起。2.加密技术加密技术对VPN来说是非常重要的技术。信息加密体制包括对
4、称加密体制和非对称加密体制,实际应用中通常是融合二者的混合加密技术,非对称加密技术(公开秘钥)多用于认证、数字签名以及安全传输会话秘钥等场合,对称加密技术则用于大量传输数据的加密和完整性保护。在VPN解决方案中最普遍使用的对称加密算法主要有DES、3DES、AES、RC4、RC5和IDEA等算法普遍使用的非对称加密算法主要有RSA、Diffie-Hellman和椭圆曲线加密等。当VPN封闭在特定的ISP内并且该ISP能够保证VPN路由及安全性时,攻击者不大可能窃取数据,因此可以不采用加密技术。3.秘钥管理技术现行秘钥管理技术分为SKIP和ISAKMP/OAKLEY两种。SKIP主要
5、利用Diffie-Hellman算法在开放网络上安全传输秘钥,而ISAKMP则采用公开秘钥机制,通信实体双方均有两把秘钥,分别为公钥、私钥,不同的VPN实现技术选用其一或者兼而有之。4.身份认证技术因为认证协议一般都要采用基于散列函数的消息摘要技术,因而还可以提供消息完整性验证。从实现技术来看,目前VPN采用的身份认证技术主要分为非PKI体系和PKI体系两类。非PKI体系一般采用用户ID+密码的模式,主要包括以下几种:(1)PAP(密码认证协议),以明文形式传送,PAP是一种不安全的协议(2)SPAP(ShivaPasswordAuthenticationProtocol,密码认证
6、协议),针对PAP不足而设计的,他会进行加密,但是加密形式不变,很容易受到攻击(3)CHAP(Challenge-HandshakeAuthenticationProtocol,挑战握手认证协议)。采用挑战-响应的方式进行身份的认证,认证端发送一个随机数给被认证者,被认证者发送给认证端的不是明文口令,而是将口令和随机数连接后经MD5算法处理而得到的散列值,一旦CHAP输入一次口令失败,就中断连接,不能再次输入。(4)MS-CHAP(微软挑战握手认证协议),采用MPPE加密方法将用户的密码和数据同时进行加密后再发送,应答分组的格式和Windows网络的应答格式具有兼容性,散列算法采用
7、MD4,还具有口令交换功能、认证失败时重输入等扩展功能。(5)EAP(扩展身份认证协议)是一个提供多个认证方法的协议框架,允许用户来根据自己的需要来自行定义认证方式。EAP的认证使用非常广泛,它不仅用于系统之间的身份认证,而且还用于无线和有线网络的认证,除此之外,相关厂商可以自行开发所需要的EAP认证方式,例如视网膜认证、指纹认证等都可以使用EAP。(6)RADIUS(RemoteAuthenticationDialInUserService),是为接入服务器开发的认
此文档下载收益归作者所有