返回
基于IPSec的虚拟专用网VPN的设计

基于IPSec的虚拟专用网VPN的设计

ID:44305143

大小:30.87 KB

页数:3页

时间:2019-10-20

基于IPSec的虚拟专用网VPN的设计_第1页
基于IPSec的虚拟专用网VPN的设计_第2页
基于IPSec的虚拟专用网VPN的设计_第3页
资源描述:

《基于IPSec的虚拟专用网VPN的设计》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、基于IPSec的虚拟专用网VPN的设计黄小平陈平(上海交通大学计算机科学与工程系上海200030)摘要IPSec是可“无缝”地为IP引入安全机制的协议套件,本文分析了其安全体系结构和原理,给出了基于IPSec构建企业分支机构安全VPN网络的解决方案及设计中需着重考虑的问题。讨论了IPSec发展远景以及一些可改进的地方。关键词虚拟专用网隧道技术IPSec安全网关VPNDESIGNBASEDONIPSecHuangXiaopingChenPing^DqpartmentofComputerScienceandEngineering,Shanghai

2、JiaotongUniversity,Shanghai200030)AbstractIPSecisasuitsprotocolthatcanbebroughtconnectionlesssecurityintoIP.Thispaperdeeplyanalyzedtheframeandprinciple,andaninstanceofVPNdesignonacompanyanditsseveraloffshootsisgiven.WealsodiscussedsomeflawsandthefartherdevelopmentofIPSec.Ke

3、ywordsVirtualprivatenetwork(VPN)TunnelingInternetprotocolsecurity(IPSec)Securitygateway1IPSec协议的体系结构及原理IPSec是用来增强VPN安全性、开放性的标准协议框架。其基础框架是:①IP认证报头协议AH(AuthenticationHeader);AH提供数据的完整性和认证;②IP封装安全负载协议ESP(EncapsulatingSecurityPayload),ESP原则上只提供机密性,但也可在ESPHeader中制定适当的算法及模式来确保数据的

4、完整性及初始认证。AH和ESP可以分开使用也可混合使用。完整的IPSec还应包括AH和ESP中所使用的安全联盟SA(SecurityAssociation)和密钥交换协议IKE(InternetKeyExchange)。IPSec的主要特征是支持IP级所有流量的加密和认证,增强所有分布式应用的安全性。1.1认证报头AH只提供认证及装载数据的完整性,但不包括机密性。AH虽然在功能上和ESP有些重复,但AH除了可以对IP的有效负载进行认证外,也可对IP头部实施认证。主要是处理数据对,而ESP的认证功能主要是处理IP的有效负载。AH使用128位密钥

5、的消息摘要5(MessageDigest5,MD5)来计算出整个单向数据函数,使得接收端也可以验证、计算是否使用相同的密钥以检查数据是否正确完整,若检查不符则将此包丢弃。在AH的报头里含有一个为待处理的包决定安全联盟SA内容的安全参数索引SPI(SecurityParameterIndex)、和提供对重播攻击抵抗的序列号(SequenceNumber)以及用于保留数据包加密MAC摘要的数据认证字段。1.2封装安全负载ESP协议主要用来保证IP数据包的机密性、数据的完整性、数据源的身份验证以及提供抗重播攻击服务。ESP与具体的加密算法相互独立,

6、几乎可以支持各种对称密钥加密算法,例如DES,Triple—DES,RC5等。ESP协议数据单元格式由三个部分组成,除了头部、加密数据部分外,在实施认证时还包含一个可选尾部。头部有两个域:安全参数索引SPI和序列号。在IPSec中不管是ESP还是AH,均有两种不同的工作模式:隧道模式及传输模式。当ESP工作在传输模式时,是在当前的IP头与上层协议头之间插入一个特殊的IPSec头,用于保护上层协议。而在隧道模式时,是整个IP数据包进行加密作为ESP的有效负载,并在ESP头部前增添以网关地址为源地址的新的IP头部,此时可以起到网络地址转换NAT的

7、作用。ESP和AH可以混合使用,也可独立分开使用。1.3安全联盟SA是IPSec标准中最重要的内容是实现安全服务的基础,它定义了一个包含了IP封包加密、解密和认证的相关信息的安全“环境”。所谓安全联盟是指安全服务与它服务的载体之间的一个“连接”。AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。其功能如下:•密码功能:提供加密或认证或两者同时•密码演算法:例如加/解密使用DES(或Triple—DES)、认证使用MD5•密码演算法中所使用的密钥,密钥的生侖周期等收稿日期:2003—

8、01—15。黄小平,工程师,主研领域:计算机应用技术,计算机网络。•是否有初始化矢量•SA的生命周期SA可以使用安全参数索引SPI来描述,也就是一个SPI值决定一个

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。