欢迎来到天天文库
浏览记录
ID:55280215
大小:151.50 KB
页数:8页
时间:2020-05-08
《网络安全传输通道技术的研究.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、1概述 随着因特网的高速发展,网络上开发的应用越来越多,一些关键业务也开始通过因特网提供。而Internet的一大特性是他的开放性,正是这种开放性给因特网上服务的安全构成了严重威胁。为了保证它健康有序的发展,必须在网络安全上提供强有力的保证。 所谓网络安全传输通道,就是利用安全通道技术(SecureTunnelingTechnology),通过将待传输的原始信息进行加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目的端的用户对通道中的嵌套信息能够进行解释和处理,而对于其他用户而言只是无意义的信
2、息。网络安全传输通道应该提供以下功能和特性:1.机密性:通过对信息加密保证只有预期的接收者才能读出数据。2.完整性:保护信息在传输过程中免遭未经授权的修改,从而保证接收到的信息与发送的信息完全相同。3.对数据源的身份验证:通过保证每个计算机的真实身份来检查信息的来源以及完整性。4.反重发攻击:通过保证每个数据包的唯一性来确保攻击者捕获的数据包不能重发或重用。 在因特网上普遍采用的是TCP/IP协议,TCP/IP协议的体系结构相对于OSI/ISO体系结构的7层模型是比较简单而实用的,其模型如下:应用层传输层网络层主机到网络层 此体系结构中,最下面的主机到网络
3、层实际上包括了OSI模型中的2层:数据链路层和物理层。本文将从TCP/IP的各个层次介绍相关的安全传输通道技术。2在数据链路层实现安全传输通道的技术[1] 数据链路层技术涉及到软件和硬件两个方面,硬件方面不在本文中讨论。当前能在此层提供安全通道技术的安全协议主要有:PPTP和L2TP。它们主要是为了组建远程访问VPN而提出的。 PPTP是第2层协议,它将PPP帧封装在IP数据报里以在IP网络中传输。它是微软开发的一个较旧的协议。相反,L2TP是基于Cisco的“第2层转发(L2F)”协议和微软的PPTP协议的较新协议。它可以封装在IP、X.25、帧中继、异
4、步传输模式等上发送的PPP帧。虽然L2TP比PPTP更灵活,但它比PPTP需要更多的CPU能力。L2TP和PPTP的主要技术性区别如下:1.PPTP要求传输网络基于IP,而L2TP只要求传输网络提供点对点连通性;2.PPTP只支持VPN客户机和VPN服务器之间的一个隧道,L2TP允许在终点间使用多个隧道。使用L2TP可以为不同服务质量而创建不同的隧道或满足不同安全要求;3.L2TP提供信息头压缩,当启用信息头压缩时,L2TP以4字节开销运行相当于PPTP以6字节运行。2.1PPTP的封装 原始IP数据报在PPTP客户机和PPTP服务器之间传输时,PPTP封装
5、它。图1显示了PPTP信息包的封装格式: 图1PPTP的封装格式 在上图中,原始数据报首先封装在PPP帧里。使用PPP可压缩和加密该部分数据。然后将PPP帧封装在GRE(GenericRoutingEncapsulation)帧里,该帧是PPTP客户机和PPTP服务器之间发送的新IP数据报的有效负载。该新数据报的源和目标IP地址将和PPTP客户机及PPTP服务器的IP地址相对应。执行中该数据报将进一步封装在数据链路层帧里并且有正确的信息头和信息尾。2.2L2TP的封装 和PPTP相似,当经过传输网络传送时,L2TP封装原始IP数据报。由于在L2TP中,是
6、靠IPSec提供加密功能,所以L2TP封装分两个阶段完成:初始L2TP封装和IPSec封装。阶段1:初始L2TP封装阶段2:IPSec封装 图2L2TP的两阶段封装 如图2所示,L2TP首先将原始数据报封装在PPP帧里(和PPTP一样);然后将PPP帧插入到有UDP信息头和L2TP信息头的新IP数据报。然后结果数据报再应用IPSec加密。在这里,应用了IPSec标准中的封装安全载荷(ESP)协议的信息头和信息尾以及IPSec验证信息尾,这样就保证了信息的完整性和机密性以及信息源的身份验证。最外层IP报头所包含的源和目标IP地址与VPN客户机和VPN服务器相
7、对应。3在网络层实现安全传输通道的技术[2] 当前,在网络层实现安全已经成为一大研究热点,并且Internet工程任务组(IETF)于1998年公布了因特网安全体系结构——IPSec规范,这更加速了这方面的研究和实施。3.1IPSec简介 它是由IETF的IPSec工作组提出的将安全机制引入TCP/IP网络的一系列标准,包括安全协议(验证头AH和封装安全净荷ESP)、安全联盟、密钥管理和安全算法等,它定义了IP数据包格式和相关基础结构,以便为网络通信提供端对端、加强的身份验证、完整性、反重播和保密性等。使用IETF定义的Internet密钥交换(IKE),
8、还提供按需要的安全协商和自动密钥管理服
此文档下载收益归作者所有