山东科技大学毕业设计(论文)
方在交换数据之前,先核对证书,如果准确无误,双方才开始交换数据。用户身份认证最常用的技术是用户名和密码方式。而设备认证则需要依赖由CA所颁发的电子证书。
目前主要有的认证方式有:简单口令如质询握手验证协议CHAP和密码身份验证协议PAP等;动态口令如动态令牌和X.509数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好,且支持动态地加载VPN设备,可扩展性强。 (3)密钥管理技术
密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥,而不被窃取。目前密钥管理的协议包括ISAKMP、SKIP、MKMP等。Internet密钥交换协议IKE是Internet安全关联和密钥管理协议ISAKMP语言来定义密钥的交换,综合了Oakley和SKEME的密钥交换方案,通过协商安全策略,形成各自的验证加密参数。IKE交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。
IKE协议是目前首选的密钥管理标准,较SKIP而言,其主要优势在于定义更灵活,能适应不同的加密密钥。IKE协议的缺点是它虽然提供了强大的主机级身份认证,但同时却只能支持有限的用户级身份认证,并且不支持非对称的用户认证。 (4)访问控制技术
虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。由VPN服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限,以此实现基于用户的细粒度访问控制,以实现对信息资源的最大限度的保护。
12
山东科技大学毕业设计(论文)
访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份,一般被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。
2.6 VPN两种协议的分析
2.6.1 IPSec协议
IPSec 是IETF 提出的IP 安全标准[2] 它在IP 层上对数据包进行安全处理提供数据源验证无连接数据完整性数据机密性抗重播和有限业务流机密性等安全服务各种应用程序完全可以享用IP 层提供的安全服务和密钥管理而不必设计和实现自己的安全机制因此减少了密钥协商的开销也降低了产生安全漏洞的可能性IPSec 可连续或递归应用在路由器防火墙主机和通信链路上配置实现端到端安全虚拟专用网络(VPN) Road Warrior 和安全隧道技术[1]。
IPSec 协议由核心协议和支撑模块组成。核心协议包括AH(验证头)与ESP(封装安全载荷) 支撑部分包括加密算法HASH 算法安全策略安全关联IKE 密钥交换机制[4~7]
IP技术是在原始的IP头部和数据之间插入一个IPSec头部,这样可以对原始IP负载实现加密,同时还可以实现对IPSec头部和原始IP负载的验证,以确保数据的完整性。
IPSec的结构是一种框架性的结构,IPSec没有具体的加密和散列函数,它是每一次的IPSec会话所用的具体算法都是通过协商来确定,这样更具有安全性。还包括IPSec框架中的封装协议和模式、密钥有效期等内容都是通过协商决定,在两个IPSec对等体之间协商的协议叫做IKE。协商完成后产生安全关联SA,实现安全通信。
13
山东科技大学毕业设计(论文)
IPSec是IETF(Internet Engineer Task Force) 正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Security Payload)和密钥管理协议组成。IPSec的体系结构如图2-2所示:
IPsec体系 封装安全负载(ESP) 认证包头(AH) 加密算法 认证算法 解释域 密钥管理 策略
图2-2 IPSec的体系结构
IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec 适
14
山东科技大学毕业设计(论文)
应向IPv6迁移, 它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即:
认证:用于对主机和端点进行身份鉴别。
完整性检查:用于保证数据在通过网络传输时没有被修改。 加密:加密IP地址和数据以保证私有性,这样就算被第三方捕获后也无法将其恢复成明文。
IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。 在隧道模式下,IPSec把IPv4数据包封装在安全的IP帧 中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下,信息封装是为了保护端到端的安全性,即在这种模式下不会隐藏路由信息。隧道模式是最安全的,但会带来较大的系统开销。IPSec现在还不完全成熟,但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底,IETF安全工作组完成了IPSec 的扩展, 在IPSec协议中加上ISAKMP(Internet Security Association and Kay Management Protocol)协议,其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道,密钥的自动安全分发和更新。IPSec也可用于连接其它层己存在的通信协议,如支持安全电子交易(SET:Secure Electronic Transaction)协议和SSL(Secure Socket layer)协议。即使不用SET或SSL,IPSec 都能提供认证和加密手段以保证信息的传输。 2.6.2 GRE 协议
GRE(Generic Routing Encapsulation,通用路由封装)协议是对
15
山东科技大学毕业设计(论文)
某些网络层协议(如IP 和IPX)的数据报进行封装,使这些被封装的数据报能够在另一个网络层协议(如IP)中传输。GRE 是VPN(Virtual Private Network)的第三层隧道协议,在协议层之间采用了一种被称之为Tunnel(隧道)的技术。Tunnel是一个虚拟的点对点的连接,在实际中可以看成仅支持点对点连接的虚拟接口,这个接口提供了一条通路使封装的数据报能够在这个通路上传输,并且在一个Tunnel的两端分别对数据报进行封装及解封装。
一个报文要想在Tunnel中传输,必须要经过加封装与解封装两个过程,下面介绍这两个过程如图2-3所示:
图2-3 IPX网络通过GRE隧道互联
(1) 加封装过程
连接Novell Group1的接口收到IPX数据报后首先交由IPX 协议处理,IPX 协议检查IPX 报头中的目的地址域来确定如何路由此包。若报文的目的地址被发现要路由经过网号为1f 的网络(Tunnel 的虚拟网号),则将此报文发给网号为1f 的Tunnel端口。Tunnel 口收到此包后进行GRE 封装,封装完成后交给IP 模块处理,在封装IP 报文头后,根据此包的目的地址及路由表交由相应的网络接口处理。 (2) 解封装的过程
解封装过程和加封装的过程相反。从Tunnel 接口收到的IP 报文,通过检查目的地址,当发现目的地就是此路由器时,系统剥掉此报文的IP 报头,交给GRE 协议模块处理(进行检验密钥、检查校验和及报文
16