資源描述:
《ipsecvpn技術(shù)的分析與研究》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、IPSecVPN技術(shù)的分析與研宄摘要:本文對(duì)IPsec協(xié)議的基本數(shù)據(jù)結(jié)構(gòu)和安全特性進(jìn)行分析,討論了VPN關(guān)鍵技術(shù)和隧道協(xié)議,在此基礎(chǔ)上給出了以IPsec為隧道協(xié)議的VPN基本工作原理,通過SSLVPN與IPsecVPN比較,得出IPsecVPN的優(yōu)缺點(diǎn)及其適用的工作場(chǎng)景。關(guān)鍵詞:IPsec;AH;EPS;VPN;SSL中圖分類號(hào):TP393.08文獻(xiàn)標(biāo)識(shí)碼:A1概述IPSec的英文全名為“InternetProtocolSecurity”,中文名為“因特網(wǎng)安全協(xié)議”、這個(gè)安全協(xié)議是VPN的基本加密協(xié)議,它為數(shù)據(jù)通過公用網(wǎng)絡(luò)(如因特網(wǎng))在網(wǎng)絡(luò)層進(jìn)行傳輸時(shí)提供安全保障。通信雙
2、方要建立IPSec通道,首先要采用一定的方式建立通信連接,因?yàn)镮PSec協(xié)議支持幾種操作模式,所以通信雙方先要確定所要采用的安全策略和使用模式,包括加密運(yùn)算法則和身份驗(yàn)證方法類型等。在IPSec協(xié)議中,一旦IPSec通道建立,所有在網(wǎng)絡(luò)層之上的協(xié)議在通信雙方都經(jīng)過力口密,如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構(gòu)建時(shí)所采用的安全和加密方法如何。2IPsec原理2.1安全特性[1]IPSec的安全特性主要有:2.1.1不可否認(rèn)性“不可否認(rèn)性”可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者,發(fā)送者不能否認(rèn)發(fā)送過消息?!安豢煞裾J(rèn)性”是采用公鑰技術(shù)
3、的一個(gè)特征,當(dāng)使用公鑰技術(shù)時(shí),發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送,接收方用發(fā)送者的公鑰來驗(yàn)證數(shù)字簽名。由于在理論上只有發(fā)送者才唯一擁有私鑰,也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名,所以只要數(shù)字簽名通過驗(yàn)證,發(fā)送者就不能否認(rèn)曾發(fā)送過該消息。2.1.2反重播性“反重播”確保每個(gè)IP包的唯一性,保證信息萬一被截取復(fù)制后,不能再被重新利用、重新傳輸回目的地。2.1.3數(shù)據(jù)完整性防止傳輸過程中數(shù)據(jù)被篡改,確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個(gè)數(shù)據(jù)包產(chǎn)生一個(gè)加密檢查和,接收方在打開包前先計(jì)算檢查和,若包遭篡改導(dǎo)致檢查和不相符,數(shù)據(jù)包即被丟棄。2.1.4數(shù)據(jù)
4、可靠性(加密)在傳輸前,對(duì)數(shù)據(jù)進(jìn)行加密,可以保證在傳輸過程中即使數(shù)據(jù)包遭截取,信息也無法被讀。該特性在IPSec中為可選項(xiàng),與IPSec策略的具體設(shè)置相關(guān)。2.2數(shù)據(jù)包結(jié)構(gòu)[2]2.2.1認(rèn)證頭認(rèn)證頭(AH)被用來保證被傳輸分組的完整性和可靠性。此外,它還保護(hù)不受重放攻擊。表1認(rèn)證頭分組012301234567012345670123456701234567下一個(gè)頭載荷長(zhǎng)度保留安全參數(shù)索引(SPI)序列號(hào)認(rèn)證數(shù)據(jù)(可變長(zhǎng)度)字段含義:下一個(gè)頭:標(biāo)識(shí)被傳送數(shù)據(jù)所屬的協(xié)議。載荷長(zhǎng)度:認(rèn)證頭包的大小。保留:為將來的應(yīng)用保留(目前都置為0).安全參數(shù)索引與IP地址一同用來標(biāo)識(shí)安全
5、參序列號(hào):?jiǎn)握{(diào)遞增的數(shù)值,用來防止重放攻認(rèn)證數(shù)據(jù):包含了認(rèn)證當(dāng)前包所必須的數(shù)據(jù)。2.2.2封裝安全載荷(ESP)封裝安全載荷(ESP)協(xié)議對(duì)分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是,IP分組頭部不被包括在內(nèi)。字段含義:安全參數(shù)索引:與IP地址一同用來標(biāo)識(shí)安全參數(shù)。序列號(hào):?jiǎn)握{(diào)遞增的數(shù)值,用來防止重放攻擊。載荷數(shù)據(jù):實(shí)際要傳輸?shù)臄?shù)據(jù)。填充:某些塊加密算法用此將數(shù)據(jù)填充至塊的長(zhǎng)度。填充長(zhǎng)度:以位為單位的填充數(shù)據(jù)的長(zhǎng)度。下一個(gè)頭:標(biāo)識(shí)被傳送數(shù)據(jù)所屬的協(xié)議。認(rèn)證數(shù)據(jù):包含了認(rèn)證當(dāng)前包所必須的數(shù)據(jù)。3VPN原理3.1VPN的基本概念[3]在VPN(VirtualP
6、rivateNetwork,虛擬專用網(wǎng)絡(luò))中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。虛擬專用網(wǎng)對(duì)用戶端透明,用戶好像使用一條專用線路進(jìn)行通信。3.2VPN的關(guān)鍵技術(shù)[4]目前VPN主要采用四項(xiàng)技術(shù)來保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設(shè)備身份認(rèn)證技術(shù)(Authentication)。3.2.1隧道技術(shù)隧道是一種利用公網(wǎng)設(shè)施,在一個(gè)網(wǎng)絡(luò)之上的“網(wǎng)絡(luò)”傳輸數(shù)據(jù)的方法,被傳輸?shù)臄?shù)據(jù)可以是另一
7、協(xié)議的幀。隧道協(xié)議用附加的報(bào)頭封裝幀,附加的報(bào)頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達(dá)了公網(wǎng)上的目的地,幀就會(huì)被解除封裝并被繼續(xù)送到最終目的地。3.2.2加解密技術(shù)加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技術(shù)由IPSec的ESP(EncapsulationgSecurityPayload)實(shí)現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對(duì)數(shù)據(jù)加密,當(dāng)數(shù)據(jù)到達(dá)接收者時(shí)由接收者對(duì)數(shù)據(jù)進(jìn)行解密的處理過程,算法主要種類包括:對(duì)稱加密(單鑰