資源描述:
《ipsecvpn技術(shù)的分析與研究》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1、IPSecVPN技術(shù)的分析與研宄摘要:本文對IPsec協(xié)議的基本數(shù)據(jù)結(jié)構(gòu)和安全特性進行分析,討論了VPN關(guān)鍵技術(shù)和隧道協(xié)議,在此基礎(chǔ)上給出了以IPsec為隧道協(xié)議的VPN基本工作原理,通過SSLVPN與IPsecVPN比較,得出IPsecVPN的優(yōu)缺點及其適用的工作場景。關(guān)鍵詞:IPsec;AH;EPS;VPN;SSL中圖分類號:TP393.08文獻標識碼:A1概述IPSec的英文全名為“InternetProtocolSecurity”,中文名為“因特網(wǎng)安全協(xié)議”、這個安全協(xié)議是VPN的基本加密協(xié)議,它為數(shù)據(jù)通過公用網(wǎng)絡(如因特網(wǎng))在網(wǎng)絡層進行傳輸時提供安全保障。通信雙
2、方要建立IPSec通道,首先要采用一定的方式建立通信連接,因為IPSec協(xié)議支持幾種操作模式,所以通信雙方先要確定所要采用的安全策略和使用模式,包括加密運算法則和身份驗證方法類型等。在IPSec協(xié)議中,一旦IPSec通道建立,所有在網(wǎng)絡層之上的協(xié)議在通信雙方都經(jīng)過力口密,如TCP、UDP、SNMP、HTTP、POP、AIM、KaZaa等,而不管這些通道構(gòu)建時所采用的安全和加密方法如何。2IPsec原理2.1安全特性[1]IPSec的安全特性主要有:2.1.1不可否認性“不可否認性”可以證實消息發(fā)送方是唯一可能的發(fā)送者,發(fā)送者不能否認發(fā)送過消息。“不可否認性”是采用公鑰技術(shù)
3、的一個特征,當使用公鑰技術(shù)時,發(fā)送方用私鑰產(chǎn)生一個數(shù)字簽名隨消息一起發(fā)送,接收方用發(fā)送者的公鑰來驗證數(shù)字簽名。由于在理論上只有發(fā)送者才唯一擁有私鑰,也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名,所以只要數(shù)字簽名通過驗證,發(fā)送者就不能否認曾發(fā)送過該消息。2.1.2反重播性“反重播”確保每個IP包的唯一性,保證信息萬一被截取復制后,不能再被重新利用、重新傳輸回目的地。2.1.3數(shù)據(jù)完整性防止傳輸過程中數(shù)據(jù)被篡改,確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。IPSec利用Hash函數(shù)為每個數(shù)據(jù)包產(chǎn)生一個加密檢查和,接收方在打開包前先計算檢查和,若包遭篡改導致檢查和不相符,數(shù)據(jù)包即被丟棄。2.1.4數(shù)據(jù)
4、可靠性(加密)在傳輸前,對數(shù)據(jù)進行加密,可以保證在傳輸過程中即使數(shù)據(jù)包遭截取,信息也無法被讀。該特性在IPSec中為可選項,與IPSec策略的具體設置相關(guān)。2.2數(shù)據(jù)包結(jié)構(gòu)[2]2.2.1認證頭認證頭(AH)被用來保證被傳輸分組的完整性和可靠性。此外,它還保護不受重放攻擊。表1認證頭分組012301234567012345670123456701234567下一個頭載荷長度保留安全參數(shù)索引(SPI)序列號認證數(shù)據(jù)(可變長度)字段含義:下一個頭:標識被傳送數(shù)據(jù)所屬的協(xié)議。載荷長度:認證頭包的大小。保留:為將來的應用保留(目前都置為0).安全參數(shù)索引與IP地址一同用來標識安全
5、參序列號:單調(diào)遞增的數(shù)值,用來防止重放攻認證數(shù)據(jù):包含了認證當前包所必須的數(shù)據(jù)。2.2.2封裝安全載荷(ESP)封裝安全載荷(ESP)協(xié)議對分組提供了源可靠性、完整性和保密性的支持。與AH頭不同的是,IP分組頭部不被包括在內(nèi)。字段含義:安全參數(shù)索引:與IP地址一同用來標識安全參數(shù)。序列號:單調(diào)遞增的數(shù)值,用來防止重放攻擊。載荷數(shù)據(jù):實際要傳輸?shù)臄?shù)據(jù)。填充:某些塊加密算法用此將數(shù)據(jù)填充至塊的長度。填充長度:以位為單位的填充數(shù)據(jù)的長度。下一個頭:標識被傳送數(shù)據(jù)所屬的協(xié)議。認證數(shù)據(jù):包含了認證當前包所必須的數(shù)據(jù)。3VPN原理3.1VPN的基本概念[3]在VPN(VirtualP
6、rivateNetwork,虛擬專用網(wǎng)絡)中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動態(tài)組成的。虛擬專用網(wǎng)對用戶端透明,用戶好像使用一條專用線路進行通信。3.2VPN的關(guān)鍵技術(shù)[4]目前VPN主要采用四項技術(shù)來保證安全,這四項技術(shù)分別是隧道技術(shù)(Tunneling)、加解密技術(shù)(Encryption&Decryption)、密鑰管理技術(shù)(KeyManagement)、使用者與設備身份認證技術(shù)(Authentication)。3.2.1隧道技術(shù)隧道是一種利用公網(wǎng)設施,在一個網(wǎng)絡之上的“網(wǎng)絡”傳輸數(shù)據(jù)的方法,被傳輸?shù)臄?shù)據(jù)可以是另一
7、協(xié)議的幀。隧道協(xié)議用附加的報頭封裝幀,附加的報頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地,幀就會被解除封裝并被繼續(xù)送到最終目的地。3.2.2加解密技術(shù)加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù),VPN可直接利用現(xiàn)有技術(shù)。用于VPN上的加密技術(shù)由IPSec的ESP(EncapsulationgSecurityPayload)實現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密,當數(shù)據(jù)到達接收者時由接收者對數(shù)據(jù)進行解密的處理過程,算法主要種類包括:對稱加密(單鑰