資源描述:
《VPN的實(shí)現(xiàn)技術(shù)》由會(huì)員上傳分享���,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1、VPN的實(shí)現(xiàn)技術(shù)為了在Internet等公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上高效���、安全的實(shí)現(xiàn)數(shù)據(jù)傳輸���,VPN綜合利用了隧道技術(shù)、加密技術(shù)�����、秘鑰管理技術(shù)和身份認(rèn)證技術(shù)����。1、隧道技術(shù)是VPN的核心技術(shù)���,VPN的所有實(shí)現(xiàn)都是依賴于隧道���。隧道主要利用協(xié)議的封裝來實(shí)現(xiàn)的。即用一種網(wǎng)絡(luò)協(xié)議來封裝另一種網(wǎng)絡(luò)協(xié)議的報(bào)文�����。??簡單說:就是在隧道的一端把B協(xié)議報(bào)文封裝在A協(xié)議報(bào)文中,然后按照A協(xié)議報(bào)文在已建立的隧道中進(jìn)行傳輸����,到達(dá)另一端的時(shí)候,在進(jìn)行解封裝的操作����,從A協(xié)議報(bào)文中解析出B協(xié)議報(bào)文,將得到的原始數(shù)據(jù)交給對(duì)端設(shè)備�����。??在進(jìn)行數(shù)據(jù)封裝時(shí)���,根據(jù)封裝協(xié)議(隧道協(xié)議)在OSI/RM中位置的不同��,可以分為第二層隧道技術(shù)
2、和第三層隧道技術(shù)兩種類型����,其中,第二層隧道技術(shù)是在數(shù)據(jù)鏈路層使用隧道協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝�����,再把封裝后的數(shù)據(jù)通過數(shù)據(jù)鏈路層的協(xié)議進(jìn)行傳輸。第三層隧道技術(shù)是在網(wǎng)絡(luò)層進(jìn)行數(shù)據(jù)封裝�,即利用網(wǎng)絡(luò)層的隧道協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝,封裝后的數(shù)據(jù)再通過網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸協(xié)議名稱??RFC編號(hào)封裝化協(xié)議號(hào)碼L2/L3加密與否LAN連接類型VPN遠(yuǎn)程訪問類型VPNL2F????2341L2FUDP(17)第二層否×√PPTP草案DREGRE(47)第二層否√√L2TP草案L2TPUDP(17)第二層否√√ATMP2107GREGRE(47)第三層否×√BayDVS無GREGRE(47)第三層否×√GRE170
3��、1GREGRE(47)第三層否√?IPSecESP2406ESPESP(50)第三層是√√????????IPSecAH2406AHAH(51)第三層否√√二層隧道協(xié)議主要有:L2F���、PPTP�����、L2TP����,這三種協(xié)議通常是基于PPP協(xié)議的并且主要面向撥號(hào)用戶���,由此導(dǎo)致了這3種協(xié)議應(yīng)用的局限性三層隧道協(xié)議主要有:IPSec���、GRE在數(shù)據(jù)鏈路層上實(shí)現(xiàn)VPN具有一定的優(yōu)點(diǎn),加密時(shí)可使用硬件設(shè)備進(jìn)行加密��,這樣做的好處在于速度快����。缺點(diǎn):不易擴(kuò)展���,而且僅在專用鏈路上才能很好的工作,另外��,進(jìn)行通信的兩個(gè)實(shí)體必須在物理上連接到一起�����。2.加密技術(shù)加密技術(shù)對(duì)VPN來說是非常重要的技術(shù)����。信息加密體制包括對(duì)
4、稱加密體制和非對(duì)稱加密體制�����,實(shí)際應(yīng)用中通常是融合二者的混合加密技術(shù)��,非對(duì)稱加密技術(shù)(公開秘鑰)多用于認(rèn)證���、數(shù)字簽名以及安全傳輸會(huì)話秘鑰等場合,對(duì)稱加密技術(shù)則用于大量傳輸數(shù)據(jù)的加密和完整性保護(hù)���。在VPN解決方案中最普遍使用的對(duì)稱加密算法主要有DES���、3DES����、AES�、RC4、RC5和IDEA等算法普遍使用的非對(duì)稱加密算法主要有RSA��、Diffie-Hellman和橢圓曲線加密等���。當(dāng)VPN封閉在特定的ISP內(nèi)并且該ISP能夠保證VPN路由及安全性時(shí)���,攻擊者不大可能竊取數(shù)據(jù),因此可以不采用加密技術(shù)�。3.秘鑰管理技術(shù)現(xiàn)行秘鑰管理技術(shù)分為SKIP和ISAKMP/OAKLEY兩種。SKIP主要
5�、利用Diffie-Hellman算法在開放網(wǎng)絡(luò)上安全傳輸秘鑰,而ISAKMP則采用公開秘鑰機(jī)制����,通信實(shí)體雙方均有兩把秘鑰,分別為公鑰�����、私鑰,不同的VPN實(shí)現(xiàn)技術(shù)選用其一或者兼而有之���。4.身份認(rèn)證技術(shù)因?yàn)檎J(rèn)證協(xié)議一般都要采用基于散列函數(shù)的消息摘要技術(shù),因而還可以提供消息完整性驗(yàn)證���。從實(shí)現(xiàn)技術(shù)來看�,目前VPN采用的身份認(rèn)證技術(shù)主要分為非PKI體系和PKI體系兩類����。非PKI體系一般采用用戶ID+密碼的模式,主要包括以下幾種:(1)PAP(密碼認(rèn)證協(xié)議)�����,以明文形式傳送�����,PAP是一種不安全的協(xié)議(2)SPAP(ShivaPasswordAuthenticationProtocol��,密碼認(rèn)證
6����、協(xié)議),針對(duì)PAP不足而設(shè)計(jì)的��,他會(huì)進(jìn)行加密���,但是加密形式不變�����,很容易受到攻擊(3)CHAP(Challenge-HandshakeAuthenticationProtocol�,挑戰(zhàn)握手認(rèn)證協(xié)議)�����。采用挑戰(zhàn)-響應(yīng)的方式進(jìn)行身份的認(rèn)證����,認(rèn)證端發(fā)送一個(gè)隨機(jī)數(shù)給被認(rèn)證者,被認(rèn)證者發(fā)送給認(rèn)證端的不是明文口令�,而是將口令和隨機(jī)數(shù)連接后經(jīng)MD5算法處理而得到的散列值,一旦CHAP輸入一次口令失敗��,就中斷連接��,不能再次輸入。(4)MS-CHAP(微軟挑戰(zhàn)握手認(rèn)證協(xié)議)��,采用MPPE加密方法將用戶的密碼和數(shù)據(jù)同時(shí)進(jìn)行加密后再發(fā)送����,應(yīng)答分組的格式和Windows網(wǎng)絡(luò)的應(yīng)答格式具有兼容性,散列算法采用
7���、MD4���,還具有口令交換功能、認(rèn)證失敗時(shí)重輸入等擴(kuò)展功能�。(5)EAP(擴(kuò)展身份認(rèn)證協(xié)議)是一個(gè)提供多個(gè)認(rèn)證方法的協(xié)議框架,允許用戶來根據(jù)自己的需要來自行定義認(rèn)證方式����。EAP的認(rèn)證使用非常廣泛,它不僅用于系統(tǒng)之間的身份認(rèn)證�����,而且還用于無線和有線網(wǎng)絡(luò)的認(rèn)證�,除此之外,相關(guān)廠商可以自行開發(fā)所需要的EAP認(rèn)證方式�,例如視網(wǎng)膜認(rèn)證���、指紋認(rèn)證等都可以使用EAP。(6)RADIUS(RemoteAuthenticationDialInUserService)���,是為接入服務(wù)器開發(fā)的認(rèn)
