《VPN技术描述.doc》由会员分享,可在线阅读,更多相关《VPN技术描述.doc(3页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、实用标准文案VPN技术描述隧道协议中最为典型的有IPSEC、L2TP、GRE、PPTP、L2F等。其中GRE、IPSEC属于第三层隧道协议,L2TP、PPTP、L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。目前,在虚拟专网的诸多协议中,最引人注目的两个协议是L2TP与IPSEC。其中 IPSEC已基本完成了标准化的工作。L2TP可以让拨号用户支持多种协议,如IP、IPX、AppleTalk,且可以使用保留网络地址,包括保留IP地址。利用L2TP提供的拨号VPN服务对最终用户、企业和服务提供商都很有意义,它能够让更多的用户群共
2、享拨号接入和骨干IP网络设施,为拨号用户节省长途通信费用。同时,由于L2TP支持多种网络协议,企业在非IP网络和应用上的投资不至于浪费。L2TP带来的另一个好处是它能够支持多个链路的捆绑使用。IPSec是在传输层(TCP,UDP)之下,因此对应用透明。不必改变用户或服务器系统上的软件。IPSec可以对最终用户透明。无须训练用户。IPSEC定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,它规定了如何加密数据包,并将几种安全技术结合形成一个完整的体系。IPSEC使用的安全技术包括:密钥交换技术、非对称加密算法;大数据量加密算法;带密钥的安全算法;用于身份认证和密钥发放的CA技
3、术等。IPSEC定义了两个新的数据包头增加到IP包中,这些数据包头用于保证IP数据包的安全性。这两个数据包头是AH和ESP。AH插到标准IP包头后面,它保证数据包的完整性和真实性,防止黑客截断数据包或向网络中插入伪造的数据包。ESP将需要保护的用户数据进行加密后再封装到IP包中,ESP也可以保证数据的完整性、真实性和私有性。IPSEC有隧道和传送两种工作方式。在隧道方式中,用户的整个IP数据包被用来计算ESP头,且被加密,ESP头和加密用户数据被封装在一个新的IP数据包中;在传送方式中,只是传输层数据被用来计算ESP头,ESP头和被加密的传输层数据被放置在原IP包头后面。IP_SECURITY
4、协议(IPSec),是INTERNET工程任务组(IETF)为IP安全推荐的一个协议。通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。IPSec协议组还包括支持网络层安全性密钥管理要求的密码技术。ISAKMP(InternetSecurityAssociationKeyManagementProtocolInternet安全协定密钥管理协议)为Internet密钥管理提供框架结构,为安全属性的协商提供协议支持。它本身不能建立会话密钥;然而它可与各种会话密钥建立协议一起使用,如Qakley,为Internet密钥管理提供完整的解决方案。Oakley密钥确定协议使用一种
5、混合的Diffie-Hellman技术,在Internet主机及路由器上建立会话密钥。Onkley提供重要的完美的前向保密安全特性,它基于经过大量公众审查的密码技术。完善的前向保密确保在任何单个密钥受损时只有用此密钥加密的数据受损。而用后续的会话密钥加密的数据不会受损。ISAKMP及Qakley协议已结合到一种混合协议中。用Qakley分解ISAKMP使用ISAKMP框架来支持Qakley密钥交换模式的子集。这种新的密钥交换协议提供可选的完美前向保密、全安全关联特性协商以及提供否认、非否认的鉴别方法。例如,这种协议的实施可用于建立虚拟专用网络(VPN)并允许远程用户从远程站址(有动态分配的IP
6、地址)接入安全网络。IPSec工作时,首先两端的网络设备必须就SA(securityassociation)达成一致,这是两者之间的一项安全策略协定。SA包括:加密算法鉴别算法共享会话密钥密钥使用期限SA是单向的,故欲进行双向通信需建立两个SA(各为一个方向)。这些SA通过ISAKMP协商或可人工定义。SA商定之后,然后确定是使用鉴别、保密和完整性或仅仅只用鉴别。IPSec有两种模式:隧道模式和传输模式;在隧道模式中,整个IP数据报、IP报头和数据都封装在ESP报头中。在传输模式中,只有数据部分是封装,而IP报头则不封装即被传送。目前,标准规定必须实施密码块链接(CBC)模式中的DES。IPS
7、ec接收端的网络设备根据接收端的SA数据库对使用IPSec加密的数据进行相应的解密并接收,这样就达到了传送数据的私有性和完整性。3性完性的传达这接解相据数 使据 端根络端 中 接施必规,送被不则而封部数中输。报 封数和 数 中式输和隧:有 鉴仅整和别用确然后义工可 过 。向一 两建向行,向期用密话算算括 定略项间者,致 (必络网先, 络全接址 态动程户远允 (网立于施议这如方认、否提协联全保前选可议密种。的交密 持架 用 用议协一结 损损数密话会用受的钥密时钥单何密前完技密审大于,全密的的供 。会上器主 在技 的种使定密 案方整提理 , 使一立密各与;密会不它议供的属安结提钥 为理密协 技的要
8、密安网持还议式模式隧模有 。 现术的过议个推 ) 组任 , 面头 原据层的被 头 算被层只式传;数 一封据密头 加被 算被据 户中道在方两和有 性实性的证可也, 封密行户的需 。数造中或数客止实和整据它后 标插 和是包两这安数证于头数包 头包的了 术 发和份用算的带算加大算称非技密括全用 体整一合技安并数加定规真有、的包保加中数在如 户练无明终以 软上器服用。用对,) 输在 用绑的个够能好另带 。至的用络非企协种持 由,。通节用,设网干入共用更够义有供提业户对服号的提用利 保址络保可, 议协支拨可作的准完基 其 是个的人,多的虚的的道包数装是包 户区的层三层。协层第 、 议隧第于 。 、 有典最描技文彩描 于隧 协三区包数的虚人个 准的支 保保用号户供义用干用。,协络的。好的 。服软终无如数保、定加合整 括称大算算发 的包头证包 据和客中 户封,的实 方中 据 传式 据头 , 推的 有模式网密 协为 结属它会各立 理案密种 上 的全审技何时钥会密损 结 交密可保协认方于网远动址络,必 间定 密期行 。 工然用整 隧式 输数不被施接 根据数接传性性 文准精彩文档
黑公网安备:91230400333293403D