C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索
查看: 9081|回复: 2

隧 道 技 术 [复制链接]

军衔等级:

亚星游戏官网-yaxin222  下士

注册:2005-10-22
发表于 2011-2-11 13:21:33 |显示全部楼层
VPN 技 术 概 览 — —
隧 道 技 术( 上)

---- VPN 具 体 实 现 是 采 用 隧 道 技 术, 将 企 业 网 的 数 据 封 装 在 隧 道 中 进 行 传 输。 隧 道 协 议 可 分 为 第 二 层 隧 道 协 议PPTP、L2F、L2TP 和 第 三 层 隧 道 协 议GRE、IPsec。 它 们 的 本 质 区 别 在 于 用 户 的 数 据 包 是 被 封 装 在 哪 种 数 据 包 中 在 隧 道 中 传 输 的。
隧 道 技 术 
---- 无 论 哪 种 隧 道 协 议 都 是 由 传 输 的 载 体、 不 同 的 封 装 格 式 以 及 被 传 输 数 据 包 组 成 的。 让 我 们 以L2TP 为 例, 看 一 下 隧 道 协 议 的 组 成。
亚星游戏官网-yaxin222
---- 传 输 协 议 被 用 来 传 送 封 装 协 议。IP 是 一 种 常 见 的 传 输 协 议, 这 是 因 为IP 具 有 强 大 的 路 由 选 择 能 力, 可 以 运 行 于 不 同 介 质 上, 并 且 其 应 用 最 为 广 泛。 此 外, 帧 中 继、ATM PVC 和SVC 也 是 非 常 合 适 的 传 输 协 议。 比 如 用 户 想 通 过Internet 将 其 分 公 司 网 络 连 接 起 来, 但 他 的 网 络 环 境 是IPX, 这 时 用 户 就 可 以 使 用IP 作 为 传 输 协 议, 通 过 封 装 协 议 封 装IPX 的 数 据 包, 然 后 就 可 以 在Internet 网 上 传 递IPX 数 据。
---- 封 装 协 议 被 用 来 建 立、 保 持 和 拆 卸 隧 道。Cisco 支 持 几 种 封 装 协 议, 包 括L2F、L2TP、GRE 协 议。 而 乘 客 协 议 是 被 封 装 的 协 议, 它 们 可 以 是PPP、SLIP 。
---- 隧 道 协 议 有 很 多 好 处, 例 如 在 拨 号 网 络 中, 用 户 大 都 接 受ISP 分 配 的 动 态IP 地 址, 而 企 业 网 一 般 均 采 用 防 火 墙、NAT 等 安 全 措 施 来 保 护 自 己 的 网 络, 企 业 员 工 通 过ISP 拨 号 上 网 时 就 不 能 穿 过 防 火 墙 访 问 企 业 内 部 网 资 源。 采 用 隧 道 协 议 后, 企 业 拨 号 用 户 就 可 以 得 到 企 业 内 部 网IP 地 址, 通 过 对PPP 帧 进 行 封 装, 用 户 数 据 包 可 以 穿 过 防 火 墙 到 达 企 业 内 部 网。
PPTP — — 点 对 点 隧 道 协 议  
---- PPTP 提 供PPTP 客 户 机 和PPTP 服 务 器 之 间 的 加 密 通 信。PPTP 客 户 机 是 指 运 行 了 该 协 议 的PC 机, 如 启 动 该 协 议 的Windows95/98;PPTP 服 务 器 是 指 运 行 该 协 议 的 服 务 器, 如 启 动 该 协 议 的WindowsNT 服 务 器。PPTP 可 看 作 是PPP 协 议 的 一 种 扩 展。 它 提 供 了 一 种 在Internet 上 建 立 多 协 议 的 安 全 虚 拟 专 用 网(VPN) 的 通 信 方 式。 远 端 用 户 能 够 透 过 任 何 支 持PPTP 的ISP 访 问 公 司 的 专 用 网 络。
---- 通 过PPTP, 客 户 可 采 用 拨 号 方 式 接 入 公 共IP 网 络Internet。 拨 号 客 户 首 先 按 常 规 方 式 拨 号 到ISP 的 接 入 服 务 器(NAS), 建 立PPP 连 接; 在 此 基 础 上, 客 户 进 行 二 次 拨 号 建 立 到 PPTP 服 务 器 的 连 接, 该 连 接 称 为PPTP 隧 道, 实 质 上 是 基 于IP 协 议 上 的 另 一 个PPP 连 接, 其 中 的IP 包 可 以 封 装 多 种 协 议 数 据, 包 括 TCP /IP、IPX 和NetBEUI。PPTP 采 用 了 基 于RSA 公 司RC4 的 数 据 加 密 方 法, 保 证 了 虚 拟 连 接 通 道 的 安 全 性。 对 于 直 接 连 到Internet 上 的 客 户 则 不 需 要 第 一 重PPP 的 拨 号 连 接, 可 以 直 接 与PPTP 服 务 器 建 立 虚 拟 通 道。PPTP 把 建 立 隧 道 的 主 动 权 交 给 了 用 户, 但 用 户 需 要 在 其PC 机 上 配 置PPTP, 这 样 做 既 增 加 了 用 户 的 工 作 量 又 会 造 成 网 络 安 全 隐 患。 另 外PPTP 只 支 持IP 作 为 传 输 协 议。
L2F — — 第 二 层 转 发 协 议 
---- L2F 是 由Cisco 公 司 提 出 的 可 以 在 多 种 介 质 如ATM、 帧 中 继、IP 网 上 建 立 多 协 议 的 安 全 虚 拟 专 用 网(VPN) 的 通 信 方 式。 远 端 用 户 能 够 透 过 任 何 拨 号 方 式 接 入 公 共IP 网 络, 首 先 按 常 规 方 式 拨 号 到ISP 的 接 入 服 务 器(NAS), 建 立PPP 连 接;NAS 根 据 用 户 名 等 信 息, 发 起 第 二 重 连 接, 通 向HGW 服 务 器。 在 这 种 情 况 下 隧 道 的 配 置 和 建 立 对 用 户 是 完 全 透 明 的。
亚星游戏官网-yaxin222
L2TP — — 第 二 层 隧 道 协 议 
---- L2TP 结 合 了L2F 和PPTP 的 优 点, 可 以 让 用 户 从 客 户 端 或 访 问 服 务 器 端 发 起VPN 连 接。L2TP 是 把 链 路 层PPP 帧 封 装 在 公 共 网 络 设 施 如IP、ATM、 帧 中 继 中 进 行 隧 道 传 输 的 封 装 协 议。
---- Cisco、Ascend、微软 和RedBack 公 司 的 专 家 们 在 修 改 了 十 几 个 版 本 后, 终 于 在1999 年8 月 公 布 了L2TP 的 标 准 RFC2661。( 我 们 可 以 从ftp://ftp.isi.net.edu/in notes/rfc2661.txt 下 载 该 标 准 内 容。)
---- 目 前 用 户 拨 号 访 问Internet 时, 必 须 使 用IP 协 议, 并 且 其 动 态 得 到 的IP 地 址 也 是 合 法 的。L2TP 的 好 处 就 在 于 支 持 多 种 协 议, 用 户 可 以 保 留 原 有 的IPX、Appletalk 等 协 议 或 公 司 原 有 的IP 地 址。L2TP 还 解 决 了 多 个PPP 链 路 的 捆 绑 问 题,PPP 链 路 捆 绑 要 求 其 成 员 均 指 向 同 一 个NAS,L2TP 可 以 使 物 理 上 连 接 到 不 同NAS 的PPP 链 路, 在 逻 辑 上 的 终 结 点 为 同 一 个 物 理 设 备。L2TP 扩 展 了PPP 连 接, 在 传 统 方 式 中 用 户 通 过 模 拟 电 话 线 或ISDN/ADSL 与 网 络 访 问 服 务 器(NAS) 建 立 一 个 第2 层 的 连 接, 并 在 其 上 运 行 PPP, 第2 层 连 接 的 终 结 点 和PPP 会 话 的 终 结 点 在 同 一 个 设 备 上 ( 如NAS)。L2TP 作 为PPP 的 扩 展 提 供 更 强 大 的 功 能, 包 括 第2 层 连 接 的 终 结 点 和PPP 会 话 的 终 结 点 可 以 是 不 同 的 设 备。
---- L2TP 主 要 由LAC(L2TP Access Concentrator) 和 LNS(L2TP Network Server) 构 成,LAC(L2TP 访 问 集 中 器) 支 持 客 户 端 的 L2TP, 他 用 于 发 起 呼 叫, 接 收 呼 叫 和 建 立 隧 道;LNS(L2TP 网 络 服 务 器) 是 所 有 隧 道 的 终 点。 在 传 统 的PPP 连 接 中, 用 户 拨 号 连 接 的 终 点 是LAC,L2TP 使 得PPP 协 议 的 终 点 延 伸 到LNS。
---- L2TP 的 建 立 过 程 是:
---- 1. 用 户 通 过 公 共 电 话 网 或ISDN 拨 号 至 本 地 的 接 入 服 务 器LAC; LAC 接 收 呼 叫 并 进 行 基 本 的 辨 别, 这 一 过 程 可 以 采 用 几 种 标 准, 如 域 名、 呼 叫 线 路 识 别 (CLID) 或 拨 号ID 业 务(DNIS) 等。
---- 2. 当 用 户 被 确 认 为 合 法 企 业 用 户 时, 就 建 立 一 个 通 向LNS 的 拨 号VPN 隧 道。
---- 3. 企 业 内 部 的 安 全 服 务 器 如TACACS +、 RADIUS 鉴 定 拨 号 用 户。
---- 4.LNS 与 远 程 用 户 交 换PPP 信 息, 分 配IP 地 址。LNS 可 采 用 企 业 专 用 地 址( 未 注 册 的IP 地 址) 或 服 务 提 供 商 提 供 的 地 址 空 间 分 配IP 地 址。 因 为 内 部 源IP 地 址 与 目 的 地IP 地 址 实 际 上 都 通 过 服 务 提 供 商 的IP 网 络 在PPP 信 息 包 内 传 送, 企 业 专 用 地 址 对 提 供 者 的 网 络 是 透 明 的。
---- 5. 端 到 端 的 数 据 从 拨 号 用 户 传 到LNS。
---- 在 实 际 应 用 中,LAC 将 拨 号 用 户 的PPP 帧 封 装 后, 传 送 到LNS,LNS 去 掉 封 装 包 头, 得 到PPP 帧, 再 去 掉PPP 帧 头, 得 到 网 络 层 数 据 包。
亚星游戏官网-yaxin222
---- L2TP 这 种 方 式 给 服 务 提 供 商 和 用 户 带 来 了 许 多 好 处。 用 户 不 需 要 在PC 上 安 装 专 门 的 客 户 端 软 件, 企 业 可 以 使 用 未 注 册 的IP 地 址, 并 在 本 地 管 理 认 证 数 据 库, 从 而 降 低 了 使 用 成 本 和 培 训 维 护 费 用。
---- 与PPTP 和L2F 相 比,L2TP 的 优 点 在 于 提 供 了 差 错 和 流 量 控 制;L2TP 使 用UDP 封 装 和 传 送PPP 帧。 面 向 非 连 接 的UDP 无 法 保 证 网 络 数 据 的 可 靠 传 输,L2TP 使 用Nr( 下 一 个 希 望 接 受 的 消 息 序 列 号) 和Ns( 当 前 发 送 的 数 据 包 序 列 号) 字 段 控 制 流 量 和 差 错。 双 方 通 过 序 列 号 来 确 定 数 据 包 的 次 序 和 缓 冲 区, 一 旦 数 据 丢 失 根 据 序 列 号 可 以 进 行 重 发。
---- 作 为PPP 的 扩 展,L2TP 支 持 标 准 的 安 全 特 性CHAP 和PAP, 可 以 进 行 用 户 身 份 认 证。L2TP 定 义 了 控 制 包 的 加 密 传 输, 每 个 被 建 立 的 隧 道 生 成 一 个 独 一 无 二 的 随 机 钥 匙, 以 便 抵 抗 欺 骗 性 的 攻 击, 但 是 它 对 传 输 中 的 数 据 并 不 加 密。
GRE — — 通 用 路 由 封 装 
---- GRE 在RFC1701/RFC1702 中 定 义, 它 规 定 了 怎 样 用 一 种 网 络 层 协 议 去 封 装 另 一 种 网 络 层 协 议 的 方 法。GRE 的 隧 道 由 两 端 的 源IP 地 址 和 目 的IP 地 址 来 定 义, 它 允 许 用 户 使 用IP 封 装IP、IPX、AppleTalk, 并 支 持 全 部 的 路 由 协 议 如RIP、OSPF、IGRP、 EIGRP。 通 过GRE, 用 户 可 以 利 用 公 共IP 网 络 连 接IPX 网 络、AppleTalk 网 络, 还 可 以 使 用 保 留 地 址 进 行 网 络 互 联, 或 者 对 公 网 隐 藏 企 业 网 的IP 地 址。
---- GRE 在 包 头 中 包 含 了 协 议 类 型, 这 用 于 标 明 乘 客 协 议 的 类 型; 校 验 和 包 括 了GRE 的 包 头 和 完 整 的 乘 客 协 议 与 数 据; 密 钥 用 于 接 收 端 验 证 接 收 的 数 据; 序 列 号 用 于 接 收 端 数 据 包 的 排 序 和 差 错 控 制; 路 由 用 于 本 数 据 包 的 路 由。
---- GRE 只 提 供 了 数 据 包 的 封 装, 它 并 没 有 加 密 功 能 来 防 止 网 络 侦 听 和 攻 击。 所 以 在 实 际 环 境 中 它 常 和 IPsec 在 一 起 使 用, 由IPsec 提 供 用 户 数 据 的 加 密, 从 而 给 用 户 提 供 更 好 的 安 全 性。
 
VPN 技 术 概 览
— — 隧 道 技 术( 下)
Cisco 公 司 ----   在 上 一 期 中 我 们 介 绍 了PPTP、L2F、L2TP 和GRE, 它 们 各 自 有 自 己 的 优 点, 但 是 都 没 有 很 好 地 解 决 隧 道 加 密 和 数 据 加 密 的 问 题。 而IPSec 协 议 把 多 种 安 全 技 术 集 合 到 一 起, 可 以 建 立 一 个 安 全、 可 靠 的 隧 道。 这 些 技 术 包 括DiffieHellman 密 钥 交 换 技 术,DES、RC4、 IDEA 数 据 加 密 技 术, 哈 希 散 列 算 法HMAC、MD5、SHA, 数 字 签 名 技 术 等。
----IPSec 实 际 上 是 一 套 协 议 包 而 不 是 一 个 单 个 的 协 议, 这 一 点 对 于 我 们 认 识IPSec 是 很 重 要 的。 自 从1995 年 开 始IPSec 的 研 究 工 作 以 来,IETF IPSec 工 作 组 在 它 的 主 页 上 发 布 了 几 十 个Internet 草 案 文 献 和12 个RFC 文 件。 其 中, 比 较 重 要 的 有RFC2409 IKE 互 连 网 密 钥 交 换、RFC2401 IPSec 协 议、RFC2402 AH 验 证 包 头、 RFC2406 ESP 加 密 数 据 等 文 件。
----IPSec 安 全 结 构 包 括3 个 基 本 协 议:AH 协 议 为IP 包 提 供 信 息 源 验 证 和 完 整 性 保 证;ESP 协 议 提 供 加 密 保 证; 密 钥 管 理 协 议(ISAKMP) 提 供 双 方 交 流 时 的 共 享 安 全 信 息。ESP 和AH 协 议 都 有 相 关 的 一 系 列 支 持 文 件, 规 定 了 加 密 和 认 证 的 算 法。 最 后, 解 释 域(DOI) 通 过 一 系 列 命 令、 算 法、 属 性、 参 数 来 连 接 所 有 的IPSec 组 文 件。
安 全 隧 道 的 建 立 
----IPSec 通 过 上 述3 个 基 本 协 议 在IP 包 头 后 增 加 新 的 字 段 来 实 现 安 全 保 证。 下 面 是 一 个IPsec 数 据 包 的 格 式。
亚星游戏官网-yaxin222
---- 让 我 们 先 看 一 个 实 际 的 例 子 吧。 比 如 我 想 通 过 网 络 去 书 店 购 买 一 本《 数 字 化 生 存》, 当 我 的 定 单 传 递 到 书 店 时, 问 题 出 现 了。 管 理 员 想 知 道 这 是 一 个 真 的 定 单 吗 ? 它 真 的 是 从 书 店 的 客 户 那 里 发 送 出 来 的 吗 ? 同 时 我 也 想 知 道 我 的 定 单 在 传 输 的 过 程 中 被 黑 客 修 改 过 吗 ? 比 如 黑 客 会 不 会 把 我 订 购 的 数 目 从1 本 改 成100 本, 或 把 地 址 做 了 修 改。 这 样 的 例 子 举 不 胜 举, 只 要 我 们 有 信 息 在 网 上 传 递, 就 需 要 考 虑 信 息 源 的 可 靠 性 和 数 据 的 完 整 性。
----AH 包 头 可 以 保 证 信 息 源 的 可 靠 性 和 数 据 的 完 整 性。 首 先 发 送 方 将IP 包 头、 高 层 的 数 据、 公 共 密 钥 这 三 部 分 通 过 某 种 散 列 算 法 进 行 计 算, 得 出AH 包 头 中 的 验 证 数 据, 并 将AH 包 头 加 入 数 据 包 中; 当 数 据 传 输 到 接 收 方 时, 接 收 方 将 收 到 的IP 包 头、 数 据、 公 共 密 钥 以 相 同 的 散 列 算 法 进 行 运 算, 并 把 得 出 的 结 果 同 收 到 数 据 包 中 的AH 包 头 进 行 比 较; 如 果 结 果 相 同 则 表 明 数 据 在 传 输 过 程 中 没 有 被 修 改, 并 且 是 从 真 正 的 信 息 源 处 发 出 的。
亚星游戏官网-yaxin222
---- 为 什 么 我 们 可 以 这 样 认 为 呢 ? 因 为 公 共 密 钥 和 散 列 算 法 就 可 以 保 证 这 些。
---- 信 息 源 可 靠 性 可 以 通 过 公 共 密 钥 来 保 证。 常 用 的 散 列 算 法 有HMAC MD 5 和HMAC SHA 1。
---- 这 些 算 法 有 一 些 共 同 的 特 点:
----1. 不 可 能 从 计 算 结 果 推 导 出 它 的 原 始 输 入 数 据;
----2. 不 可 能 从 给 定 的 一 组 数 据 和 它 经 过 散 列 算 法 计 算 出 的 结 果 推 导 出 另 外 一 组 数 据 产 生 的 结 果。
----MD5 是 单 向 数 学 函 数, 它 可 以 对 输 入 的 数 据 进 行 运 算, 产 生 代 表 该 数 据 的128 比 特 指 纹 信 息。 在 这 种 方 式 下,MD5 提 供 完 整 性 服 务。128 比 特 指 纹 信 息 可 以 在 信 息 发 送 之 前 和 数 据 接 收 之 后 计 算 出 来。 如 果 二 次 计 算 结 果 相 同, 那 么 数 据 在 传 输 过 程 中 就 没 有 被 改 变。SHA1 与MD5 类 似, 只 是 它 产 生 160 比 特 指 纹 信 息, 所 以 运 算 时 间 比MD5 稍 长, 安 全 性 更 高 一 些。 当HMAC 和MD5 共 同 使 用 时, 可 以 对 每64 个 字 节 的 数 据 进 行 运 算, 得 出16 字 节 的 指 纹 信 息, 并 放 入AH 包 头 中。
----AH 由 于 没 有 对 用 户 数 据 进 行 加 密。 如 果 黑 客 使 用 协 议 分 析 仪 照 样 可 以 窃 取 在 网 络 中 传 输 的 敏 感 信 息, 所 以 我 们 使 用 有 效 负 载 安 全 封 装(ESP) 协 议 把 需 要 保 护 的 用 户 数 据 进 行 加 密, 并 放 到IP 包 中,ESP 提 供 数 据 的 完 整 性、 可 靠 性。
----ESP 协 议 非 常 灵 活, 可 以 选 择 多 种 加 密 算 法 包 括DES、Triple DES、RC5、RC4、IDEA 和Blowfish。
----DES 是 最 常 用 的 加 密 算 法, 其 特 点 是 采 用56 位 的 密 钥, 处 理64 位 的 输 入, 加 密 解 密 使 用 同 一 个 密 钥 或 可 以 相 互 推 导 出 来。DES 把 数 据 分 成 长 度 为64 位 的 数 据 块, 其 中8 位 作 为 奇 偶 校 验, 有 效 码 长 为56 位。
----DES 加 密 的 第 一 步, 将 明 文 数 据 进 行 初 始 置 换, 得 到64 位 混 乱 明 文 组, 再 将 其 分 成 两 段, 每 段32 位; 第 二 步, 进 行 乘 积 变 换, 在 密 钥 的 控 制 下, 做16 次 迭 代; 最 后, 进 行 逆 初 始 变 换 得 到 密 文。
----由 于 计 算 机 性 能 的 提 高, 采 用 多 台 高 性 能 服 务 器 可 以 攻 破56 位DES, 所 以Triple DES 出 现 了, 它 采 用128 位 密 钥 提 高 了 安 全 性。
----IDEA 算 法 采 用128 位 密 钥, 每 次 加 密 一 个 64 位 的 数 据 块。RC5 算 法 中 数 据 块 的 大 小、 密 钥 的 大 小 和 循 环 次 数 都 是 可 变 的, 密 钥 甚 至 可 以 扩 充 到2048 位, 具 有 极 高 的 安 全 性。
----Blowfish 算 法 使 用 变 长 的 密 钥, 长 度 可 达 448 位, 运 行 速 度 很 快。
---- 以 上 算 法 均 要 使 用 一 个 由 通 信 各 方 共 享 的 密 钥, 被 称 作 对 称 密 码 算 法。 接 收 方 只 有 使 用 发 送 方 用 来 加 密 数 据 的 密 钥 才 能 解 密, 所 以 其 安 全 性 依 赖 于 密 钥 的 安 全。
----AH 和ESP 可 以 单 独 使 用, 也 可 以 一 起 使 用。 为 了 更 好 的 保 证 系 统 的 安 全 性, 建 议 同 时 使 用。
工 作 模 式亚星游戏官网-yaxin222 ----IPSec 有 两 种 工 作 方 式: 隧 道 模 式 和 传 输 模 式。 在 隧 道 方 式 中, 整 个 用 户 的IP 数 据 包 被 用 来 计 算ESP 包 头, 整 个IP 包 被 加 密 并 和ESP 包 头 一 起 被 封 装 在 一 个 新 的IP 包 内。 这 样 当 数 据 在Internet 上 传 送 时, 真 正 的 源 地 址 和 目 的 地 址 被 隐 藏 起 来。 在 传 输 模 式 中, 只 有 高 层 协 议(TCP、UDP、ICMP 等) 及 数 据 进 行 加 密。 在 这 种 模 式 下, 源 地 址、 目 的 地 址 以 及 所 有IP 包 头 的 内 容 都 不 加 密。
亚星游戏官网-yaxin222
---- 由 于 对 称 密 钥 存 在 着 许 多 问 题, 密 钥 传 递 时 容 易 泄 密。 网 络 通 信 时 如 果 网 内 用 户 采 用 同 样 的 密 钥, 就 失 去 了 保 密 的 意 义。 但 如 果 任 意 两 个 用 户 通 信 时 都 使 用 互 不 相 同 的 密 钥,N 个 人 就 要 使 用N ×(N -1)/2 个 密 钥, 密 钥 量 太 大, 在 实 际 使 用 中 无 法 实 现, 所 以 在IPSec 中 使 用 非 对 称 密 钥 技 术, 将 加 密 和 解 密 的 密 钥 分 开, 并 且 不 可 能 从 其 中 一 个 推 导 出 另 外 一 个。 采 用 非 对 称 密 钥 技 术 后, 每 一 个 用 户 都 有 一 对 选 定 的 密 钥, 一 个 由 用 户 自 己 保 存, 一 个 可 以 公 开 得 到。 它 的 好 处 在 于 密 钥 分 配 简 单, 由 于 加 密 和 解 密 的 密 钥 互 不 相 同 并 且 无 法 互 相 推 导, 所 以 加 密 的 密 钥 可 以 分 发 给 各 个 用 户, 而 解 密 密 钥 由 用 户 自 己 保 存。 这 样 以 来, 密 钥 保 存 量 少,N 个 用 户 通 信 最 多 只 需 保 存N 对 密 钥, 便 于 管 理, 可 以 满 足 不 同 用 户 间 通 信 的 私 密 性, 完 成 数 字 签 名 和 数 字 鉴 别。 目 前 有 许 多 种 非 对 称 密 钥 算 法, 其 中 有 的 适 用 于 密 钥 分 配, 有 的 适 用 于 数 字 签 名。
----IPSec 中 的AH 和ESP 实 际 上 只 是 加 密 的 使 用 者, 那 么 如 何 保 证 通 信 的 双 方 可 以 互 相 信 任, 并 采 用 相 同 的 加 密 算 法 呢 ?IETF 制 定 了IKE 用 于 通 信 双 方 进 行 身 份 认 证、 协 商 加 密 算 法 和 散 列 算 法、 生 成 公 钥。
----在 IPSec 的 具 体 实 现 中, 我 们 采 用 密 钥 管 理 协 议(ISAKMP Oakley), 密 钥 交 换 采 用Diffie Hellman 协 议, 身 份 认 证 采 用 数 字 签 名 和 公 开 密 钥。
----IPSec 不 仅 可 以 保 证 隧 道 的 安 全, 同 时 还 有 一 整 套 保 证 用 户 数 据 安 全 的 措 施, 利 用 它 建 立 起 来 的 隧 道 更 具 有 安 全 性 和 可 靠 性。IPSec 还 可 以 和L2TP、GRE 等 其 他 隧 道 协 议 一 同 使 用, 给 用 户 提 供 更 大 的 灵 活 性 和 可 靠 性。 此 外,IPSec 可 以 运 行 于 网 络 的 任 意 一 部 分, 它 可 以 在 路 由 器 和 防 火 墙 之 间、 路 由 器 和 路 由 器 之 间、PC 机 和 服 务 器 之 间、PC 机 和 拨 号 访 问 设 备 之 间。 当IPSec 运 行 于 路 由 器/ 网 关 时, 安 装 配 置 简 单, 只 需 在 网 络 设 备 上 进 行 配 置, 由 网 络 提 供 安 全 性; 当IPSec 运 行 于 服 务 器/PC 机 时, 可 以 提 供 端 到 端 的 安 全, 在 应 用 层 进 行 控 制, 但 它 的 缺 点 是 安 装 配 置 和 管 理 比 较 复 杂。 在 实 际 应 用 中, 我 们 可 以 根 据 用 户 的 需 求 选 择 相 应 的 方 式。
---- 最 后 需 要 注 意 的 是, 无 论 何 种 隧 道 技 术, 一 旦 进 行 加 密 或 验 证 时, 都 会 对 系 统 的 性 能 造 成 影 响。 密 码 算 法 需 要 消 耗 大 量 的 处 理 器 时 间, 而 且 大 多 数 密 码 算 法 还 有 一 个 建 立 准 备 过 程, 如DES 在 内 部 使 用 还 需 将56 位 长 的 密 钥 扩 成768 位 长。 如 果 数 据 本 身 很 短, 这 种 建 立 所 浪 费 的 时 间 不 容 小 视, 它 会 使 系 统 性 能 大 大 下 降。MD5 和SHA1 算 法 的 建 立 时 间 也 不 容 忽 视, 例 如IPSec 对1500 字 节 数 据 包 的 延 迟 可 以 达 到240 毫 秒, 所 以 在 选 择 安 全 性 时 必 须 选 择 高 性 能 的 设 备。

举报本楼

本帖有 2 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-20 03:23 , Processed in 0.353581 second(s), 15 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图