1. 1、本文档共71页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IPSEC

虚拟专用网2 VPN核心技术 一、VPN中的关键技术 隧道 访问控制 密码算法 密钥管理 用户鉴别 网络管理 隧道技术 VPN系统被设计成通过Internet提供安全的点到点(或端到端) 的“隧道”。隧道是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。 VPN隧道对要传输的数据用隧道协议进行封装,这样可以使数据穿越公共网络(通常是指Internet)。 整个数据包的封装和传输过程称为挖隧道。数据包所通过的逻辑连接称为一条隧道。 在VPN中, 数据包流由一个LAN上的路由器发出, 通过共享IP网络上的隧道进行传输,再达到另一个LAN上的路由器。 隧道协议-数据封装 隧道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中,可以实现协议X在公共网络的透明传输。这里协议X称作被封装协议,协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)))。 隧道协议 第二层(链路层):PPTP、L2F、L2TP 第三层(网络层):IPSec 访问控制 一般而言,对资源的访问应在访问策略的控制下进行。 访问控制决定了主体是否被授权对客体执行某种操作。 它依赖鉴别对主体的身份认证,将特权与主体对应起来。 只有经鉴别的主体,才允许访问特定的网络资源。 密码算法 VPN中的安全机制本质上依托于密码系统,如各种加密算法、鉴别算法。密码系统中各种算法的特性、密钥长度、应用模式不同,直接影响在VPN提供的安全服务的强度。安全强度更高的新算法、各种算法的硬件实现自然代表VPN技术发展的趋势。 密钥管理 VPN技术的开放性预示着必须采用各种公开密码算法,这样算法的安全强度不能依赖于算法本身,只能依靠密钥的机密性。大规模部署VPN,也离不开自动密钥管理协议的支持。 VPN系统中常用的几种密钥管理协议包括:IKE协议、SKIP协议、Kerberos协议 用户鉴别 一种典型的VPN应用是远程用户拨号接入(VDPN),与普通的拨号接入不同,VDPN通常需要“二次拨号”:一次接入到当地ISP的普通拨号,一次完成接入到内部网络的VPN “拨号”。 第二次拨号因为涉及对敏感的内部资源的访问,因此必须采用AAA机制对用户进行严格控制,控制的核心是对用户的身份鉴别。 网络管理 作为网络技术一个分支, VPN系统无论采用哪种实现形式(软件/硬件/软硬结合),均涉及网络化管理问题。而且VPN对网管安全提出了更高要求,目前经常采用标准的网管协议SNMP V2一方面安全机制不健全,另一方面缺乏对VPN系统的内在支持。从某种意义上讲,网管技术的发展直接制约着VPN技术的大规模应用。 二、VPN的隧道技术 1、隧道的相关知识 2、隧道协议类型 3、第二层隧道:PPTP 4、第二层隧道:L2TP 5、第三层隧道技术:IPSec 6、几种隧道技术的比较 1、隧道的相关知识 隧道的定义:实质上是一种封装,将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议 乘客协议(Passenger Protocol) 封装协议(Encapsulating Protocol) 运载协议(Carrier Protocol) 隧道协议例子 2、隧道协议类型 分类依据:被封装的数据在OSI/RM的层次 第二层隧道:以PPTP,L2TP为代表 第三层隧道:IPSec 3、第二层隧道:PPTP(1) 3、第二层隧道:PPTP(2) 4、第二层隧道:L2TP 数据封装格式: 特点: 它综合了第二层转发协议(L2F)和PPTP两种协议各自的优点 协议的额外开销较少 5、第三层隧道技术:IPSec IPSec:即IP层安全协议,是由Internet组织IETF的IPSec工作组制定的IP网络层安全标准。它通过对IP报文的封装以实现TCP/IP网络上数据的安全传送。 数据封装格式: 6、几种隧道技术的比较 应用范围: PPTP、L2TP:主要用在远程客户机访问局域网方案中; IPSec主要用在网关到网关或主机方案中,不支持远程拨号访问。 安全性: PPTP提供认证和加密功能,但安全强度低 L2TP提供认证和对控制报文的加密,但不能对传输中的数据加密。 IPSec提供了完整的安全解决方案。 QoS(quality of service)保证:都未提供 对多协议的支持:IPSec不支持 三、基于IPSec的VPN的体系结构 1、IPSec体系结构 2、IPSec协议框架 3、AH协议 4、ESP协议 5、IPSec传输模式 6、IPSec隧道模式 7、安全策略数据库(SPD) 8、安全联盟数据库(SADB) 9、数据包输出处理 10、数据包输入处理 11、包处理组件实现模

文档评论(0)

me54545 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档