資源描述:
《ipsec_vpn技術詳解》由會員上傳分享����,免費在線閱讀���,更多相關內容在學術論文-天天文庫。
1�����、1VPN(VirtualPrivateNetwork)虛擬專用網是一種業(yè)務,可以在共享的公共網絡上提供安全可靠的連接通道.1.1按層次分的VPN:?二層VPN:ATM/FrameRelay/DDN/ISDN?三層VPN:IPSEC/GRE/L2TP?應用層VPN:WebVPN/SSLVPN1.2安全的含義?保證來源性-----------對數據來源進行認證?保證完整性-----------在傳輸過程中,不允許對數據包進行修改?保證私密性-----------對數據包進行加密,又稱為:數據的機密性.?不可否認性----
2�����、-------不允許發(fā)送方抵賴,說自己沒有傳過1.3VPN技術種類?Site-to-Site(又稱為:Lan-to-Lan,或者又為:gateway-to-gateway.在公網上使用IPSECVPN連接兩個物理上不相連的局域網.?Remote-access適用于遠程用戶通過ciscoVPNclient軟件客戶端撥號到中心站點的情況根據中心站點設備的不同分為RouterremoteVPN和ASA����。remoteVPN關鍵技術點是1.5階段的Xauth;VPNgroup�;ciscoVPNclient.2加密算法1)對稱加
3、密?產生一條密鑰(加密或解密都使用同一條密鑰).?加密速度快,加密后的文件緊湊(加密前后的文件大小差不多),適用于大量數據的加密.?算法:DES(56bit)/3DES(168bit)/AES1)非對稱加密?產生一對密鑰{加密使用一條密鑰(公鑰),解密使用另一條密鑰(私鑰)}?加密速度慢,加密后的文件不緊湊(加密后的文件比加密前的文件大很多),適用于加密證書或KEY的管理.?算法:RSA1HASH的算法?MD5128bit?SHA-1160bitHASH的特點:?任意不同長度的輸入,得到相同長度的輸出.?只有完全相同
4�����、的輸入,才有完全相同的輸出?雪崩效應(只要有一點更改,就會有非常大的改變)HMAC-----HASHMessageAuthenticationCode(利用Hash檢驗數據完整性)HMAC是一個密鑰認證算法"MAC"是一個與Hash密切相關的名詞��,即信息授權碼(MessageAuthorityCode).它是與密鑰相關的Hash值,必須擁有該密鑰才能檢驗.該Hash值,只有密鑰的擁有者可以計算出新的散列值.MAC(messageauthenticationcodes)消息認證碼����,利用密鑰來生成一個固定長度的短數據塊,
5�、并且將該數據塊附在消息之后�����。將消息和MAC一起將被發(fā)送給接收方���。接收方對收到的消息用相同的密鑰進行相同的計算得出新的MAC�,并將接收到的MAC與其計算出的MAC進行比較�����。DigitalSignatures-----先用私鑰加密,然后用公鑰解密.用于認證源.PeerAuthentication-----只要是驗證,就要對比HASH.DHKeyExchangeDiffie-Hellman密鑰交換(第一種公共密鑰加密系統(tǒng)),在一個不安全的網絡中打通一條安全的隧道,用于交換密鑰.通信雙方在不傳輸密鑰的情況下通過交換一些數據,
6����、計算出共享的密鑰.Peerauthenticationmethods:?Pre-sharedkeys------由雙方預先設置好?RSAsignatures?RSAencryptednonces-----不需要CA1IKE----InternetKeyExchange(Internet密鑰交換協(xié)議)負責各種IPSec選項的協(xié)商�、認證通信的每一端(應用時包括公鑰交換),以及管理IPSEC隧道的會話密鑰.IKE使用用戶數據報協(xié)議(UDP)端口500(通常用于源和目的雙方)進行通信.一種在InternetSecurityA
7、ssociationandKeyManagementProtocol(ISAKMP)框架中使用Oakley和SKEME協(xié)議組的混合協(xié)議.IKE通常用來確定一個共享的安全策略和對需要密碼服務的驗證,在IPSEC流量能通過之前,先要router/firewall/host這些對等體進行身份驗證.可以在雙邊手工輸入預共享(pre-share)key或者通過CA獲得KEY,通過雙邊協(xié)商雙邊獲得統(tǒng)一IKE的SA,建立初步的安全通道,為接下來的IPSEC作準備.ISAKMP定義了兩個通信對等體如何能夠通過一系列的過程來保護它們之
8���、間的通信信道.它為兩個對等體提供了互相驗證,交換密鑰等管理信息以及協(xié)商安全服務的手段.IKE是一個"元"(meta)協(xié)議:"ISAKMP"="Oakley"+"SKEME"1)ISAKMP----InternetSecurityAssociationandKeyManagementPotocol(Internet安全連接和密鑰管理協(xié)議).作用:
