IPsec VN概念和功能.docVIP

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
IPsec VN概念和功能

IPsec VPN概念和功能 IPsec简介 IPsec IP Security 是IETF IPsec工作组为了在IP层提供提供高质量的、可互操作的、基于密码学的通信安全而制定的一套协议族。 IPsec包括安全体系结构、安全协议和密钥协商三个部分,各部分关系如图1所示。安全体系结构定义了主机或网关应提供的各种保护功能,以及相应的保护参数,并定义了两种安全协议:ESP和AH。而安全协议(ESP、AH)定义了对通信的安全保护机制,它将使用加密和验证算法来完成对数据的机密性和完整性保护;密钥协商部分定义了如何为安全协议协商相关的安全参数,以及如何对通信实体的身份进行鉴别。 解释域是为了使通信双方保持对通信消息具有相同的解释而规定一些约束。 图1 IPsec体系结构 IPsec提供的安全服务包括: 访问控制:IPsec从功能上来说与防火墙紧密相连,它提供类似防火墙功能的数据流过滤,对于特定数据流可以完成三种处理:进行隧道封装,直接通过,不允许通过; 数据源认证:用户通过简单的IP地址欺骗就可以冒充他人,而IPsec通过对数据源的认证来防止这种情况的发生; 数据机密性:不加改进的IP网络其在网上传输的任何信息都可被他人阅读,没有任何机密可言,而对于一些关键数据(例如电子商务中传输的数据、银行用户数据)却必须是对外不可见的,IPsec通过加密技术达到该目的; 数据完整性:IPsec通过认证算法达到对数据的完整性保护,从而能够发现在通信线路中被篡改的数据; 重放攻击保护:通过在AH、ESP中包含的序列号完成是否是重放数据的判断; 有限的数据流量保护:通过在AH、ESP中随机填充0-255之间的任意字节数,增加通信噪音,使线路窃听者无法通过流量分析来获取信息。 IPsec将安全协议与为这些安全协议协商安全参数的密钥管理协议相分离。在IPsec中使用IKE(Internet Key Exchange)协议作为其密钥管理协议,完成安全关联(Security Association,简称SA)的协商。而SA中包含的是安全通信双方使用的加密算法、验证算法、加密密钥等安全参数。 IKE协议通过两个阶段完成安全参数的协商,阶段一协商用于保护阶段二协商的安全参数,建立IKE SA;而阶段二协商用于保护数据通信的安全参数,建立IPsec SA。可以使用主模式或者积极模式完成阶段一协商,使用快速模式完成阶段二协商。 阶段一协商在完成安全参数交换的同时,还将验证协商对端的身份是否合法,提供四种验证方式:预共享密钥、公钥加密、改进的公钥加密、数字签名方式。 IKE作为密钥生成协议,提供了以下的安全机制: 机密性保护:IKE使用Diffie-Hellman算法完成密钥的交换,并使后续的协商处在加密保护中完成; 数据完整性与身份验证:IKE通过交换验证载荷完成对数据完整性的检验,并同时完成对对端身份的验证; 抗拒绝服务攻击(DoS):在IKE交换中,首先交换的是cookie,在一次交换中首先检查cookie值,把需要CPU密集运算的处理放在cookie值检验之后,这样可以对DoS攻击提供一种简单的防范机制; 防止中间人攻击:中间人攻击包括窃听、插入、删除、修改、反射旧消息、重放旧消息以及重定向消息等。IKE协议通过将认证、加密与SA交换相结合等方式,提供对中间人攻击的较好防范; 完美向前保密(Perfect Forward Secrecy,简称PFS):完美向前保密是指即使攻击者破解了一个密钥,也只能获得该密钥加密的信息,而不能获得其它的数据信息。而IKE提供的PFS,指即使攻击者破解了第一阶段的密钥交换,也只能获得受该SA保护的信息,但却不能获得受IPsec SA保护的数据信息。 迈普公司VPN设备功能特性及相关技术 迈普公司VPN设备除满足基本的IPsec VPN要求外还提供一些特殊的功能,本节对其中主要的部分进行简要的介绍。 NAT穿越 IPsec作为一种重要的安全技术得到越来越广泛的应用,而客户网络边缘大量使用NAT地址转换操作,由于协议和实现上的问题导致当NAT和IPsec同时存在时,需要考虑IPsec如何正确穿越NAT。 NAT穿越的基本原理和特点可以概括如下: 解决AH和NAT之间的不兼容。由于AH头的完整性校验中包括了IP源和目的地址,NAT和反向NAT设备对地址的改变会导致完整性破坏。而ESP的完整性校验不包括IP源和目的地址,在ESP中不存在这个问题,因此可以采用ESP实现NAT穿越。 NAT-Traversal支持的发现。远端主机的NAT-Traversal能力通过一个vendor载荷交换来决定。 NAT存在的发现。通过在IKE协商过程中发送NAT_D载荷来发现NAT设备,它不仅发现两个IKE同位体间NAT设备的存在,也

文档评论(0)

kkg445 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档