VPN网络接入关键技术.docxVIP

VPN网络接入技术 ◆ 传输模式 传输模式用于两台主机之间，保护传输层协议头，实现端到端安全。它所保护数据包通信终点也是IPsec终点。当数据包从传输层递给网络层时，AH和ESP会进行拦截，在IP头和上层协议头之间需插入一个IPsec头（AH头或ESP头）。当对一个同时应用AH和ESP传输模式时，应先应用ESP，再应用AH，这么数据完整性可应用到ESP载荷。 因为传输模式不改变IP地址头部，所以此种模式VPN适适用于正当IP地址之间点对点通讯，适用范围比较窄。 ◆ 隧道模式 要能够使得企业网内一个局网数据透明穿过公用网抵达另一个局网, 虚拟专用网采取了一个称之为隧道技术。隧道技术基础过程是在源局网和公用网接口处将局网发送数据(能够是ISO七层模型中数据链路层或网络层数据)作为负载封装在一个能够在公用网上传输数据格式中，在目标局域网和公用网接口处将公用网数据解析后，取出源局域网发送数据在目标局域网传输。因为封装和解封装只在两个接口处由设备根据隧道协议配置进行，局网中其它设备将不会觉察到这一过程。被封装数据包在隧道两个端点之间经过公共互联网络进行路由。被封装数据包在公共互联网络上传输时所经过逻辑路径称为隧道。 图2 隧道模式是经过IPIP技术实现，IPIP协议是将一个IP包作为另一个IP负载来处理。举个简单例子来说明IPIP协议工作过程。一个IP包源为A，A所在局网和Internet接口为B，目标地为远地D，D所在局网和Internet接口为C，IP包要穿过Internet抵达D，可在B作以下图封装，数据包在Internet上能够根据路由抵达C，在C处解封装去掉外部IP协议头，将内部IP包在局网上发送。数据包将根据局网路由抵达D。 Media 外部目标C 外部源B 内部目标D 内部源A 用户数据 图3 IPIP封装 IPIP协议在具体使用中要考虑怎样建立外部IP协议头内容，要考虑内部IP协议头中一些内容如服务质量参数，是否要拷贝到外部协议头中。实际上图示意并不正确，在两个IP协议头之间能够插入其它协议内容。IPSec协议族在使用IPIP隧道时就可能插入另外两个协议头：AH、ESP。IPSec协议族建立隧道可能采取以下方法： 外部IP AH 内部IP 方法1 外部IP ESP 内部IP 方法2 外部IP AH ESP 内部IP 方法3 3.4监控系统安全性 即使系统通信采取公共网络，不过我企业在系统软件设计时，数据通信协议为用户定义方法，含有可靠性高、保密性好特点，并全部采取纠错编码技术，同时在数据通信过程中增加随机密钥（即在通信数据中加入随机改变密码，确保系统运行时通信不受干扰。），该密码由加密算法产生，可阻止任何干扰数据对系统通信过程造成影响，不会引发误报、误控等现象。该技术已经申报技术专利。另外VPN宽带网络也有自己独特一个加密技术，确保系统通信安全。 VPN网络安全技术 因为VPN是在不安全Internet中进行通信，而通信内容可能包含到企业机密数据，所以其安全性就显得很关键，必需采取一系列安全机制来确保VPN安全。通常由加密、认证及密钥交换和管理组成了VPN安全机制。 1、认证技术 认证技术能够区分真实数据和伪造、被篡改过数据。这对于网络数据传输,尤其是电子商务是极其关键。认证协议通常全部要采取一个称为摘要技术。摘要技术关键是采取HASH函数将一段长报文经过函数变换，映射为一段短报文（即摘要）。因为HASH函数特征，使得要找到两个不一样报文含有相同摘要是困难。该特征使得摘要技术在VPN中有两个用途： 验证数据完整性。发送方将数据报文和报文摘要一同发送,接收方经过计算报文摘要,和发来摘要比较,相同则说明报文未经修改。因为在报文摘要计算过程中通常是将一个双方共享秘密信息连接上实际报文一同参与摘要计算，不知道秘密信息将极难伪造一个匹配摘要，从而确保了接收方能够识别出伪造或篡改过报文。 用户认证。该功效实际上是上一个功效延伸。当一方期望验证对方，但又不期望验证秘密在网络上传送，这时一方能够发送一段随机报文，要求对方将秘密信息连接上该报文作摘要后发回，接收方能够经过验证摘要是否正确来确定对方是否拥有秘密信息，从而达成验证对方目标。 常见HASH函数有MD5，SHA-1等。 2、加密技术介绍 在VPN中为了确保关键数据在公共网上传输时不被她人窃取,采取了加密机制。IPSec经过ISAKMP/IKE/Oakley协商确定多个可选数据加密方法如DES、3DES。在现代密码学中，加密算法被分为对称加密算法和非对称加密算法。 对称加密算法采取同一把密钥进行加密和解密，优点是速度快，但密钥分发和交换不便于管理。 使用不对称加密时，通讯各方使用两个不一样密钥,一个是只有发送方知道专用密钥d，另一个则是对应公用密钥e，任何人全部能够取得公用密钥