基于IPSEC的加密技术
IPSEC是IETF定义的一组协议,用于增强IP网络的安全性。IPSec协议集体佛那个了下面的安全服务。
数据完整性:
保证数据的一致性,防止未授权地生成,修改或删除数据。
证数据完整性,主要利用数据摘要,通过md5或哈希算法
认证:
证接受的数据与发送的相同,保证实际发送者就是声称的发送者。
用共享密钥或安全证书提供通信实体间的认证。
保密性:
传输的数据是经过加密的,只有预定的接受者知道发送的内容。
在数据传输过程中,利用对称加密技术提供数据加密,保证数据传输的
机密性。
应用透明的安全性:
IPSec的安全头插入在标准的IP头和上层协议(例如TCP)之间,任何
络服务和网络应用可以不经过修改地从标准Ip转向IPSec,同时IPSec
通信亦可以透明地通过现有的IP路由器。
IPSec的功能可以划分为下面三类。
认证头:
Authentication Header, AH 用于数据完整性认证和数据源认证。
封装安全符合:
Encapsulation Security Payload, ESP 提供数据保密性和数据完整性认证,
ESP一包括了防止重放攻击的顺序号。
Internet密钥交换协议:
Internet Key Exchange, IKE 用于生成和分发在ESP和AH中使用的密钥,
IKE也对远程系统进行初始。
提取IPSec数据包,有必要采取一套专门的方案,将安全服务、密钥与要保护的通信数据联系到一起;同时要将远程通信实体与要交换密钥的IPSec数据传输联系到一起。
这样的构建方案称为“安全联盟(Security Association, SA)”。是构成IPSec的基础。SA是两个通信实体经协商建立起来的一种协定。它们决定论用来保护数据安全带IPSec协议,转码方式,密钥以及密钥的有效存在时间等等。
任何IPSec实施方案始终会构建一个SA数据库(SADB),有它来维护IPSec协议用来保障数据包安全的SA记录。
IPSec的SA 是单向进行的。也就是说,它仅朝一个方向定义安全服务,要么对通信实体收到的包进行“进入”保护,要么对实体外发的包进行“外出”保护。
维护一个对等关系,需要建立安全联盟。
SA与协议有关,每种协议都有一个SA。
一个安全联盟可以用三个参数唯一地指定:
安全参数索引
IP目的地址
安全协议标识符
安全参数索引(SPI)是一个长度为32为的数据实体,目标主机利用这个值对接受SADB 数据库进行检索,提取出适当的SA。
安全联盟参数:
1.序列号(Sequence Number)是一个32位的字段,在数据包的“外出”处
理期间使用,初始为0,次用SA来保护一个数据包,序列号的值便会递增
1。通信的目标主机利用这个字段来监测所谓的“重播”攻击。
2.存活时间(TTL)
3.模式(Mode):传输模式,隧道模式,通赔模式。
4.AH信息
5.ESP信息
6.路径最大传输单元
安全策略数据库(Security Policy DateBase SPD)
在SPD这个数据库中,每个条目都定义了要保护的是什么通信,怎样保护它以及和谁共享这种保护。对于进入或离开IP堆栈的每个包,都必须检索SPD数据库,调查可能的安全应用。
对一个SPD条目来说,它可能定义为以下几种处理方式:丢弃,绕过以及应用。
IPSec通信到IPSec策略的映射关系是由选择符(Selectoral)来建立的。
IPSec选择符包括:
目标IP地址,源IP地址,用户ID,传输层协议,源和目标端口,数据敏感度层。
虚拟专用网络的发展 摘要:虚拟专用网络(VPN)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的信息安全体系中发挥着重要的作用。未来的VPN技术将如何发展,又将在信息安全事务中承担起什么样的角色,是非常值得我们关注的。 关键词:虚拟专用网络(VPN)发展 1. 概述虚拟专用网络即VPN(Virtual Private Network)。顾名思义,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。IETF草案理解基于IP的VPN为:”使用IP 机制仿真出一个私有的广域网”是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。 2. VPN在企业中的主要应用2.1通过专线连接实现广域网的企业,由于增加业务,带宽已不能满足业务的需要,需要经济可靠的升级方案;大中型企业、集团公司:建立全公司的的远程互联,构建内部专用网络,实现安全的intranet; 2.2企业的内部用户和分机构分布范围广、距离远,需要扩展企业网,实现远程访问和局域网互联,最典型的是跨国企业、跨地区企业;2.3分支机构、远程用户、合作伙伴多的企业,需要组建企业专用网;四是关键业务多,对通信线路保密和可性要求高的用户,如银行、证券公司、保险公司等;五是已有各种远程专线连接,需要增加网络连接备份的单位。 3. VPN带给企业的好处3.1 VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司有内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的网络上,一个企业的VPN解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。统计结果显示,企业选用VPN替代传统的拨号网络,可以节省20%—40%的费用;替代网络互联,可减少60%—80%的费用。 3.2 VPN能大大降低网络复杂度,简化网络的设计和管理,在充分保护现有的网络投资的同时,加速连接新的用户和网站,增强内部网络的互联性和扩展性。 3.3 VPN还可以实现网络安全,可以通过用户验证、加密和隧道技术等保证通过公用网络传输私有数据的安全性。随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上,而不是网络上。 3.4 VPN能增加与用户、商业伙伴和供应商的联系,它可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全的虚拟专用线路,用于经济有效地连接到商业伙伴的用户的安全外联网VPN。 4. VPN的实现技术 4.1隧道技术VPN区别于一般网络互联的关键是隧道的建立,然后数据包经过加密,按隧道协议进行封装、传送以保证安全性。现有两种类型的隧道协议,一种是二层隧道协议,用于传输第二层网络协议,它主要应用于构建远程访问VPN;另一种是三层隧道协议,用于传输第三层网络协议,它主要应用于构建Intranet VPN和Extranet