返回
ipsec_vpn技术详解

ipsec_vpn技术详解

ID:9252039

大小:1.28 MB

页数:45页

时间:2018-04-25

ipsec_vpn技术详解_第1页
ipsec_vpn技术详解_第2页
ipsec_vpn技术详解_第3页
ipsec_vpn技术详解_第4页
ipsec_vpn技术详解_第5页
资源描述:

《ipsec_vpn技术详解》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、1VPN(VirtualPrivateNetwork)虚拟专用网是一种业务,可以在共享的公共网络上提供安全可靠的连接通道.1.1按层次分的VPN:Ø二层VPN:ATM/FrameRelay/DDN/ISDNØ三层VPN:IPSEC/GRE/L2TPØ应用层VPN:WebVPN/SSLVPN1.2安全的含义Ø保证来源性-----------对数据来源进行认证Ø保证完整性-----------在传输过程中,不允许对数据包进行修改Ø保证私密性-----------对数据包进行加密,又称为:数据的机密性.Ø不可否认性-----------不允许发送方抵

2、赖,说自己没有传过1.3VPN技术种类ØSite-to-Site(又称为:Lan-to-Lan,或者又为:gateway-to-gateway.在公网上使用IPSECVPN连接两个物理上不相连的局域网.ØRemote-access适用于远程用户通过ciscoVPNclient软件客户端拨号到中心站点的情况根据中心站点设备的不同分为RouterremoteVPN和ASA。remoteVPN关键技术点是1.5阶段的Xauth;VPNgroup;ciscoVPNclient.2加密算法1)对称加密Ø产生一条密钥(加密或解密都使用同一条密钥).Ø加密速

3、度快,加密后的文件紧凑(加密前后的文件大小差不多),适用于大量数据的加密.Ø算法:DES(56bit)/3DES(168bit)/AES1)非对称加密Ø产生一对密钥{加密使用一条密钥(公钥),解密使用另一条密钥(私钥)}Ø加密速度慢,加密后的文件不紧凑(加密后的文件比加密前的文件大很多),适用于加密证书或KEY的管理.Ø算法:RSA1HASH的算法ØMD5128bitØSHA-1160bitHASH的特点:Ø任意不同长度的输入,得到相同长度的输出.Ø只有完全相同的输入,才有完全相同的输出Ø雪崩效应(只要有一点更改,就会有非常大的改变)HMAC-

4、----HASHMessageAuthenticationCode(利用Hash检验数据完整性)HMAC是一个密钥认证算法"MAC"是一个与Hash密切相关的名词,即信息授权码(MessageAuthorityCode).它是与密钥相关的Hash值,必须拥有该密钥才能检验.该Hash值,只有密钥的拥有者可以计算出新的散列值.MAC(messageauthenticationcodes)消息认证码,利用密钥来生成一个固定长度的短数据块,并且将该数据块附在消息之后。将消息和MAC一起将被发送给接收方。接收方对收到的消息用相同的密钥进行相同的计算得出

5、新的MAC,并将接收到的MAC与其计算出的MAC进行比较。DigitalSignatures-----先用私钥加密,然后用公钥解密.用于认证源.PeerAuthentication-----只要是验证,就要对比HASH.DHKeyExchangeDiffie-Hellman密钥交换(第一种公共密钥加密系统),在一个不安全的网络中打通一条安全的隧道,用于交换密钥.通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥.Peerauthenticationmethods:ØPre-sharedkeys------由双方预先设置好ØRSAsi

6、gnaturesØRSAencryptednonces-----不需要CA1IKE----InternetKeyExchange(Internet密钥交换协议)负责各种IPSec选项的协商、认证通信的每一端(应用时包括公钥交换),以及管理IPSEC隧道的会话密钥.IKE使用用户数据报协议(UDP)端口500(通常用于源和目的双方)进行通信.一种在InternetSecurityAssociationandKeyManagementProtocol(ISAKMP)框架中使用Oakley和SKEME协议组的混合协议.IKE通常用来确定一个共享的安全

7、策略和对需要密码服务的验证,在IPSEC流量能通过之前,先要router/firewall/host这些对等体进行身份验证.可以在双边手工输入预共享(pre-share)key或者通过CA获得KEY,通过双边协商双边获得统一IKE的SA,建立初步的安全通道,为接下来的IPSEC作准备.ISAKMP定义了两个通信对等体如何能够通过一系列的过程来保护它们之间的通信信道.它为两个对等体提供了互相验证,交换密钥等管理信息以及协商安全服务的手段.IKE是一个"元"(meta)协议:"ISAKMP"="Oakley"+"SKEME"1)ISAKMP----

8、InternetSecurityAssociationandKeyManagementPotocol(Internet安全连接和密钥管理协议).作用:

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。