基于思科设备得VPN实现(三)

普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议(PPTP)或第2层隧道协议(L2TP)为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议(IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念，协议，和部件。
 基于IPSec VPN的设计目标是：为IPv4和Ipv6提供可互操作的，高质量的，基于密码学的安全性。它工作在IP层，提供访问控制，无连接的完整性，数据源认证，机密性，以及有限的数据流机密性，以及防重放攻击等安全服务。在IP层上提供安全服务，具有较好的安全一致性和共享性及应用范围。这是因为，IP层可为上层协议无缝地提供安全保障，各种应用程序可以享用IP层提供的安全服务和密钥管理，而不必设计自己的安全机制，因此减少密钥协商的开销，也降低了产生安全漏洞的可能性。
 通过使用两种通信安全协议(AH协议和ESP协议)以及Internet密钥交换(IKE)协议等密钥管理过程和协议，IPSec实现了这些目标。安全协议部分定义了对通信的各种保护方式，密钥协商部分定义了如何为安全协议协商保护参数，以及如何认证通信实体的身份。
 第3章 VPN研究要解决的几个关键问题
 3.1 VPN研究设计中要解决的问题
 3.1.1 扩充网络装置
 在今后几年内，VPN将增加目录服务器，即装载最终用户建档和网络配置数据的存储库。它将作为一个独立平台放置在企业网上，并放置在由VPN实施控制的公网的某一部分。这样，企业网能够很容易地扩展到公网，从而消除过去公网和专网之间截然分开的界线。
 3.1.2 移动和远程用户接入管理
 随着商务交往的增多，越来越多用户将要求在任何时间、任何地点接入VPN，因而移动和无线接入方式将成为未来VPN一个显著特征。
 3.1.3 QoS有待提高
 加密是QoS中的不足之处。当传输流被加密后，由于标记QoS的比特不能为网络路由器所读取，因此，QoS很难得到保证。这个问题在IPv6中通过增加包括QoS信息的额外的非加密包头域得到了解决，这些信息可以为任何路由器所读取。然而，IPv6还需要得到广泛应用。
 3.1.4 互操作性悬而未决
 由于厂商设备间的互操作性问题，使用IPSec 中所规定的Internet IKE认证协议的工具，一般不能很好地工作，除非用户在每个节点上都使用同一家公司生产的设备。但是，由于财务、后勤等各种原因，要想让你的业务合作伙伴安装相同厂商生产的设备是很难的。
 3.1.5 IPSec的安全问题
 不可否认性 "不可否认性"可以证实消息发送方是唯一可能的发送者，发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征，当使用公钥技术时，发送方用私钥产生一个数字签名随消息一起发送，接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥，也只有发送者才可能产生该数字签名，所以只要数字签名通过验证，发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征，因为在基于认证的共享密钥技术中，发送方和接收方掌握相同的密钥。
 反重播性 "反重播"确保每个IP包的唯一性，保证信息万一被截取复制后，不能再被重新利用、重新传输回目的地址。该特性可以防止攻击者截取破译信息后，再用相同的信息包冒取非法访问权（即使这种冒取行为发生在数月之后）。
 数据完整性 防止传输过程中数据被篡改，确保发出数据和接收数据的一致性。IPSec利用Hash函数为每个数据包产生一个加密检查和，接收方在打开包前先计算检查和，若包遭篡改导致检查和不相符，数据包即被丢弃。
 数据可靠性（加密） 在传输前，对数据进行加密，可以保证在传输过程中，即使数据包遭截取，信息也无法被读。该特性在IPSec中为可选项，与IPSec策略的具体设置相关。
 认证 数据源发送信任状，由接收方验证信任状的合法性，只有通过认证的系统才可以建立通信连接。
 除了VPN技术上的一些主要问题外，厂商仍在对一些细节问题进行研究。分发VPN客户机软件，并保持成千上万个远程接入用户用的是相同的软件版本，是在使用VPN时的一个挑战。而且，如何在保持成千上万加密对话进行的同时，不断更换加密密钥也是厂商和标准组织仍在努力解决的问题。
 3.2 VPN研究具体实现中采用的关键技术及复杂性分析
 3.2.1 实现VPN的关键技术
 (1)安全隧道技术(Secure Tunneling Technology)。通过将待传输的原始信息经过加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中，像普通数据包一样进行传输。经过这样的处理，只有源端和宿端的用户对隧道中的嵌套信息进行解释和处理，而对于其他用户而言只是无意义的信息。这里采用的是加密和信息结构变换相结合的方式，而非单纯的加密技术。
 (2)用户认证技术(User Authentication Technology)。在正式的隧道连接开始之前需要确认用户的身份，以便系统进一步实施资源访问控制或用户授权(Authorization)。用户认证技术是相对比较成熟的一类技术。因此可以考虑对现有技术的集成。
 (3)访问控制技术(Access Control Technology)。由VPN服务的提供者与最终网络信息资源的提供者共同协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。
 3.2.2 VPN复杂性分析
 在VPN的关键技术中，最重要的是安全隧道技术，属于IP Tunneling的协议有很多，主要有：
 (1)二层隧道协议
 L2F/L2TP是PPP（Point to Point Protocol）协议的扩展，它综合了其他两个隧道协议：CISCO的二层转发协议（L2F，Layer 2 Forwarding）和 Microsoft 的点对点隧道协议（PPTP，Point-to-Point Tunneling）的优良特点。它是由Internet Engineering Task Force (IETF)管理的，目前由Cisco、Microsoft、Ascend、3Com和其他网络设备供应商联合开发并认可。
 这些结构都严格通过点对点方式连接，所以很难在大规模的IP VPN下使用。同时这种方式还要求额外的计划及人力来准备和管理，对网络结构的任意改动都将花费数天甚至数周的时间。而在点对点平面结构网络上添加任意节点都必须承担刷新通信矩阵的巨大工作量，且要为所有配置增加新站点后的拓扑信息，以便让其他站点知其存在。这样高的工作负担使得这类VPN异常昂贵，也使大量需要此类服务的中小型企业和部门望而却步。
 (2)三层隧道IPSec协议　　IPSec协议是因特网工程任务组(IETF)针对TCP/

首页 上一页 1 2 3 4 5 6 7 下一页 尾页 3/10/10

基于思科设备得VPN实现(三)相关范文