【文章內(nèi)容簡(jiǎn)介】 之后才能顯示出來(lái)內(nèi)容。通過(guò)這樣的途徑來(lái)達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。 加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)， VPN 可直接利用現(xiàn)有的加密技術(shù)，如數(shù)據(jù)加密算法 (Data Encryption Standard， DES)， TripleDES（三重DES）等。加密后的數(shù)據(jù)包即使在傳輸過(guò)程中被竊取，非法獲得者也只能看 到一堆亂碼，必須擁有相應(yīng)的密鑰（ Encryption key）才能破譯。而要破譯密鑰的話，其所需的設(shè)備和時(shí)間則需視加密技術(shù)和密鑰長(zhǎng)度而定。如使用 56 位加密的DES，現(xiàn)在的普通 PC 計(jì)算，需要幾十年才能破譯；而使用 112 位的 TripleDES加密技術(shù)目前則被視為不可破譯。 密鑰管理技術(shù) 如果竊取數(shù)據(jù)包者不能獲得密鑰。那只能采用窮舉法破譯，這在目前加密技術(shù)嚴(yán)密情況下幾乎不可能。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全的傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY兩種： SKIP 技術(shù)由 Sun 公司開(kāi)發(fā)，主要是利用 Diffie Hellmail 演算法則，在網(wǎng)絡(luò)上傳輸密鑰的一種技術(shù)。而在 ISAKMP 技術(shù)中，雙方都有兩把密鑰，分別用于公用、私用場(chǎng)合。目前 ISAKMP/OAKLEY 技術(shù)逐漸整合于 IPv6 協(xié)議中，成為 8 IPv6 的安全標(biāo)準(zhǔn)之一。 在數(shù)據(jù)加密和密鑰管理方面， VPN 采用微軟的點(diǎn)對(duì)點(diǎn)加密算法 MPPE 協(xié)議和網(wǎng)際安全協(xié)議 IPSec 機(jī)制，對(duì)數(shù)據(jù)進(jìn)行加密。并采用公、私密鑰對(duì)的方法，對(duì)密鑰進(jìn)行管理。其中 MPPE 算法是 Windows 9 9 XP 和 終端，可以在全球任 何地方進(jìn)行安全通信。 MPPE 加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開(kāi)銷(xiāo)。以上的身份驗(yàn)證和加密手段，由遠(yuǎn)程 VPN 服務(wù)器強(qiáng)制執(zhí)行。對(duì)于采用撥號(hào)方式建立 VPN 的連接， VPN 連接可以實(shí)現(xiàn)雙重?cái)?shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更安全。 使用者與設(shè)備身份認(rèn)證技術(shù) 公用網(wǎng)絡(luò)上有眾多的使用者和設(shè)備，如何正確地辨認(rèn)合法的使用者與設(shè)備，使只有授權(quán)的本單位人員才能與設(shè)備互通，構(gòu)成一個(gè)安全的 VPN，并讓未授權(quán)者無(wú)法進(jìn)入系統(tǒng)，這就是使用者與設(shè)備身份確認(rèn)技術(shù)要解決的問(wèn)題。 辨認(rèn)合法使用者方法很多，最常使用的是使用者名稱(chēng)與密 碼卡片式兩段認(rèn)證方式。設(shè)備認(rèn)證則需依賴由電子證書(shū)核發(fā)單位（ Certificate Authority）頒發(fā) 電子證書(shū)。通信雙方將此證書(shū)對(duì)比后，如果正確，雙方才開(kāi)始交換數(shù)據(jù)。 在用戶身份驗(yàn)證安全技術(shù)方面， VPN 通過(guò)使用點(diǎn)到點(diǎn)協(xié)議 (PPP)用戶級(jí)身份驗(yàn)證的方法來(lái)進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括密碼身份驗(yàn)證協(xié)議（ PAP）、質(zhì)詢握手身份驗(yàn)證協(xié)議（ CHAP）、 Shiva 密碼身份驗(yàn)證協(xié)議（ SPAP）、 Microsoft 質(zhì)詢握手身份驗(yàn)證協(xié)議（ MSCHAP）和可選的可擴(kuò)展身份驗(yàn)證協(xié)議（ EAP）。 小結(jié) 綜上所述 ， VPN 技術(shù)為網(wǎng)絡(luò)的安全打開(kāi)一扇全新的窗口，利用其可以更好地解決網(wǎng)絡(luò)對(duì)安全的需求。 VPN 有多種實(shí)現(xiàn)方案，隧道方案是應(yīng)用最廣泛的。 通過(guò)對(duì)各種隧道協(xié)議的比較研究可以看出，實(shí)現(xiàn) VPN 技術(shù)也對(duì)隧道協(xié)議提出 了較高的要求，現(xiàn)有的任何一種隧道協(xié)議都不能完全解決其中的所有問(wèn)題。由于網(wǎng)絡(luò)自身對(duì)安全的特別關(guān)注，相比較而言， IPSec 隧道技術(shù)強(qiáng)大的加密認(rèn)證算法更符合網(wǎng)絡(luò)需求。 IPSec 是因特網(wǎng)上唯一的 VPN 實(shí)施標(biāo)準(zhǔn)，它不僅 9 適用于現(xiàn)有的 IPv4，在 IPv6 中也可應(yīng)用。單純的加密并不能實(shí)現(xiàn) VPN，單純的訪問(wèn)控制（如防火墻、名 錄服務(wù)系統(tǒng)）也不能構(gòu)成真正意義上的 VPN。 IPSec 工作在 IP 棧的底層，從而使應(yīng)用程序和高層協(xié)議可以繼承 IPSec 提供的加密服務(wù)。盡管 IPSec 在功能上還存在一些局限性，如只能支持 IP 數(shù)據(jù)流等。不過(guò)IPSec 技術(shù)與 PPTP 技術(shù)的結(jié)合可以實(shí)現(xiàn)多協(xié)議支持，因此它仍不失為目前 VPN的最佳解決方案之一。 10 第三章 IPSec 協(xié)議 IP 安全性概要 IP 協(xié)議是 TCP/IP 中最重要的協(xié)議之一，提供無(wú)連接的數(shù)據(jù)包傳輸機(jī)制，其主要功能有：尋址、路由選擇、分段和組裝。 傳送層把報(bào)文分成 若干個(gè)數(shù)據(jù)報(bào)，每個(gè)數(shù)據(jù)包在網(wǎng)關(guān)中進(jìn)行路由選擇，穿越一個(gè)個(gè)物理網(wǎng)絡(luò)從源主機(jī)到達(dá)目標(biāo)主機(jī)。在傳輸過(guò)程中數(shù)據(jù)包可能被分成若干小段，以滿足物理網(wǎng)絡(luò)中最大傳輸單元長(zhǎng)度的要求，每一小段都當(dāng)作一個(gè)獨(dú)立的數(shù)據(jù)包被傳輸，其中只有第一個(gè)數(shù)據(jù)報(bào)含有 TCP 層的端口信息。在包過(guò)濾防火墻中根據(jù)數(shù)據(jù)包的端口號(hào)檢查是否合法，這樣后續(xù)數(shù)據(jù)包可以不經(jīng)檢查而直接通過(guò)。攻擊者若發(fā)送一系列有意設(shè)置的數(shù)據(jù)包，以非法端口號(hào)為數(shù)據(jù)的后續(xù)數(shù)據(jù)包覆蓋前面的具有合法端口號(hào)的數(shù)據(jù)包，那么該路由器防火墻上的過(guò)濾規(guī)則被旁路，從而攻擊者便達(dá)到了進(jìn)攻目的。 IP 級(jí)安全問(wèn)題涉及到三個(gè)功能領(lǐng)域：認(rèn)證、保密和密鑰管理。 IAB 為了杜絕這些攻擊手段，將認(rèn)證和加密作為下一代 IP（即 IPv6）中必不可少的安全特征。幸運(yùn)的是， IPv4 也可以實(shí)現(xiàn)這些安全特征。 IPSec（ Inter Protocol Security）細(xì)則首先于 1995 年在互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案中頒布。迄今為止， IETF 的IPSec 工作組已經(jīng)為這一協(xié)議組定義了 12 個(gè) RFC（注釋請(qǐng)求）。這些 RFC 文件對(duì) IPSec 的方方面面都進(jìn)行了定義，其中包括體系結(jié)構(gòu)、密鑰管理、基本協(xié)議等。 IPSec 概述 IPSec 基本思想 IPSec 的基本思想就是在 IP 層提供安全功能（包括認(rèn)證和加密）。盡管在TCP/IP 體系結(jié)構(gòu)的任何層次都可以實(shí)現(xiàn)認(rèn)證和加密，但至今許多安全協(xié)議都是在 IP 層之上實(shí)現(xiàn)的，如 PGP（ Pretty Good Privacy）加密和認(rèn)證郵件信息，SSH（ Security Share）認(rèn)證遠(yuǎn)程登錄并且對(duì)會(huì)話過(guò)程進(jìn)行加密以及 SSL（ Security Socket Layer）在 Socket 層實(shí)現(xiàn)安全功能等等。另外還有一些安 11 全技術(shù)工作在 IP 層以下，如通信鏈路層加密和在物理層對(duì)網(wǎng)絡(luò)中傳送的所有數(shù)據(jù)由指定硬件 加密。然而，在 IP 層實(shí)現(xiàn)數(shù)據(jù)通信安全具有更多優(yōu)點(diǎn)。 IPSec 就是在 IP 層實(shí)現(xiàn)數(shù) 據(jù)通信安全服務(wù)的一種較新技術(shù)。高層的安全技術(shù)僅僅保護(hù)某一類(lèi)或某一種高層應(yīng)用，如 PGP 保護(hù)郵件服務(wù)；底層的安全技術(shù)則不加區(qū)分地保護(hù)傳輸媒介中的所有信息，如傳輸媒介兩端的加密盒，它對(duì)許多有固定格式的控制信息，如路由報(bào)文、應(yīng)答確認(rèn)報(bào)文也一律加密。而 IPSec 僅保護(hù) IP 層之上的任何高層協(xié)議中的用戶數(shù)據(jù)，它對(duì) IP 層及 IP 層以下的控制報(bào)文不加保護(hù)，即保護(hù)了需要保護(hù)的私有信息，如圖 31 所示。此外， IPSec 還能夠在不可信的網(wǎng)絡(luò)上創(chuàng)建安全隧道 ，通過(guò)隧道連接構(gòu)成虛擬專(zhuān)用網(wǎng)。 OSI參考模型 用戶加密 實(shí)施加密策略于網(wǎng)絡(luò)層 線路加密 表示層 會(huì)話層 運(yùn)輸層 網(wǎng)絡(luò)層 物理層 圖 31 IPSec 在網(wǎng)絡(luò)層實(shí)現(xiàn) 加密 使用 IPSec 在 IP 層提供安全服務(wù)使得系統(tǒng)可以靈活選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需的密鑰管理。 IPSec 結(jié)構(gòu)體系 IPSec 的結(jié)構(gòu)文檔（或基本架構(gòu)文檔） RFC 2401，定義了 IPSec 的基本結(jié)構(gòu)，所有具體的實(shí)施方案均建立在它的基礎(chǔ)之上。它定義了 IPSec 提供的安全服務(wù)；它們?nèi)绾问褂靡约霸谀睦锸褂?；?shù)據(jù)包如何構(gòu)建及處理；如何根據(jù)需求選擇 IPSec