【文章內(nèi)容簡介】 之后才能顯示出來內(nèi)容。通過這樣的途徑來達(dá)到保護數(shù)據(jù)不被非法人竊取、閱讀的目的。 加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)， VPN 可直接利用現(xiàn)有的加密技術(shù)，如數(shù)據(jù)加密算法 (Data Encryption Standard， DES)， TripleDES（三重DES）等。加密后的數(shù)據(jù)包即使在傳輸過程中被竊取，非法獲得者也只能看 到一堆亂碼，必須擁有相應(yīng)的密鑰（ Encryption key）才能破譯。而要破譯密鑰的話，其所需的設(shè)備和時間則需視加密技術(shù)和密鑰長度而定。如使用 56 位加密的DES，現(xiàn)在的普通 PC 計算，需要幾十年才能破譯；而使用 112 位的 TripleDES加密技術(shù)目前則被視為不可破譯。 密鑰管理技術(shù) 如果竊取數(shù)據(jù)包者不能獲得密鑰。那只能采用窮舉法破譯，這在目前加密技術(shù)嚴(yán)密情況下幾乎不可能。密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全的傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為 SKIP 與 ISAKMP/OAKLEY兩種： SKIP 技術(shù)由 Sun 公司開發(fā)，主要是利用 Diffie Hellmail 演算法則，在網(wǎng)絡(luò)上傳輸密鑰的一種技術(shù)。而在 ISAKMP 技術(shù)中，雙方都有兩把密鑰，分別用于公用、私用場合。目前 ISAKMP/OAKLEY 技術(shù)逐漸整合于 IPv6 協(xié)議中，成為 8 IPv6 的安全標(biāo)準(zhǔn)之一。 在數(shù)據(jù)加密和密鑰管理方面， VPN 采用微軟的點對點加密算法 MPPE 協(xié)議和網(wǎng)際安全協(xié)議 IPSec 機制，對數(shù)據(jù)進行加密。并采用公、私密鑰對的方法，對密鑰進行管理。其中 MPPE 算法是 Windows 9 9 XP 和 終端，可以在全球任 何地方進行安全通信。 MPPE 加密確保了數(shù)據(jù)的安全傳輸，并具有最小的公共密鑰開銷。以上的身份驗證和加密手段，由遠(yuǎn)程 VPN 服務(wù)器強制執(zhí)行。對于采用撥號方式建立 VPN 的連接， VPN 連接可以實現(xiàn)雙重數(shù)據(jù)加密，使網(wǎng)絡(luò)數(shù)據(jù)傳輸更安全。 使用者與設(shè)備身份認(rèn)證技術(shù) 公用網(wǎng)絡(luò)上有眾多的使用者和設(shè)備，如何正確地辨認(rèn)合法的使用者與設(shè)備，使只有授權(quán)的本單位人員才能與設(shè)備互通，構(gòu)成一個安全的 VPN，并讓未授權(quán)者無法進入系統(tǒng)，這就是使用者與設(shè)備身份確認(rèn)技術(shù)要解決的問題。 辨認(rèn)合法使用者方法很多，最常使用的是使用者名稱與密 碼卡片式兩段認(rèn)證方式。設(shè)備認(rèn)證則需依賴由電子證書核發(fā)單位（ Certificate Authority）頒發(fā) 電子證書。通信雙方將此證書對比后，如果正確，雙方才開始交換數(shù)據(jù)。 在用戶身份驗證安全技術(shù)方面， VPN 通過使用點到點協(xié)議 (PPP)用戶級身份驗證的方法來進行驗證，這些驗證方法包括密碼身份驗證協(xié)議（ PAP）、質(zhì)詢握手身份驗證協(xié)議（ CHAP）、 Shiva 密碼身份驗證協(xié)議（ SPAP）、 Microsoft 質(zhì)詢握手身份驗證協(xié)議（ MSCHAP）和可選的可擴展身份驗證協(xié)議（ EAP）。 小結(jié) 綜上所述 ， VPN 技術(shù)為網(wǎng)絡(luò)的安全打開一扇全新的窗口，利用其可以更好地解決網(wǎng)絡(luò)對安全的需求。 VPN 有多種實現(xiàn)方案，隧道方案是應(yīng)用最廣泛的。 通過對各種隧道協(xié)議的比較研究可以看出，實現(xiàn) VPN 技術(shù)也對隧道協(xié)議提出 了較高的要求，現(xiàn)有的任何一種隧道協(xié)議都不能完全解決其中的所有問題。由于網(wǎng)絡(luò)自身對安全的特別關(guān)注，相比較而言， IPSec 隧道技術(shù)強大的加密認(rèn)證算法更符合網(wǎng)絡(luò)需求。 IPSec 是因特網(wǎng)上唯一的 VPN 實施標(biāo)準(zhǔn)，它不僅 9 適用于現(xiàn)有的 IPv4，在 IPv6 中也可應(yīng)用。單純的加密并不能實現(xiàn) VPN，單純的訪問控制（如防火墻、名 錄服務(wù)系統(tǒng)）也不能構(gòu)成真正意義上的 VPN。 IPSec 工作在 IP 棧的底層，從而使應(yīng)用程序和高層協(xié)議可以繼承 IPSec 提供的加密服務(wù)。盡管 IPSec 在功能上還存在一些局限性，如只能支持 IP 數(shù)據(jù)流等。不過IPSec 技術(shù)與 PPTP 技術(shù)的結(jié)合可以實現(xiàn)多協(xié)議支持，因此它仍不失為目前 VPN的最佳解決方案之一。 10 第三章 IPSec 協(xié)議 IP 安全性概要 IP 協(xié)議是 TCP/IP 中最重要的協(xié)議之一，提供無連接的數(shù)據(jù)包傳輸機制，其主要功能有：尋址、路由選擇、分段和組裝。 傳送層把報文分成 若干個數(shù)據(jù)報，每個數(shù)據(jù)包在網(wǎng)關(guān)中進行路由選擇，穿越一個個物理網(wǎng)絡(luò)從源主機到達(dá)目標(biāo)主機。在傳輸過程中數(shù)據(jù)包可能被分成若干小段，以滿足物理網(wǎng)絡(luò)中最大傳輸單元長度的要求，每一小段都當(dāng)作一個獨立的數(shù)據(jù)包被傳輸，其中只有第一個數(shù)據(jù)報含有 TCP 層的端口信息。在包過濾防火墻中根據(jù)數(shù)據(jù)包的端口號檢查是否合法，這樣后續(xù)數(shù)據(jù)包可以不經(jīng)檢查而直接通過。攻擊者若發(fā)送一系列有意設(shè)置的數(shù)據(jù)包，以非法端口號為數(shù)據(jù)的后續(xù)數(shù)據(jù)包覆蓋前面的具有合法端口號的數(shù)據(jù)包，那么該路由器防火墻上的過濾規(guī)則被旁路，從而攻擊者便達(dá)到了進攻目的。 IP 級安全問題涉及到三個功能領(lǐng)域：認(rèn)證、保密和密鑰管理。 IAB 為了杜絕這些攻擊手段，將認(rèn)證和加密作為下一代 IP（即 IPv6）中必不可少的安全特征。幸運的是， IPv4 也可以實現(xiàn)這些安全特征。 IPSec（ Inter Protocol Security）細(xì)則首先于 1995 年在互聯(lián)網(wǎng)標(biāo)準(zhǔn)草案中頒布。迄今為止， IETF 的IPSec 工作組已經(jīng)為這一協(xié)議組定義了 12 個 RFC（注釋請求）。這些 RFC 文件對 IPSec 的方方面面都進行了定義，其中包括體系結(jié)構(gòu)、密鑰管理、基本協(xié)議等。 IPSec 概述 IPSec 基本思想 IPSec 的基本思想就是在 IP 層提供安全功能（包括認(rèn)證和加密）。盡管在TCP/IP 體系結(jié)構(gòu)的任何層次都可以實現(xiàn)認(rèn)證和加密，但至今許多安全協(xié)議都是在 IP 層之上實現(xiàn)的，如 PGP（ Pretty Good Privacy）加密和認(rèn)證郵件信息，SSH（ Security Share）認(rèn)證遠(yuǎn)程登錄并且對會話過程進行加密以及 SSL（ Security Socket Layer）在 Socket 層實現(xiàn)安全功能等等。另外還有一些安 11 全技術(shù)工作在 IP 層以下，如通信鏈路層加密和在物理層對網(wǎng)絡(luò)中傳送的所有數(shù)據(jù)由指定硬件 加密。然而，在 IP 層實現(xiàn)數(shù)據(jù)通信安全具有更多優(yōu)點。 IPSec 就是在 IP 層實現(xiàn)數(shù) 據(jù)通信安全服務(wù)的一種較新技術(shù)。高層的安全技術(shù)僅僅保護某一類或某一種高層應(yīng)用，如 PGP 保護郵件服務(wù)；底層的安全技術(shù)則不加區(qū)分地保護傳輸媒介中的所有信息，如傳輸媒介兩端的加密盒，它對許多有固定格式的控制信息，如路由報文、應(yīng)答確認(rèn)報文也一律加密。而 IPSec 僅保護 IP 層之上的任何高層協(xié)議中的用戶數(shù)據(jù)，它對 IP 層及 IP 層以下的控制報文不加保護，即保護了需要保護的私有信息，如圖 31 所示。此外， IPSec 還能夠在不可信的網(wǎng)絡(luò)上創(chuàng)建安全隧道 ，通過隧道連接構(gòu)成虛擬專用網(wǎng)。 OSI參考模型 用戶加密 實施加密策略于網(wǎng)絡(luò)層 線路加密 表示層 會話層 運輸層 網(wǎng)絡(luò)層 物理層 圖 31 IPSec 在網(wǎng)絡(luò)層實現(xiàn) 加密 使用 IPSec 在 IP 層提供安全服務(wù)使得系統(tǒng)可以靈活選擇所需要的安全協(xié)議，確定該服務(wù)所用的算法，并提供安全服務(wù)所需的密鑰管理。 IPSec 結(jié)構(gòu)體系 IPSec 的結(jié)構(gòu)文檔（或基本架構(gòu)文檔） RFC 2401，定義了 IPSec 的基本結(jié)構(gòu)，所有具體的實施方案均建立在它的基礎(chǔ)之上。它定義了 IPSec 提供的安全服務(wù)；它們?nèi)绾问褂靡约霸谀睦锸褂?；?shù)據(jù)包如何構(gòu)建及處理；如何根據(jù)需求選擇 IPSec