ImageVerifierCode 换一换
格式:DOC , 页数:4 ,大小:80.11KB ,
资源ID:7201869      下载积分:10 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.docduoduo.com/d-7201869.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(认识IPsecVPN.doc)为本站会员(wspkg9802)主动上传,道客多多仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知道客多多(发送邮件至docduoduo@163.com或直接QQ联系客服),我们立即给予删除!

认识IPsecVPN.doc

1、IPsec VPN 基础:认识 IPsec VPN1.IPSEC 提供了下列服务:数据的机密性-这是通过加密来防止数据遭受窃听攻击。数据的完整性和验证-通过 HMAC 功能来验证数据包没有被损坏,并通过一个有效地对等体收到。抗回放检测-这是通过在数据包中包括加密的序列号确保来自中间人攻击设备的抗回放攻击不能发生。对等体验证-这是为了在两个对等体之间传递之前。对方就是“他说它是“的设备。设备验证支持对称欲共享密钥、非对称欲共享密钥、以及数字证书。远程访问连接也支持使用 XAUTH 的用户认证。2.IPSEC VPN 的基本过程:ISAKMP/IKE 阶段 11一个 VPN 网关对等体发起了到另外

2、一个远端的 VPN 网关对等体的会话。2ISAKMP/IKE 阶段 1 开始,两个对等体协商如何保护管理连接。3DH 用于在管理连接上对加密算法和 HMAC 功能安全地共享密钥。4在安全的管理连接上执行设备认证。ISAKMP/IKE 阶段 25对等体协商参数和密钥消息来保护数据连接(通过安全的管理连接来实现的,或者可选性的再次使用 DH)6建立数据连接,VPN 网关现在可以通过数据连接保护用户的流量。阶段 2 结束。3.远程访问 IPSEC VPN 的基本过程ISAKMP/IKE 阶段 11远程访问客户发起到远程 VPN 网关的连接。2当用户和 VPN 网关协商如何保护管理连接时,IKE 阶段

3、 1 开始。3DH 用于在管理连接上对加密算法和 HMAC 功能安全的共享密钥。4在安全的管理连接上实行设备认证。ISAKMP/IKE 阶段 1.55可选的,执行用户认证。这是通过 XAUTH 标准实现的。VPN 网关要求用户输入用户名和口令。6可选的,IPSEC 网关会把策略推送到客户方,厂商在实施的时候可能存在私有性,例如,一个非 cisco 客户可能不理解被一个 cisco VPN 网关推送的策略。在 cisco 实施中,客户可以推送一个内部的 IP 地址,一个域名、DNS 和 WINS 服务器的地址、隧道分离的策略、防火墙的策略和其他的连接策略。7可选的,可以发生反向路由注入。这就是为

4、什么客户可以可选的通过 IPSEC 的管理连接向 VPN 的网关注入路由选择信息,而 VPN 网关可以将这个路由选择信息注入到内部的的网络。ISAKMP/IKE 阶段 28阶段 2 开始:客户和 VPN 网关协商参数和密钥信息来保护数据连接。9数据连接建立,阶段 2 结束:VPN 网关现在可以通过数据连接保护用户数据了。10最终与管理和数据连接相关的生存周期将会到期,这些连接将会重新构建。4.加密算法加密算法中包括对称加密和非对称加密。对称加密的优点是加密速度快,加密后的数据少,缺点是密钥交换不安全。主要有DES、3DES、AES 等非对称加密的优点是密钥交换安全。既能用于既能用于加密,也能用

5、于认证。缺点是加密缓慢,加密后数据较长。主要有 RSA 等。5.数据包认证(HMAC 功能+DH 算出的密钥)VPN 主要启用散列消息验证码(HMAC)功能来实现数据包的认证和设备的认证(对数据包的完整性认证和源认证)。通常散列函数有一个缺点:如果一个窃听者可以截获被发送的数据,他可以很容易的产生关于这个数据的签名。HMAC 通过一个共享密钥来产生数字签名从而克服了这个问题。只有知道密钥的另一方才能建立并检验发送的数据的签名。这里只能确定数据是完整的,没有确定源或目的就是想要建立连接的那位,因为虽然他们的密钥是相同的,但是这个密钥是通过 DH 方法交换来的,DH 也不能确定对方是其应该交换密钥

6、的一方。也就是说这里的源或者目的可能是攻击者。HMAC 的基本及制图如下:HMAC 的另一个问题就是当你的数据在两个设备之间发送的时候,你的签名可能被一个中间设备破坏。例如一个地址转换设备。或者需要更改 QOS 信息。解决方法就是:在使用HMAC 功能计算数字签名的时候不要包括数据包中某些字段。这些字段包括 IP 数据包中下述字段:IP 地址字段、存活时间字段、服务类型、TCP 或者 UDP 端口号字段和可能的其他字段。6.密钥交换(DH 算法)DH 算法可以分为 1、2、3、4、5、7、14、15 等类型。Cisco 路由器只是支持 1、2、5三种。DH 算法可以是直线算法或椭圆曲线两种。D

7、H 算法能够动态的、安全地、带内的方式来周期性的刷新密钥。将实际管理它们的时间缩小到一个很少的时间。DH 算法为数据加密和数据完整性认证(HMAC)提供密钥DH 密钥交换过程是在一个不安全的网络上进行的,公钥不能确定发送到了想要发送的对等体上。也就是说存在中间人攻击。所以还需要进行对等体的认证也就是设备认证。7.设备认证和用户认证(这部分进行了源认证)设备认证通常使用下面三种方法:欲共享对称密钥(HMAC 功能+配置的欲共享密钥)欲共享非对称密钥数字证书远程访问 VPN 增加了一个额外的特性:将用户放入到组的能力,这个时候的欲共享密钥就是组欲共享密钥,对组进行认证,同一组的用户认证 VPN 网关使用相同的欲共享密钥,VPN 网关使用与共享密钥认证一个组。但是如果 VPN 网关要认证一个用户,则要进行用户认证,也就是用户需要提供一个用户名和密码。这是在 VPN1.5 阶段 XAUTH 中进行的。

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报