收藏
下载资源

网络安全传输通道技术的研究

上传人:枫** 文档编号:473956391 上传时间:2022-07-22 格式:DOC 页数:8 大小:151.50KB
返回 下载 相关 举报
网络安全传输通道技术的研究_第1页
第1页 / 共8页
网络安全传输通道技术的研究_第2页
第2页 / 共8页
网络安全传输通道技术的研究_第3页
第3页 / 共8页
网络安全传输通道技术的研究_第4页
第4页 / 共8页
网络安全传输通道技术的研究_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《网络安全传输通道技术的研究》由会员分享,可在线阅读,更多相关《网络安全传输通道技术的研究(8页珍藏版)》请在金锄头文库上搜索。

1、1 概述 随着因特网的高速发展,网络上开发的应用越来越多,一些关键业务也开始通过因特网提供。而 Internet 的一大特性是他的开放性,正是这种开放性给因特网上服务的安全构成了严重威胁。为了保证它健康有序的发展,必须在网络安全上提供强有力的保证。 所谓网络安全传输通道,就是利用安全通道技术 (Secure Tunneling Technology) ,通过将待传输的原始信息进行加密和协议封装处理后再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传输。经过这样的处理,只有源端和目的 端的用户对通道中的嵌套信息能够进行解释和处理,而对于其他用户而言只是无意义的信息。网络安全传输通道应

2、该提供以下功能和特性: 1. 机密性:通过对信息加密保证只有预期的接收者才能读出数据。 2. 完整性:保护信息在传输过程中免遭未经授权的修改,从而保证接收到的信息与发送的信息完全相同。 3. 对数据源的身份验证:通过保证每个计算机的真实身份来检查信息的来源以及完整性。 4. 反重发攻击:通过保证每个数据包的唯一性来确保攻击者捕获的数据包不能重发或重用。 在因特网上普遍采用的是 TCP/IP 协议, TCP/IP 协议的体系结构相对于 OSI/ISO 体系结构的 7 层模型是比较简单而实用的,其模型如下: 应用层 传输层 网络层 主机到网络层 此体系结构中,最下面的主机到网络层实际上包括了 OS

3、I 模型中的 2 层:数据链路层和物理层。本文将从 TCP/IP 的各个层次介绍相关的安全传输通道技术。 2 在数据链路层实现安全传输通道的技术 1 数据链路层技术涉及到软件和硬件两个方面,硬件方面不在本文中讨论。当前能在此层提供安全通道技术的安全协议主要有: PPTP 和 L2TP 。它们主要是为了组建远程访问 VPN 而提出的。 PPTP 是第 2 层协议,它将 PPP 帧封装在 IP 数据报里以在 IP 网络中传输。它是微软开发的一个较旧的协议。相反, L2TP 是基于 Cisco 的“第 2 层转发( L2F )”协议和微软的 PPTP 协议的较新协议。它可以封装在 IP 、 X.25

4、 、帧中继、异步传输模式等上发送的 PPP 帧。虽然 L2TP 比 PPTP 更灵活,但它比 PPTP 需要更多的 CPU 能力。 L2TP 和 PPTP 的主要技术性区别如下: 1. PPTP 要求传输网络基于 IP ,而 L2TP 只要求传输网络提供点对点连通性; 2. PPTP 只支持 VPN 客户机和 VPN 服务器之间的一个隧道, L2TP 允许在终点间使用多个隧道。使用 L2TP 可以为不同服务质量而创建不同的隧道或满足不同安全要求; 3. L2TP 提供信息头压缩,当启用信息头压缩时, L2TP 以 4 字节开销运行相当于 PPTP 以 6 字节运行。 2.1 PPTP 的封装

5、原始 IP 数据报在 PPTP 客户机和 PPTP 服务器之间传输时, PPTP 封装它。图 1 显示了 PPTP 信息包的封装格式: 图 1 PPTP 的封装格式 在上图中,原始数据报首先封装在 PPP 帧里。使用 PPP 可压缩和加密该部分数据。然后将 PPP 帧封装在 GRE ( Generic Routing Encapsulation )帧里,该帧是 PPTP 客户机和 PPTP 服务器之间发送的新 IP 数据报的有效负载。该新数据报的源和目标 IP 地址将和 PPTP 客户机及 PPTP 服务器的 IP 地址相对应。执行中该数据报将进一步封装在数据链路层帧里并且有正确的信息头和信息

6、尾。 2.2 L2TP 的封装 和 PPTP 相似,当经过传输网络传送时, L2TP 封装原始 IP 数据报。由于在 L2TP 中,是靠 IPSec 提供加密功能,所以 L2TP 封装分两个阶段完成:初始 L2TP 封装和 IPSec 封装。 阶段 1 :初始 L2TP 封装 阶段 2 : IPSec 封装 图 2 L2TP 的两阶段封装 如图 2 所示, L2TP 首先将原始数据报封装在 PPP 帧里(和 PPTP 一样);然后将 PPP 帧插入到有 UDP 信息头和 L2TP 信息头的新 IP 数据报。然后结果数据报再应用 IPSec 加密。在这里,应用了 IPSec 标准中的封装安全载荷

7、( ESP )协议的信息头和信息尾以及 IPSec 验证信息尾,这样就保证了信息的完整性和机密性以及信息源的身份验证。最外层 IP 报头所包含的源和目标 IP 地址与 VPN 客户机和 VPN 服务器相对应。 3 在网络层实现安全传输通道的技术 2 当前,在网络层实现安全已经成为一大研究热点,并且 Internet 工程任务组( IETF )于 1998 年公布了因特网安全体系结构 IPSec 规范,这更加速了这方面的研究和实施。 3.1 IPSec 简介 它是由 IETF 的 IPSec 工作组提出的将安全机制引入 TCP/IP 网络的一系列标准,包括安全协议(验证头 AH 和封装安全净荷

8、ESP )、安全联盟、密钥管理和安全算法等 ,它定义了 IP 数据包格式和相关基础结构,以便为网络通信提供端对端、加强的身份验证、完整性、反重播和保密性等。使用 IETF 定义的 Internet 密钥交换 (IKE) ,还提供按需要的安全协商和自动密钥管理服务。 IPSec 可保障主机之间、安全网关之间(如路由器或防火墙)或主机与安全网关之间的数据报的安全。它可以实现各种方式的 VPN : ExtraNet VPN 、 IntraNet VPN 和远程访问 VPN 。 3.2 安全协议 包括验证头( AH )和封装安全载荷( ESP )。他们既可用来保护一个完整的 IP 载荷,亦可用来保护某

9、个 IP 载荷的上层协议。这两方面的保护分别是由 IPSec 两种不同的实现模式来提供的,如图 3 所示:传送模式用来保护上层协议;而隧道模式用来保护整个 IP 数据包。在传送模式中, IP 头与上层协议之间需插入一个特殊的 IPSec 头;而在通道模式中,要保护的整个 IP 包都需封装到另一个 IP 数据报里,同时在外部与内部 IP 头之间插入一个 IPSec 头。两种安全协议均能以传送模式或隧道模式工作。 封装安全载荷( Encapsulating Security Payload ,简称 ESP ):属于 IPSec 的一种安全协议,它可确保 IP 数据报的机密性、数据的完整性以及对数据

10、源的身份验证。此外,它也能负责对重放攻击的抵抗。具体做法是在 IP 头(以及任何选项)之后,并在要保护的数据之前,插入一个新头,亦即 ESP 头。受保护的数据可以是一个上层协议,或者是整个 IP 数据报。最后,还要在后面追加一个 ESP 尾,格式如图 4 所示。 ESP 是一种新的协议,对它的标识是通过 IP 头的协议字段来进行的。假如它的值为 50 ,就表明这是一个 ESP 包,而且紧接在 IP 头后面的是一个 ESP 头。 3 IP 头 ESP 头 要保护的数据 ESP 尾 图 4 一个受 ESP 保护的 IP 包 验证头( Authentication Header ,简称 AH ):与

11、 ESP 类似, AH 也提供了数据完整性、数据源验证以及抗重放攻击的能力。但要注意它不能用来保证数据的机密性。正是由于这个原因, AH 比 ESP 简单得多, AH 只有头,而没有尾,格式如图 5 所示。 4 IP 头 AH 头 要保护的数据 图 5 一个受 AH 保护的 IP 包 3.3 安全联盟( Security Association ,简称 SA )的概念 为了正确封装及提取 IPSec 数据报,有必要采取一套专门的方案,将安全服务 / 密钥与要保护的通信数据联系到一起;同时要将远程通信实体与要交换密钥的 IPSec 数据传输联系到一起。换言之,要解决如何保护通信数据、保护什么样的

12、通信数据 以及由谁来实行保护的问题,这样的构建方案称为“安全联盟”。 3.4 Internet 密钥交换( Internet Key Exchange ,简称 IKE ) IKE 的用途就是在 IPSec 通信双方之间建立起共享的安全参数及验证过的密钥(亦即建立“安全联盟”关系)。 IKE 协议是 Oaklay 和 SKEME 协议的一种混合,并在由 ISAKMP 规定的框架内运作。 ISAKMP 是“ Internet 安全联盟和密钥管理协议”的简称,它定义了包格式、重发计数器以及消息构建要求,事实上,它定义了整套加密通信语言。 IKE 采用了“安全联盟 SA ”的概念, IKE SA 定义

13、了双方的通信形式。举例来说,用哪种算法来加密 IKE 通信;怎样对远程通信方的身份进行验证;等等。随后,便可用 IKE SA 在通信双方之间提供任何数量的 IPSec SA 。 5 运用 IPSec 进行安全通信的大体步骤是:建立 IKE SA ;在已经建立好的 IKE SA 上建立 IPSec SA ;在已经建立好的 IPSec SA 上,进行实际的通信;通信完毕,撤消 IPSec SA ;当此 IKE SA 上的所有 IPSec SA 都撤消以后,最后撤消 IKE SA 。 3.5 IPSec 的实现机制 IPSec 既可在主机系统上实现,亦可在某种安全网关上实现(如路由器或防火墙)。由于

14、 IPSec 的实现是与系统密切相关的,所以在主机上和在安全网关上的实现机制是不相同的,这里仅简述主机上的实现机制。 3.5.1 主机实现 6 可分为两类。 1) 与操作系统集成:由于 IPSec 是一个网络层协议,所以可作为网络层的一部分来实现,如下图 6 。它需要 IP 层的服务来构建 IP 头,实现机制与其它网络层协议(如 ICMP )相似,需要访问 IP 堆栈。 2) 堆栈中的块( Bump In The Stack, 简称 BITS ):倘若根本无法访问一台主机的 IP 堆栈,便需将 IPSec 作为 “堆栈内的块”来实现。通常以一个额外的“填充物”的形式出现,插入到网络层和数据链路

15、层之间,负责从 IP 堆栈提取数据报,处理后再将其插入,如图 7 所示。 应用层 应用层 传输层 传输层 网络层 +IPSec 网络层 数据链路层 IPSec 图 6 OS 集成实现的分层 数据链路层 图 7 BITS 实现的分层 与 OS 集成方案有许多好处,其中关键的是:由于 IPSec 与网络层紧密集成到一起,因此它更有利于诸如分段、 PMTU 和用户场景(如套接子)之类的网络服务,使实现方案更为有效。但需要访问 IP 堆栈,即开发人员能拿到 IP 堆栈的源代码。 堆栈中的块实现方案不必访问 IP 堆栈,开发人员只要掌握操作系统的链接机制,将 IPSec 组件插入网络层和数据链路层之间即可。但它最大的问题是功能的重复,要求实现网络层的大部分功能,比如分段和路由,而这些问题又是很难解决的。 3.5.2 在操作系统中实现 由于 IPSec 的实现是与操作系统密切相关,所以必须研究各操作系统提供的实现机制。 1) Windows NT/2000 系统:由于微软采用了相对比较封闭的策略,它的内核源码一般是拿不到,所以开发人员只能利用系统公布的编程接口。在内核中有两个公共的接口:网络驱动程序 接口规范 ND

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号