论坛: 系统集成 标题: VPN的认证算法 复制本贴地址    
作者: cc [sarah_lxh]    论坛用户   登录
VPN的认证算法

随着Internet的不断发展,由于其方便快捷,很多大公司和政府部门或民间组织都采用它来传输数据。这些单位的各个部门往往都是跨地区的,相隔很远,如果全部用自己的专线,其价格非常昂贵,利用Internet这样的公共网络来传输私有数据就可以节省大量费用,但这样的后果就是非常不安全的,在Internet上,数据随时可能会被不怀好意的网络入侵者窃取或修改,因此,数据在传输过程中必须被加密,接收方和发送方通过一个虚拟的安全隧道来传输信息,这就是虚拟专用网技术。如果是在TCP或UDP层加密,那么通过截取IP层的数据同样可以获得机密信息,在IP层使用加密和认证就非常安全了,这就是IPsec(IP安全体系结构)技术。目前利用IPsec来实现VPN(虚拟专用网)成为一种发展趋势。本文主要介绍VPN的认证算法。
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
  1.隧道技术:
   隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
  第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
  2.加解密技术:
   加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
  3.密钥管理技术:
   密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
  4.使用者与设备身份认证技术:
   使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
其中使用者与设备身份认证技术是对于VPN的安全是必不可少的安全技术,因为在网络中传输的用户名称及密码或等认证信息很容易被非法用户所截获并解密,因此必须采用安全的认证算法对其进行加密,这样即使信息被非法用户所截获,也不能获得有效的认证信息,从而达到保证VPN数据安全传输的目的。
下面介绍两种常用的认证算法:
1.MD5即Message-Digest Algorithm 5(信息-摘要算法 5),是在计算机语言 当中普遍使用的一种杂凑程序,由于它类似于函数,我们称为算法。此杂凑函數是由MD2、MD3 和MD4完善而来。由于根据此算法得到的码有128位那么长,所以任意信息之间具有相同MD5码的可能性非常之低,通常被认为是不可能的。 一般认为MD5码可以唯一地代表原信息的特征,通常用于密码的加密存储,数字签名,文件完整性验证等。
2.SHA (Secure Hash Algorithm,译作安全杂凑算法) 家族是美国国家安全局 (NSA) 设计,美国国家标准与技术研究院 (NIST) 发布的一系列密码杂凑函数。正式名称为 SHA 的家族第一个成员发布于 1993年。然而今日的人们给它取了一个非正式的名称 SHA-0 以避免与它的后继者搞混。两年之后, SHA-1,第一个 SHA 的后继者发布了。

中怡数宽的SAFEcon系列VPN防火墙就是采用先进的SHA-1和MD5认证算法来保证VPN连接的安全性,采用上述两种算法能最大限度的保证数据传输的完整性及安全性。


地主 发表时间: 06-05-23 11:29

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号