软件VPN的安全性VIP免费

第1页共9页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页共9页软件VPN的安全性本文主要论述基于业界公认的IPSec加密安全通讯协议之上开发的软件VPN的安全性，其它基于非加密通讯协议（如：L2TP、PPTP等）或一些企业自定义通讯协议（如：VNN、金万维天联VPN）的软件VPN等不在本文的讨论范围内。IPSec安全机制Internet网络无处不在，是一个非常理想的数据传输广域网络，但是传统的Internet网上的应用数据传输都是采用明文直接传输的，易于被恶意地监听和窃取，因此一直以来大家在使用Internet传输敏感信息时，都在当心其信息数据的安全性。在使用TCP/IP协议的Internet体系结构中，IP层是一个附加安全措施的很好场所，因为IP层处于整个协议体系的中间点，它既能捕获所有从高层来的报文，也能捕获所有从低层来的报文。从IP层的定义来看，在这一层附加安全措施是与低层协议无关的，可对高层协议和应用进程透明。许多Internet网络应用可以从IP层提供的安全服务中得益。正是基于这一考虑，Internet标准协议制定组织IETF已制定了一系列安全协议标准IPSec和IKMP密钥管理协议，用来提供IP层安全服务。目前已有多种产品支持IPSece安全协议。IPSec和一些密钥管理协议为组建安全的VPN提供了一条很好的途径。IPSec是一个能在Internet上保证通道安全的开放标准，IPSec生成一个标准平台，来开发安全网络和机器之间的安全数据隧道。通过IPsec的安全隧道，在数据包可以传送的网络中生成像电路那样的专用连接。利用IPsec来确保数据网络的安全，通过使用数字证书和自动认证设备，来相互验证发送信息双方的用户身份。对需要在很多设备之间安全连接的大型网络中确保数据安全，IPsec是一个理想的安全VPN解决方案。第2页共9页第1页共9页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第2页共9页部署了IPsec的用户能确保其网络基础设施的安全，而不会影响各台计算机上的应用程序。此套协议是用作对网络基础设施的纯软件升级，这既允许实现安全性，又没有花什么钱对每台计算机进行改造。最重要的是，IPsec允许不同的网络设备、PC机和其他计算机系统之间实现互通。IPsec有两种模式——传输模式和隧道模式。传输模式只对IP分组应用IPsec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPsec虚拟专用网VPN中。隧道模式中IPsec将原有的IP分组封装成带有新的IP报头的IPsec分组，这样原有的IP分组就被有效地隐藏起来了。IPsec协议中有两点是我们所关心的：鉴定报头AH（AuthenticationHeader）和封装安全载荷ESP（EncapsulationSecurityPayload）。鉴定报头AH可与很多各不相同的安全认证算法一起工作。它要校验源地址和目的地址这些标明发送设备的字段是否在路由过程中被改变过，如果校验没通过，分组就会被抛弃。通过这种方式AH就为数据的完整性和原始性提供了鉴定，对IP报文提供鉴别信息和强大的完整性保护。如果鉴别算法以及密钥采用非对称密码体制如RSA，则还可提供无法否认的数字签名。AH通过对IP报文增加鉴别信息来提供完整性保护，此鉴别信息是通过计算整个IP报文，包括IP报头、其他报头和用户数据中的所有信息而得到的，AH鉴别信息通常总是出现在IP报头之后。封装安全载荷（ESP）包头提供数据载荷的完整性和IP数据的可靠性。数据载荷的完整性保证了用户数据没有被恶意网客破坏，可靠性保证使用密码技术的安全。对IPv4和IPv6，ESP包头都列在其它IP包头后面。ESP编码只有在不被任何IP包头扰乱的情况下才能正确发送包。ESP协议非常灵活，可以在多种加密算法下工作，可选择算法包括Triple－DES、AES、RC5、IDEA、CAST、BLOWFISH和RC4。ESP是通过对数据进行加密来提供数据的私密性和完整性保护的，从而避免数据在传输过程中的泄密和非法篡改。根据用户的安全需求，ESP机制可用于只对用户数据加密或对整个IP报文进行加密。IP层的安全机制需要密钥管理协议。有几种密钥管理系统可用于IPSec的安全机制AH和ESP中，包括人工密钥分配、自动密钥分配。IETF已经开发出第3页共9页第2页共9页编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第3页共9页Interne...