2006电子商务理解IPsec验证和认证选项

文章作者 100test 发表时间 2007:01:15 16:46:03
来源 100Test.Com百考试题网


IPsec VPNs通过将个人的主机与整个网络连接起来扩大网络的安全周长。一个安全的VPN从认证这些传输隧道终端的身份开始,但是薄弱的验证选项会引起互用性问题或网络妥协问题。本文将探究普通IPsec VPN身份验证和认证选项、他们的安全性以及配置涵义问题。

  标准IPsec VPN特性

  IPsec VPN传输隧道能够被静态配置(“钉住”)或建立Internet Key Exchange (IKE)标准中定义的动态使用信息。IKE使两个VPN网关(或两个VPN主机,或一个网关和一个主机)彼此验证,商议安全参数,进而生成数据加密、保证数据完整性的密匙。

  验证最主要是为了避免与未经过验证的用户建立传输隧道连接。在一个点对点的VPN中,验证使我们及时发现伪装为VPN网关的攻击者。在远程访问VPN中,验证使我们及时禁止伪装为合法用户的入侵者访问。为了通过认证,IKE 待接入的终端设备使用标准验证类型进行认证:一IPv4 或 IPv6地址,一主机名(完全合格域名(FQDN)),一电子邮件地址(User FQDN)或一X.500识别名(Distinguished Name (DN))。IKE待接入的终端设备能使用不同的ID类型.例如,[email protected] (User FQDN)能与vpn.mycorp.com (FQDN)建立传输隧道。

  为了防止ID欺骗,我们主张使用IKE标准认证方法:一个预共享密钥(Pre-Shared Key ,PSK),一RSA 或 DSS数字签名,或一个加密的公匙。要使用预共享密钥,需要在两端待接入的终端设备彼此验证前,赋予他们相同的秘密值。要使用数字签名,用户端必须持有认证中心(Certificate Authority ,CA)发放的认证证书。要使用加密的公匙,每个用户必须生成一对他们自己的RSA密匙,之后将公匙配置到每一个将要通信IKE待接入的终端设备中。IKE 待接入的终端设备必须使用相同的认证方法:例如,[email protected]和vpn.mycorp.com可能都使用共享的PSK“芝麻开门(opensesame)”。或者他们可能都使用RSA签名,每个都生成发送人自己的证书。

  因为这些信息要通过可能发生偷听的不可信任的网络,IKE使用加密方法来保护信息。例如IKE PSK从不传输.待接入的终端设备仅仅传输双方都知道相同的PSK的加密过的杂乱信号。但是这不适用于IKE ID。IKE以两种模式操作:5-信息主模式(5-message Main Mode),该模式阻止ID欺骗(ID sniffing).或3-信息挑战模式(3-message Aggressive Mode),该模式能用普通文字发送发送者的ID。两种模式都支持所有的IKE标准ID类型和认证方法,除了,如果主模式与PSK一起使用,ID必须是一个IP地址。这使主模式/PSK不能远程登陆VPN,因为移动用户很少连接静态IP地址。

 


相关文章


06年数字化驱动个性化防伪技术高速发展
企业间电子商务的交易过程
2006电子商务理解IPsec验证和认证选项
解析PKI体系在网络支付中的应用
网上中介型企业间电子商务的功能
2006年之电子支付产业急需破解四大难题
澳大利亚华人论坛
考好网
日本华人论坛
华人移民留学论坛
英国华人论坛