2006电子商务理解IPsec验证和认证选项

文章作者 100test 发表时间 2007:01:15 16:46:03
来源 100Test.Com百考试题网

IPsec VPNs通过将个人的主机与整个网络连接起来扩大网络的安全周长。一个安全的VPN从认证这些传输隧道终端的身份开始，但是薄弱的验证选项会引起互用性问题或网络妥协问题。本文将探究普通IPsec VPN身份验证和认证选项、他们的安全性以及配置涵义问题。

　　标准IPsec VPN特性

　　IPsec VPN传输隧道能够被静态配置(“钉住”)或建立Internet Key Exchange (IKE)标准中定义的动态使用信息。IKE使两个VPN网关(或两个VPN主机，或一个网关和一个主机)彼此验证，商议安全参数，进而生成数据加密、保证数据完整性的密匙。

　　验证最主要是为了避免与未经过验证的用户建立传输隧道连接。在一个点对点的VPN中，验证使我们及时发现伪装为VPN网关的攻击者。在远程访问VPN中，验证使我们及时禁止伪装为合法用户的入侵者访问。为了通过认证，IKE 待接入的终端设备使用标准验证类型进行认证:一IPv4 或 IPv6地址，一主机名(完全合格域名(FQDN))，一电子邮件地址(User FQDN)或一X.500识别名(Distinguished Name (DN))。IKE待接入的终端设备能使用不同的ID类型.例如，[email protected] (User FQDN)能与vpn.mycorp.com (FQDN)建立传输隧道。

　　为了防止ID欺骗，我们主张使用IKE标准认证方法:一个预共享密钥(Pre-Shared Key ，PSK)，一RSA 或 DSS数字签名，或一个加密的公匙。要使用预共享密钥，需要在两端待接入的终端设备彼此验证前，赋予他们相同的秘密值。要使用数字签名，用户端必须持有认证中心(Certificate Authority ，CA)发放的认证证书。要使用加密的公匙，每个用户必须生成一对他们自己的RSA密匙，之后将公匙配置到每一个将要通信IKE待接入的终端设备中。IKE 待接入的终端设备必须使用相同的认证方法:例如，[email protected]和vpn.mycorp.com可能都使用共享的PSK“芝麻开门(opensesame)”。或者他们可能都使用RSA签名，每个都生成发送人自己的证书。

　　因为这些信息要通过可能发生偷听的不可信任的网络，IKE使用加密方法来保护信息。例如IKE PSK从不传输.待接入的终端设备仅仅传输双方都知道相同的PSK的加密过的杂乱信号。但是这不适用于IKE ID。IKE以两种模式操作:5-信息主模式(5-message Main Mode)，该模式阻止ID欺骗(ID sniffing).或3-信息挑战模式(3-message Aggressive Mode)，该模式能用普通文字发送发送者的ID。两种模式都支持所有的IKE标准ID类型和认证方法，除了，如果主模式与PSK一起使用，ID必须是一个IP地址。这使主模式/PSK不能远程登陆VPN，因为移动用户很少连接静态IP地址。