虚拟专用网采用哪些安全技术机制保障安全
虚拟专用网采用以下安全技术机制保障安全:
IPsec技术:支持IPv4和IPv6,可以“无缝”地为IP层引入安全特性,并为数据源提供身份验证、完整性检查及机密性保证机制。IPsec为一组协议,包括安全协议及相关安全参数的密钥管理协议部分。它为数据源提供身份验证、完整性检查及机密性保证机制。
GRE技术:即通用路由封装协议,主要用于源路由和目的路由之间所形成的隧道。GRE隧道通常是点到点的,即隧道只有一个源地址和一个目的地址。随着技术的进步,现在也有通过使用下一跳路由协议NHRP实现点到多点的GRE隧道。在VPN的技术体系中,普通主机网络的每个点都可利用其地址及路由所形成的物理连接,配置成一个或多个隧道。
加解密认证技术:为了保证数据在VPN传输过程中的安全性,不被非法用户窃取或篡改,一般都在VPN隧道的起点进行加密,在隧道终点再对其进行解密。现在的VPN大都采用单钥的DES和3DES作为加解密和主要技术,而以公钥和单钥的混合加密体制(即加解密采用单钥密码,而密钥传送采用双钥密码)来进行网络上的密钥交换和管理,不但可以提高传输速度,还具有良好的保密功能。认证技术可以防范来自第三方的主动攻击。
密钥交换技术:IKE是指IPSec定义的密钥交换技术。它沿用了ISAKMP的基础、OAKLEY的模式及SKEME的共享和密钥更新技术,从而定义出了自己独一无二的验证加密生成技术和共享策略协商技术。IKE协议依靠对称密码体制、非对称密码体制和散列函数,提供了诸多的交换模式和相关的选项。IKE定义了通信双方进行身份认证、协商加密算法及生成共享的会话密钥方法。IKE的精髓在于不在不安全网络直接传送密钥,而是通过一系列安全的数据交换,通信双方最终计算出共享密钥。
访问控制技术:VPN的基本功能是对用户实现访问控制。由VPN服务的提供者与最终网络信息资源的提供者,共同来协商确定不同用户对特定资源的访问权限,以此实现基于用户的细粒度访问控制,以实现对信息资源最大程度的保护。访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份,一般被内置于操作系统当中,而强制性访问控制则是基于被访问信息的敏感性。