|
当前位置: Home > VPN > 文章
|
|
|
远程接入VPN用户解决方案
|
|
文章来源: 《通信世界》
文章作者: 李建福 唐建伟
发布时间: 2006-07-25
字体:
[大
中
小]
|
|
|
二、用户远程接入VPN技术方案选择
针对移动办公用户通过internet接入企业内部网,建议采用L2TP+IPsec+RSAOTP技术组合,实现VPN的安全可靠接入。下面对上述三种所涉及的技术做简要介绍。
1.L2TP技术
PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。
L2TP(Layer2TunnelingProtocol )协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。L2TP包括以下几个特性。
(1)安全的身份验证机制:与PPP类似,L2TP可以对隧道端点进行验证。不同的是PPP可以选择采用PAP方式以明文传输用户名及密码,而L2TP规定必须使用类似PPPCHAP的验证方式。
(2)内部地址分配支持:LNS放置于企业网的防火墙之后,可以对远端用户的地址进行动态分配和管理,还可以支持DHCP和私有地址应用(RFC1918)。远端用户所分配的地址不是Internet地址而是企业内部的私有地址,方便了地址管理并可以增加安全性。
(3)统一的网络管理:L2TP协议已成为标准的RFC协议,有关L2TP的标准MIB也已制定,这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。
2.IPSec技术
IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在Internet网上传输时的私有性、完整性和真实性。IPSec通过AH(AuthenticationHeader)和ESP (Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户、主机或其它Internet组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。
IPSec提供以下几种网络安全服务:
私有性:IPSec在传输数据包之前将其加密,以保证数据的私有性;
完整性:IPSec在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;
真实性:IPSec端要验证所有受IPSec保护的数据包;
防重放:IPSec防止了数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。
3.RSAOTP技术
RSAOTP是建立在“双因素认证”基础上。该方法的前提是一个单一的记忆因素,如口令,但口令本身只能对真实性进行低级认证,因为任何听到或盗窃口令的人都会显得完全真实,因此需要增加第二个物理认证因素以使认证的确定性按指数递增。
借助强大的用户认证系统,RSA信息安全解决方案可以向授权的员工发放单独登记的设备,以生成个人使用令牌码,这一代码可以根据时间而变化。每60秒就会生成一个不同的令牌码,保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的,别人无法通过记录以前的令牌代码来预测将来的代码,就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。
每一个令牌密码变换是基于时间和预置的种子的函数。保证令牌卡与认证服务器的时间同步是保证系统可靠运行的基础。
(1)与UCT时间同步
全球同步时间(UCT)用来同步所有RSA信息安全公司产品之间的时间。在发售时,每个RSASecurID令牌都设定为UCT(与格林威治标准时间相同);在安装过程中,RSAACE/Server系统时钟同样设定为UCT。实质上,全世界各地的所有RSA信息安全公司都被精确设定为相同的时钟,从而不需处理时区差或进行夏令时调整。
共3页: 上一页 [1] 2 [3] 下一页
|
|
|
↑返回顶部
打印本页
关闭窗口↓
|
|
|
|
