安全协议
TCP/IP安全协议体系概述
TCP/IP网络安全协议按层次归类如下:
网络接口层安全协议
主要用于链路层连接的认证与保密,已有的安全协议如下:隧道协议PPTP、L2F、L2TP;口令认证协议(PAP);挑战响应认证协议(CHAP);Shiva口令认证协议(SPAP);扩展认证协议(EAP);微软的挑战/响应握手认证协议(MS-CHAP);微软的点对点加密协议(MS-MPPE)。
网络层安全协议
网络层是实现全面安全的最低层次,网络层安全协议可以提供ISO安全体系结构中所定义的所有安全服务。IETF的IPSec WG的IP安全协议(IPSec)包括:认证头(AH)、封装安全有效负载(ESP)、Internet密钥交换协议(IKE)、IETF的IPSec WG的Internet密钥管理协议(IKMP)。
传输层安全协议
安全SHELL(SSH),包括SSH传输层协议、SSH认证协议;安全套接字层(SSL),包括SSL记录协议、SSL握手协议;SOCKSv5。
应用层安全协议
包括安全增强的应用协议(已经正式存在的或安全的新协议)和认证与密钥分发系统。
安全增强的应用协议,包括远程终端访问(STel)、安全RPC认证(SRA)、NATAS。
电子邮件(SMTP),包括保密增强邮件(PEM)、安全MIME(S/MIME)、MIME对象安全服务(MOSS)、消息安全协议(MSP)。
WWW事务(HTTP),包括使用SSL/TLS、安全HTTPs(S-HTTP)。
域名系统(DNS),包括安全DNS(Secure DNS)、RFC2065域名系统安全扩展。
文件传输(FTP),有RFC2228 FTP安全扩展。
其他领域,有简单网络管理协议(SNMPv2、SNMPv3)、机密文件系统(CFS)、Andrew文件系统(AFS)等。
电子支付方案
电子货币(Electronic Cash):Ecash(Digicash)、CAFE(European R&D Project)、NetCash(ISI/USC)、Mondex(UK)、CyberCash。
电子支票(Electronic Checks):PayNow(CyberCash)、NteCheque(ISI/USC)。
信用卡支付(Credit Card Payment):iKP(i-Key-Protocol)、安全电子支付协议(SEPP)、安全交易技术(STT)、安全电子交易(SET)。
微支付(Micropayments):Millicent、Pay Word and MicroMint、CyberCoin、NetBill。
分布式安全记账系统:Blockchain,Bitcoin
认证和密钥分配系统
包括Kerberos协议,远程认证拨入用户服务(RADIUS)等。
其它安全协议
S/KEY、加密控制协议(ECP)、TACACS/TACACS+、FWZ密钥管理协议、X.509数字证书、证书登记协议(CeP)、在线证书状态协议(OCSP)、内容引向协议(UFP)、URL过滤协议、可疑行为监控协议(SAMP)等。
VPN与隧道技术
VPN(Virtual Private Network,虚拟专用网)指利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。VPN是对在公共通信基础设施上构建的“虚拟专用或私有网”连接技术的总称。VPN与真实网络的差别在于VPN以隔离方式通过公用网,VPN外的节点不能与VPN内的节点通信。
IP VPN可分为Client-LAN和LAN-LAN两种类型。Client-LAN类型的 VPN(L2TP)也称为Access VPN,即远程访问方式的VPN。它提供了一种安全的远程访问手段,例如,出差在外的员工,有远程办公需要的分支机构,都可以利用这种类型的VPN,实现对企业内部网络资源进行安全的远程访问。为了在不同局域网之间建立安全的数据传输通道,例如在企业内部各分支机构之间或者企业与其合作者之间的网络进行互联,可以采用LAN-LAN类型的 VPN(IPSec)。
隧道技术
隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使该新的报文能够在互联网络中被传递,被封装的数据包一旦到达网络终点,数据将被解包并转发到最终目的地。
被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。隧道技术是指包括数据封装,传输和解包在内的全过程。隧道所使用的传输网络可是任何类型的公共互联网络。目前普遍使用的是基于Internet(IP网络)隧道技术。
隧道技术主要有以下两类:(1)2层的隧道协议。2层隧道协议对应OSI模型的数据链路层,以帧为数据交换单位。PPTP,L2TP和L2F(第2层转发)都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。(3)3层的隧道协议。3层隧道协议对应OSI模型的网络层,以包为数据交换单位。IP over IP以及IPSec隧道模式都属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。不同隧道协议的本质区别在于用户的数据包是被封装在哪种数据包中在隧道中传输的。
无论哪种隧道协议都是由传输的载体、不同的封装格式、被传输数据包三部分组成的。
传输协议:IP是一种常见的传输协议;帧中继、ATM 也是很好的传输协议。
封装协议:被用来建立、保持和拆卸隧道。包括L2F、L2TP、GRE 协议。
乘客协议:是被封装的协议,可以是PPP、SLIP、IPX、IP等。
PPTP协议
基于PPP的传统网络接入服务器NAS管理对所有网络设备/资源的访问,有以下几个功能:提供到PSTN或ISDN的物理接口,控制外部调制解调器和终端适配器。提供点对点协议(PPP)链路控制协议(LCP)会话的逻辑终止;参与到PPP认证协议中;执行各种PPP网络控制协议(NPC)的逻辑终止;为PPP多链路协议提供信道聚集和捆绑管理;执行NAS接口之间的多协议路由和桥接。
PPP主要通过拨号或专线方式建立点对点连接发送数据,若用户与NAS相距遥远,需要远程拨号或远程专线,这将使系统的使用效率低,成本高。能否借助Internet这种便利资源来建立与远程主机的连接?这就是PPTP的出发点。
NAS的任务