随着企业规模不断扩大,分支机构不断扩展,移动办公不断增加,企业内部及企业间信息传递越来越多。如何以最低的费用保障通信的高效性和安全性,是企业极其关注的问题。流行的解决方案是利用Internet等公共网络建立VPN(虚拟专用网)。
从实现技术来看,目前的VPN都是在应用层上提供安全服务。但达到安全的代价很高:一方面要求用户有通信安全方面的专业知识;另一方面要求企业购买专用的安全平台;同时,不同安全平台间的互操作性得不到良好的保证。
IPSec是IETF(因特网工程任务组)提出的IP安全标准。它在IP层对数据包进行高强度的加密和验证,使安全服务独立于各种应用程序,较好地解决了各种IPSec实现的互操作性。因此,IPSec提供的安全服务共享程度高,利用IPSec构筑VPN代价低廉,可扩展性强。目前,国外一些研究机构和公司已对IPSec进行试验性的实现,个别公司也已做成了产品,但都与操作系统紧密捆绑。国内对IPSec的研究仍处于初期,但由于缺乏自己的主流操作系统,还没有一个真正基于IPSec的VPN产品。Internet通过TCP/IP协议将各种网络进行互联。该协议分成四层,从高至低依次为应用层、传输层、IP层和物理层(数据链路层)。传统的安全体系一般都建立在应用层上。这些安全体系虽然具有一定的可行性,但也存在着巨大的安全隐患。其原因是,IP包本身不继承任何安全特性,很容易被修改、伪造、查看和重播。IPSec在IP层上对数据包进行安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。IPSec可连续或递归应用,在路由器、防火墙、主机和通信链路上配置,实现端到端安全、虚拟专用网络(VPN)、Road Warrior 和安全隧道技术。国外对IPSec的研究起步较早,已有了一些基于IPSec的试验性VPN,但大都是在专用平台下实现,与操作系统绑定得都比较紧密,有的甚至就是一个黑盒子(如CISCO)。关于不同的IPSec实现间的互操作性,目前还没有令人满意的测试报告。此外,国外的VPN不利于我国使用自己的密码。国内对IPSec的研究还处于初期,个别公司虽对IPSec 进行了实现,但都是不完整的,如密钥管理未用IKE动态协商机制,而仍用手工分配。而且,网关的性能降低严重,同类产品性能降低在30%左右。这将导致极大的安全问题,失去了IPSec在安全性方面的优势。1、项目的主要内容和目标:本项目根据IPSec标准,重点研究安全策略、高性能内核实现、高性能加密算法和高性能密钥管理机制,研制一个能提供具有较强的互操作能力、使用方便和容易进行升级的VPN网关设备(包括独立的软件、硬件实现)。2、要攻克的关键技术:
·IPSec的互操作性
·IPSec涉及的数据包分片和ICMP问题
·动态密钥交换IKE
·Linux内核改造,将IPSec无缝接入
·密码算法的优化实现
·高性能随机数生成机制
3、预期达到的目标
·网关之间采用隧道模式
·数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性
·日志和审计系统
·友好方便的用户配置
·对速率为100M/S的VPN数据进行实时处理
·非对称密码算法密钥长度为1024位
·对称密码算法密钥长度至少为128位
·经过IPSec网关处理时,性能降低<%20。
预期社会和经济效益:
IPSec在IP层上对数据包进行安全处理,提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。
公司、组织、团体等选择基于IPSec的VPN作为通信安全的解决方案,将大大降低实现通信安全所需代价。一些重要的单位,如国家机关、金融机构和军队等,也可选用基于IPSec的VPN来保障通信的安全传输。因此,基于IPSec的VPN将带来巨大的经济和社会效益。
注册日期: 2001-12-13 14:03 活动统计: 33.3333% 浏览项目活动 统计 |
|