数事费本与点用
IPsec vpn 与 SSL vpn比较与分析
赵菁
(北京信息职业技术学院,北京100018)
安全技术
摘要:IPsecvpn与SSLvpn是应用较多的vpn技术,它们在底层协议、连接方式、安全等方面存在着一定的差异,通过比较这些差并,分新了它们各自的待点,给出了企业在选择vpn产品时的建议。
关键词:IPsecvpn;SSLvpn；比较与分析
中图分类号：TP393 1引言
文献标识码：A
虚拟专用网(VirtualPrivateNetwork)是一种通过共享的公共网络建立私有的数据通道，将各个需要接人这张虚能拟网的网络或终端通过通道连接起来，构成一个专用的，具有一定安全性和服务质量保证的网络。按照VPN技术实现的网络层次可以分为基于数据链路层的VPN，基于网络层的VPN和基于应用层的VPN。本文讨论的IPSecVPN是基于网络层的VPN，而SSLVPN是基于应用层的 VPN。基于IPSec协议的VPN技术在VPN中得到广泛应用，但是由于其存在的一些缺点，基于SSL协议的VPN出现了，本文重点比较这两
种技术的特点以及适用场合。 2IPsecvpn定义
IPSec(IPSecurity)协议族是IETF制定的一系列安全协议，它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSecVPN是利用IPSec隧道建立的网络层VPN。
IPSec不是一个单独的协议，而是一组协议，IPSec协议由认证头(AH，AuthenticationHeader)、封装安全载荷(ESP，Encapsulating SecurityPayload)因特网密钥交换协议(InternetKeyExchange， IKE)等一系列子协议构成。IPSec安全协议(AH/ESP)定义了如何
SSL-VPN HTTP SSL TCP IP
IPSecVPN APP+Data TCP IP IPSec IP
图1SSL与IPSec安全防护对比
收稿日期：2017-08-21
文章编号:1007-9416(2017)10-0183-02
通过在IP数据包中增加扩展头和字段来保证IP包的机密性、完整性和可认证性，IPSec密钥交换协议IKE定义了通信实体间进行身份认证、创建安全关联、协商加密算法以及生成共享会话密钥的方法。 3SSLVPN定义
安全套接层(Secure socket Layer，SSL)协议是由Netscape公司开发的一套Internet数据安全协议，目前已广泛应用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议要求建立在传输层协议之上。SSL的优势在于它是与应用层协议独立无关的。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。
4IPSECVPN与SSLVPN的比较
4.1安全防护
SSL与IPSec安全协议一样，提供加密和身份验证。但是，SSL协议只对通信双方传输的应用数据进行加密，而不是对从一个主机到另一主机的所有数据进行加密，它们防护的差异如图1所示。
4.2加密算法
4.2.1IPSecVpn中的加密算法
ESP能够对IP报文内容进行加密保护，防止报文内容在传输过程中被豌探。加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。
一般来说IPSec使用加密算法有以下几种：DES(DataEncryp tionStandard)，使用56bit的密钥对一个64bit的明文块进行加密； 3DES(Triple DataEncryption Standard)，使用三个56bit的DES 密钥(共168bit密钥)对明文进行加密；AES(AdvancedEncryption Standard),使用AES密钥对明文进行加密。密钥的长度分为128bit 192bit,256bit.
4.2.2SSLVpn中助加密算法
SSLV2协议和SSLV3协议支持的加密算法包括RC4,RC2、 IDEA和DES，而加密算法所用的密钥由消息散列函数MD5产生。
4.3身份验证
作者简介：赵菁(1975一),女,汉族,北京人,本科,草业于北京科技大学,就职于北京信息职业技术学院,研究方向：信息安全技术。
183
万方数据