IPsec vpn与SSL vpn是应用较多的vpn技术,它们在底层协议、连接方式、安全等方面存在着一定的差异,通过比较这些差异,分析了它们各自的特点,给出了企业在选择 vpn产品时的建议。
按照VPN技术实现的网络层次可以分为基于数据链路层的VPN、基于网络层的VPN和基于应用层的VPN。本文讨论的IPSec VPN是基于网络层的VPN,而SSL VPN是基于应用层的VPN。基于IPSec协议的VPN技术在VPN中得到广泛应用,但是由于其存在的一些缺点,基于SSL协议的VPN出现了,本文重点比较这两种技术的特点以及适用场合。
IPsec vpn定义
IPSec(IP Security)协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络层VPN。
IPSec不是一个单独的协议,而是一组协议。IPSec协议由认证头(AH,Authentication Header)、封装安全载荷(ESP)因特网密钥交换协议(IKE)等一系列子协议构成。IPSec安全协议(AH/ ESP)定义了如何通过在IP数据包中增加扩展头和字段来保证IP包的机密性、完整性和可认证性。IPSec密钥交换协议IKE定义了通信实体间进行身份认证、创建安全关联、协商加密算法以及生成共享会话密钥的方法。
SSL VPN定义
安全套接层(Secure socket Layer,SSL)协议是由Netscape公司开发的一套Internet数据安全协议,目前已广泛应用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议要求建立在传输层协议之上。SSL的优势在于它是与应用层协议独立无关的。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
IPSEC VPN与SSL VPN的比较
1 安全防护
SSL与IPSec安全协议一样,提供加密和身份验证。但是,SSL协议只对通信双方传输的应用数据进行加密,而不是对从一个主机到另一主机的所有数据进行加密,它们防护的差异如图1所示。
2 加密算法
2.1 IPSec vpn中的加密算法
ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。
