ASP编程:VPN手艺详解(中)
ASP脚本是采用明文(plaintext)方式来编写的。详解VPN手艺详解(中)吕晓波
地道手艺基本
地道手艺是一种经由过程利用互联收集的基本举措措施在收集之间传送数据的体例。利用地道传送的数据(或负载)能够是分歧协定的数据桢(此字不准确)或包。地道协定将这些别的协定的数据桢或包从头封装在新的包头中发送。新的包头供应了路由信息,从而使封装的负载数据可以经由过程互联收集传送。
被封装的数据包在地道的两个端点之间经由过程大众互联收集举行路由。被封装的数据包在大众互联收集上传送时所经由的逻辑路径称为地道。一旦抵达收集尽头,数据将被解包并转发到终极目标地。注重地道手艺是指包含数据封装,传输息争包在内的全历程。
地道所利用的传输收集能够是任何范例的大众互联收集,本文次要以今朝广泛利用Internet为例举行申明。别的,在企业收集一样能够创立地道。地道手艺在经由一段工夫的开展和完美以后,今朝较为成熟的手艺包含:
1.IP收集上的SNA地道手艺
当体系收集布局(SystemNetworkArchitecture)的数据流畅过企业IP收集传送时,SNA数据桢将被封装在UDP和IP协定包头中。
2.IP收集上的NovellNetWareIPX地道手艺
当一个IPX数据包被发送到NetWare服务器或IPX路由器时,服务器或路由器用UDP和IP包头封装IPX数据包后经由过程IP收集发送。另外一真个IP-TO-IPX路由器在往除UDP和IP包头以后,把数据包转发到IPX目标地。
近几年不休呈现了一些新的地道手艺,本文将次要先容这些新手艺。详细包含:
1.点对点地道协定(PPTP)
PPTP协定同意对IP,IPX或NetBEUI数据流举行加密,然后封装在IP包头中经由过程企业IP收集或大众互联收集发送。
2.第2层地道协定(L2TP)
L2TP协定同意对IP,IPX或NetBEUI数据流举行加密,然后经由过程撑持点对点数据报传送的恣意收集发送,如IP,X.25,桢中继或ATM。
3.平安IP(IPSec)地道形式
IPSec地道形式同意对IP负载数据举行加密,然后封装在IP包头中经由过程企业IP收集或大众IP互联收集如Internet发送。
地道协定
为创立地道,地道的客户机和服务器两边必需利用不异的地道协定。
地道手艺能够分离以第2层或第3层地道协定为基本。上述分层依照开放体系互联(OSI)的参考模子分别。第2层地道协定对应OSI模子中的数据链路层,利用桢作为数据互换单元。PPTP,L2TP和L2F(第2层转发)都属于第2层地道协定,都是将数据封装在点对点协定(PPP)桢中经由过程互联收集发送。第3层地道协定对应OSI模子中的收集层,利用包作为数据互换单元。IPoverIP和IPSec地道形式都属于第3层地道协定,都是将IP包封装在附加的IP包头中经由过程IP收集传送。
地道手艺怎样完成
关于象PPTP和L2TP如许的第2层地道协定,创立地道的历程相似于在两边之间创建会话;地道的两个端点必需批准创立地道并协商地道各类设置变量,如地点分派,加密或紧缩等参数。尽年夜多半情形下,经由过程地道传输的数据都利用基于数据报的协定发送。地道保护协定被用来作为办理地道的机制。
第3层地道手艺一般假定一切设置成绩已经由过程手工历程完成。这些协定不合错误地道举行保护。与第3层地道协定分歧,第2层地道协定(PPTP和L2TP)必需包含对地道的创立,保护和停止。
地道一旦创建,数据就能够经由过程地道发送。地道客户端和服务器利用地道数据传输协定筹办传输数据。比方,当地道客户端向服务器端发送数据时,客户端起首给负载数据加上一个地道数据传送协定包头,然后把封装的数据经由过程互联收集发送,并由互联收集将数据路由到地道的服务器端。地道服务器端收到数据包以后,往除地道数据传输协定包头,然后将负载数据转发到方针收集。
地道协定和基础地道请求
由于第2层地道协定(PPTP和L2TP)以完美的PPP协定为基本,因而承继了一整套的特征。
1.用户考证
第2层地道协定承继了PPP协定的用户考证体例。很多第3层地道手艺都假定在创立地道之前,地道的两个端点互相之间已懂得或已经由考证。一个破例情形是IPSec协定的ISAKMP协商供应了地道端点之间举行的互相考证。
2.令牌卡(Tokencard)撑持
经由过程利用扩大考证协定(EAP),第2层地道协定可以撑持多种考证办法,包含一次性口令(one-timepassword),加密盘算器(cryptographiccalculator)和智能卡等。第3层地道协定也撑持利用相似的办法,比方,IPSec协定经由过程ISAKMP/Oakley协商断定大众密钥证书考证。
3.静态地点分派
第2层地道协定撑持在收集把持协定(NCP)协商机制的基本上静态分派客户地点。第3层地道协定一般假定地道创建之前已举行了地点分派。今朝IPSec地道形式下的地点分派计划仍在开辟当中。
4.数据紧缩
第2层地道协定撑持基于PPP的数据紧缩体例。比方,微软的PPTP和L2TP计划利用微软点对点加密协定(MPPE)。IETP正在开辟使用于第3层地道协定的相似数据紧缩机制。
5.数据加密
第2层地道协定撑持基于PPP的数据加密机制。微软的PPTP计划撑持在RSA/RC4算法的基本上选择利用MPPE。第3层地道协定可使用相似办法,比方,IPSec经由过程ISAKMP/Oakley协商断定几种可选的数据加密办法。微软的L2TP协定利用IPSec加密保证地道客户端和服务器之间数据流的平安。
6.密钥办理
作为第2层协定的MPPE依托考证用户时天生的密钥,按期对其更新。IPSec在ISAKMP互换过程当中公然协商公用密钥,一样对其举行按期更新。
7.多协定撑持
第2层地道协定撑持多种负载数据协定,从而使地道客户可以会见利用IP,IPX,或NetBEUI等多种协定企业收集。相反,第3层地道协定,如IPSec地道形式只能撑持利用IP协定的方针收集。
点对点协定
由于第2层地道协定在很年夜水平上依托PPP协定的各类特征,因而有需要对PPP协定举行深切的切磋。PPP协定次要是计划用来经由过程拨号或专线体例创建点对点毗连发送数据。PPP协定将IP,IPX和NETBEUI包封装在PP桢内经由过程点对点的链路发送。PPP协定次要使用于毗连拨号用户和NAS。PPP拨号会话历程能够分红4个分歧的阶段。分离以下:
阶段1:创立PPP链路
PPP利用链路把持协定(LCP)创立,保护或停止一次物理毗连。在LCP阶段的早期,将对基础的通信体例举行选择。应该注重在链路创立阶段,只是对考证协定举行选择,用户考证将在第2阶段完成。一样,在LCP阶段还将断定链路对等两边是不是要对利用数据紧缩或加密举行协商。实践对数据紧缩/加密算法和别的细节的选择将在第4阶段完成。
阶段2:用户考证
在第2阶段,客户会PC将用户的身份明发给远真个接进服务器。该阶段利用一种平安考证体例制止第三方夺取数据或假充远程客户接受与客户真个毗连。年夜多半的PPP计划只供应了无限的考证体例,包含口令考证协定(PAP),应战握手考证协定(CHAP)和微软应战握手考证协定(MSCHAP)。
1.口令考证协定(PAP)
PAP是一种复杂的明文考证体例。NAS请求用户供应用户名和口令,PAP以明文体例前往用户信息。很分明,这类考证体例的平安性较差,第三方能够很简单的猎取被传送的用户名和口令,并使用这些信息与NAS创建毗连猎取NAS供应的一切资本。以是,一旦用户暗码被第三方夺取,PAP没法供应制止遭到第三方打击的保证措施。
2.应战-握手考证协定(CHAP)
CHAP是一种加密的考证体例,可以制止创建毗连时传送用户的实在暗码。NAS向远程用户发送一个应战口令(challenge),个中包含会话ID和一个恣意天生的应战字串(arbitrarychallengestring)。远程客户必需利用MD5单向哈希算法(one-wayhashingalgorithm)前往用户名和加密的应战口令,会话ID和用户口令,个中用户名以非哈希体例发送。
CHAP对PAP举行了改善,不再间接经由过程链路发送明文口令,而是利用应战口令以哈希算法对口令举行加密。由于服务器端存有客户的明文口令,以是服务器能够反复客户端举行的操纵,并将了局与用户前往的口令举行对比。CHAP为每次考证恣意天生一个应战字串来避免遭到再现打击(replayattack).在全部毗连过程当中,CHAP将不准时的向客户端反复发送应战口令,从而制止第3方假充远程客户(remoteclientimpersonation)举行打击。
3.微软应战-握手考证协定(MS-CHAP)
与CHAP相相似,MS-CHAP也是一种加密考证机制。同CHAP一样,利用MS-CHAP时,NAS会向远程客户发送一个含有会话ID和恣意天生的应战字串的应战口令。远程客户必需前往用户名和经由MD4哈希算法加密的应战字串,会话ID和用户口令的MD4哈希值。接纳这类体例服务器端将只存储经由哈希算法加密的用户口令而不是明文口令,如许就可以够供应进一步的平安保证。别的,MS-CHAP一样撑持附加的毛病编码,包含口令过时编码和同意用户本人修正口令的加密的客户-服务器(client-server)附加信息。利用MS-CHAP,客户端和NAS两边各自天生一个用于随后数据加密的肇端密钥。MS-CHAP利用基于MPPE的数据加密,这一点十分主要,能够注释为何启用基于MPPE的数据加密时必需举行MS-CHAP考证。
在第2阶段PPP链路设置阶段,NAS搜集考证数据然后对比本人的数据库或中心考证数据库服务器(位于NT主域把持器或远程考证用户拨进服务器)考证数据的无效性。
阶段3:PPP回叫把持(callbackcontrol)
微软计划的PPP包含一个可选的回叫把持阶段。该阶段在完成考证以后利用回叫把持协定(CBCP)假如设置利用回叫,那末在考证以后远程客户和NAS之间的毗连将会被断开。然后由NAS利用特定的德律风号码回叫远程客户。如许能够进一步包管拨号收集的平安性。NAS只撑持对位于特定德律风号码处的远程客户举行回叫。
阶段4:挪用收集层协定
在以上各阶段完成以后,PPP将挪用在链路创立阶段(阶段1)选定的各类收集把持协定(NCP).比方</p>ASP由于使用了COM组件所以它会变的十分强大,但是这样的强大由于WindowsNT系统最初的设计问题而会引发大量的安全问题。只要在这样的组件或是操作中一不注意,哪么外部攻击就可以取得相当高的权限而导致网站瘫痪或者数据丢失; 从事这个行业,那么你可以学ASP语言,简单快速上手,熟练dreamweav排版,写asp代码,熟练photoshop处理图片,打好基础就行了 ASP.Net摆脱了以前ASP使用脚本语言来编程的缺点,理论上可以使用任何编程语言包括C++,VB,JS等等,当然,最合适的编程语言还是MS为.NetFrmaework专门推出的C(读csharp),它可以看作是VC和Java的混合体吧。 下载一个源代码,然后再下载一个VBScript帮助,在源代码中遇到不认识的函数或是其他什么程序,都可以查帮助进行解决,这样学习效率很高。 哪些内置对象是可以跳过的,或者哪些属性和方法是用不到的? 掌握asp的特性而且一定要知道为什么。 完全不知道到底自己学的是什么。最后,除了教程里面说的几个例子,还是什么都不会。 Request:从字面上讲就是“请求”,因此这个是处理客户端提交的东东的,例如Resuest.Form,Request.QueryString,或者干脆Request("变量名")
页:
[1]