基于IP技術實現(xiàn)對VPN網(wǎng)關的設計

摘 要：本文首先對IP協(xié)議做了一個詳細的概述，概述中對IP的基本組成成分、工作模式和協(xié)議實現(xiàn)的方法做了一個簡單的介紹，接著介紹了基于IP技術的VPN網(wǎng)關設計的設計思想、設計功能、設計方案。最后利用路由器實現(xiàn)設計方案。

關鍵詞：IP技術；VPN；網(wǎng)關設計

中圖分類號：TP393

隨著信息技術的發(fā)展和普及，人們對網(wǎng)絡安全和應用簡易性的要求越來越高，為了確保信息載體能更安全的傳輸，基于IP技術的VPN網(wǎng)關迅速的成為新一代網(wǎng)絡服務技術的根本，IP協(xié)議也隨之產(chǎn)生，將英特網(wǎng)的基礎設施運用到VPN中為各類企業(yè)和單位構建各自企業(yè)的虛擬專用網(wǎng)，不僅可以增加數(shù)據(jù)傳輸?shù)目煽啃?，還能為企業(yè)節(jié)省成本?；贗P技術的VPN網(wǎng)關的設計，增強了信息載體的安全性，保證站點之間的安全傳輸，為企業(yè)節(jié)省成本。設計一個基于IP技術的網(wǎng)關，對英特網(wǎng)的安全具有重大的意義。

1 IP的概述

IP是指用于增加IP站點之間的安全的一系列協(xié)議，IP為IP數(shù)據(jù)的保密性、高質(zhì)量性和可執(zhí)行性提供了保障，是一種運行于網(wǎng)絡層使數(shù)據(jù)實現(xiàn)封裝的第三層隧道協(xié)議。VPN的最重要部分就是隧道協(xié)議，其中隧道協(xié)議的最重要的一個部分是IP。

1.1 IP成分的體系結(jié)構

IP協(xié)議主要用于為IP層的傳輸提供安全服務，IP協(xié)議主要包括ESP協(xié)議和AH協(xié)議。ESP協(xié)議包括對數(shù)據(jù)加密、分裝凈負荷，為IP提供數(shù)據(jù)完整性、機密性、抗重播、有限的流量控制和數(shù)據(jù)源驗證等服務。AH協(xié)議包括數(shù)據(jù)確證，為IP所提供的服務主要包括一些有限的、能選擇的抗攻擊、無連接完整性和數(shù)據(jù)原始身份驗證。ESP協(xié)議和IP協(xié)議比較，ESP協(xié)議的復雜性和安全性能更高。在使用時，既可以兩種協(xié)議一同使用，又可以根據(jù)自己的需要選擇其中一種。

1.2 IP協(xié)議工作模式

根據(jù)對原始IP包保護能力的不同，可以將IP工作模式大致分成兩類，分別是隧道、傳輸模式。將IP頭插放在內(nèi)部與外部IP的頭之間，既對含有原始IP頭部的所有IP數(shù)據(jù)包進行了保護，還可以生成一個新的含有隧道斷點的IP地址的外部IP頭的屬于隧道模式。將IP頭部插放在IP包里，保護傳送層和傳送層以上各層數(shù)據(jù)的屬于傳輸模式。

隧道、傳輸兩種工作模式都既可以用ESP協(xié)議，又可以用AH協(xié)議。將兩種IP和兩種模式分別組合在一起時，一共可以分為四種模式，分別是ESP隧道、ESP傳輸、AH隧道、AH傳輸模式。采取隧道模式時，兩類協(xié)議主要是用來保護所有的隧道傳輸和IP信息包，采取傳輸模式時，兩類協(xié)議主要用作保護高層協(xié)議。由于ESP隧道模式的保護性能比較好，在我們的實際生活中，大多采用ESP隧道模式。

1.3 IP協(xié)議的實現(xiàn)

IP協(xié)議實現(xiàn)的方式主要BITS、IP整合、BITW整合三種方式。

BITS方式可以在歐數(shù)據(jù)鏈路層，也可以在網(wǎng)絡層中使用。BITS方式有一個優(yōu)點是，可以不改動操作系統(tǒng)中的源代碼而對實施過程進行操作，對于無法得到系統(tǒng)源代碼實施操作更為方便，還有一個優(yōu)點是，一次就可以提供趨于完整的方案。BITS方式存有一個缺點是功能經(jīng)常重復，要求絕大數(shù)網(wǎng)絡層的特性都可以實現(xiàn)。功能重復性加大的局面的復雜度，使得路由、PMTU和分段等類問題無法得到解決。

IP整合方式使網(wǎng)絡層和IP緊密集成在了一起，讓網(wǎng)路服務更便利。IP功能的實現(xiàn)發(fā)生于操作系統(tǒng)的內(nèi)核中，網(wǎng)絡服務的效率和有效率都將達到最高點效果，可以使得PMTU、分段等網(wǎng)絡服務操作更加靈活簡單，缺點是IP整合方案需要依賴操作系統(tǒng)的源碼才可以進一步實施方案。

在BITW的整合方式中，IP的功能主要是靠外部功能處理器得以實現(xiàn)。這些功能處理器可以直接與網(wǎng)關的物理接口進行連接，也可以與路由器連接。這些設備只是用來確保數(shù)據(jù)包的安全性，并不是用來運行路由器算法。一個設備不可以與網(wǎng)關或者路由器上的所有的接口進行連接，所以，BTIW的不能長期使用，這是BTIW的一個缺點，BTIW還有一個缺點是，包轉(zhuǎn)發(fā)的能力過分依賴功能處理器，要求設備可以盡快轉(zhuǎn)發(fā)數(shù)據(jù)包。

2 基于IP技術的VPN網(wǎng)關設計

2.1 基于IP的VPN的網(wǎng)關的功能

為了確?；贗P的VPN的網(wǎng)關的通信正常，網(wǎng)關至少要設計的四種基本功：可以實現(xiàn)基本網(wǎng)絡的功能、可以實現(xiàn)VPN的功能、可以實現(xiàn)動態(tài)的功組圖能、可以實現(xiàn)管理的功能。

2.2 設計方案

基于IP的VPN網(wǎng)關設計主要分為三個層次，包括管理層、控制層、數(shù)據(jù)處理層。主要用于實現(xiàn)網(wǎng)絡處理器的平臺。可以認證和加密，并且可以為對互聯(lián)網(wǎng)相互信任方的信息加密，為雙方建立安全的信息通道，實現(xiàn)專用網(wǎng)絡，確保通信的完整性、機密性、安全性和可認證性。依據(jù)IP規(guī)范與VPN安全體系，VPN網(wǎng)關可以提供訪問控制、數(shù)據(jù)完整性、鑒別、數(shù)據(jù)機密性、進制否認、數(shù)據(jù)源鑒別等安全服務。VPN網(wǎng)關的體系結(jié)構可抽象分成三層，分別是管理系統(tǒng)層、IP協(xié)議和網(wǎng)絡協(xié)議層、自主開發(fā)的嵌入式安全操作系統(tǒng)內(nèi)核。

2.3 實現(xiàn)框架

在設計方案的過程中，既可以手動在用戶層注入SA，又可以用IKE動態(tài)來協(xié)商SA，框架的實現(xiàn)主要從用戶層操作到內(nèi)核的接口Sockets，Pfkey。對協(xié)商進行相互對應的處理、儲存、驗證和管理策略，主要是用INK保護進程監(jiān)聽動態(tài)協(xié)商請求，由用戶層所實現(xiàn)的管理系統(tǒng)未完成。然后，在內(nèi)核中完成和IPSec協(xié)議進入/外出處理，加密算法和用戶的SAD、接口及用其管理的功能，以此加快IP的處理速度。

2.4 基于IP的VPN設置

IP的整合效率最有效也是最高的，功能實現(xiàn)也簡單，基于IP設計的VP網(wǎng)關，網(wǎng)關設計用KAME，以自動密匙和人工模式的方式連接設置網(wǎng)關，最重要的是實現(xiàn)對隧道傳輸?shù)臄?shù)據(jù)進行加密。在人工模式下，網(wǎng)絡的管理員需要確定密鑰和算法組成SAD與創(chuàng)建SA，并確定所用協(xié)議。銅鼓通過這種方法的密鑰關聯(lián)比較復雜，安全性能偏低，只適用于小型網(wǎng)絡。由于連接方式是自動密鑰連接，所以上述工作網(wǎng)絡管理員不用做，只需要用協(xié)商安全系數(shù)以及IKE認證通信雙方能用預共享密鑰認證的方式。

2.5 路由器功能設計的實現(xiàn)方案

位于網(wǎng)絡層次結(jié)構的VPN網(wǎng)關必須遵循TCP/IP協(xié)議；網(wǎng)絡層含有用于實現(xiàn)網(wǎng)絡層功能的基本模塊和轉(zhuǎn)發(fā)模塊，轉(zhuǎn)發(fā)模塊主要是轉(zhuǎn)發(fā)接受到的不屬于自己的IP包；一般只有需要轉(zhuǎn)發(fā)的信息要進行解密和加密工作，其他主機間和安全加密了的路由平臺的通信信息可以不加密；由于VPN網(wǎng)關使用的是網(wǎng)絡級加密，所以是在網(wǎng)絡層實現(xiàn)加密與解密工作，但是加密和解密處理數(shù)據(jù)包的時間段不同。

VPN網(wǎng)關處理的包可以分為三種：第一種是VPN網(wǎng)關所接收的目的IP地址在本主機的包，這種包的依次向上層傳遞處理直到遇到相應的應用程序為止；第二種是VPN網(wǎng)關應用程序發(fā)送的包，這種包依次向下處理直到傳遞到網(wǎng)絡設備為止；第三種是VPN網(wǎng)關所接收的目的IP地址在非本主機的包，VPN網(wǎng)關一般將這種包轉(zhuǎn)發(fā)。

數(shù)據(jù)包在可信的網(wǎng)絡上都是明文形式，密文形式一般存在于不可信的網(wǎng)中，所以，在傳輸路途中，就算對數(shù)據(jù)包進行攔截，也無法窺探到它的正確信息，如果數(shù)據(jù)包被冒充或、篡改，就會出現(xiàn)解密失敗的現(xiàn)象，將此包扔棄，可以避免存有惡意性質(zhì)的主動攻擊。

3 結(jié)束語

用基于IP的VPN作為網(wǎng)關，可以大大增加通信的安全，為解決通信安全問題作出了重大的貢獻，極大的降低了為實現(xiàn)通信安全所需付出的代價，IP在IP層上為數(shù)據(jù)包提供數(shù)據(jù)源地驗證、數(shù)據(jù)機密性、有限業(yè)務流機密性、抗重播、安全處理等安全服務。各類應用程序都可以使用IP層所提高的密鑰管理和安全服務，從而各個應用程序不需要再重新實現(xiàn)和設計自己的安全體系，從而為密鑰協(xié)商節(jié)省了大量的資金，還降低的安全漏洞出現(xiàn)的可能性。

參考文獻：

[1]劉春艷.基于IPSec的VPN網(wǎng)關設計與實現(xiàn)[J].網(wǎng)絡安全，2012.

[2]曾晶晶.IPsec VPN網(wǎng)關設計和實現(xiàn)[J].信息工程，2011.

[3]祁偉，張麗娟.基于IPSec的VPN網(wǎng)關設計[J].長春理工大學學報，2009.

作者簡介：洪明忠（1973-），男，浙江紹興人，中專高級講師，本科，主要研究方向：計算機網(wǎng)絡。

作者單位：紹興市柯橋區(qū)職業(yè)教育中心，浙江紹興 312030