基于IPsec VPN技術(shù)的應(yīng)用與研究

王笛 陳福玉

摘要：IPSec VPN是采用IPSec協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)，極大地提高了TCP /IP協(xié)議的安全可靠性。文中首先對(duì)IPSec技術(shù)進(jìn)行了介紹，對(duì)IPSec協(xié)議的體系架構(gòu)、主要功能、工作模式等進(jìn)行了研究，分析了IPSec協(xié)議的優(yōu)勢(shì)，給出了IP-Sec的具體實(shí)現(xiàn)步驟和方法，并通過(guò)Wireshark軟件驗(yàn)證了該技術(shù)的可行性和可靠性。

關(guān)鍵詞：虛擬專用網(wǎng)絡(luò)（VPN）;因特網(wǎng)安全協(xié)議（IPSec）;隧道技術(shù)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）11-0017-03

1概述

如今，Internet的發(fā)展越來(lái)越快，它在現(xiàn)代社會(huì)中起著至關(guān)重要的作用。同時(shí)，網(wǎng)絡(luò)安全正在成為Internet的關(guān)注焦點(diǎn)?；ヂ?lián)網(wǎng)是一個(gè)基于TCP/IP協(xié)議的數(shù)據(jù)包交換網(wǎng)絡(luò)，它本身是不安全的，互聯(lián)網(wǎng)中幾乎所有IP數(shù)據(jù)包都是以純文本格式傳輸?shù)?，并且容易被攔截、篡改或偽造。

VPN（虛擬專用網(wǎng)絡(luò)）是一種虛擬專用本地網(wǎng)絡(luò)，可通過(guò)Internet等現(xiàn)有公共通信通道上的安全通道來(lái)實(shí)現(xiàn)安全性并降低成本。VPN在IP層中實(shí)現(xiàn)網(wǎng)絡(luò)安全，它對(duì)IP層之上的應(yīng)用協(xié)議層是透明的，因此不需要特殊的安全機(jī)制。在受保護(hù)子網(wǎng)內(nèi)的兩個(gè)VPN設(shè)備之間建立了安全通道。當(dāng)主機(jī)在同一個(gè)子網(wǎng)中進(jìn)行通信時(shí)，信息是透明的;當(dāng)主機(jī)與子網(wǎng)中的另一個(gè)進(jìn)行通信時(shí)，將應(yīng)用VPN保護(hù)以確保安全性和完整性。

IPSec是VPN開(kāi)發(fā)中使用最廣泛的協(xié)議，它可能會(huì)成為將來(lái)IP VPN的標(biāo)準(zhǔn)。IPSec協(xié)議是IETF在1990年代后期提供的，它可以為所有安全服務(wù)提供統(tǒng)一的平臺(tái)。由于其高性能，IPSec被認(rèn)為是下一代Internet的基本安全協(xié)議。如前所述，IP-Sec協(xié)議為IP層和所有上層協(xié)議提供保護(hù)，這對(duì)應(yīng)用程序和最終用戶是透明的。但是IPSec協(xié)議非常復(fù)雜，同時(shí)許多問(wèn)題尚未解決，因此具有很高的研究?jī)r(jià)值。

2IPSec協(xié)議體系架構(gòu)

IPSec體系結(jié)構(gòu)的第一主要部分是安全系統(tǒng)。IPSec使用AH（身份驗(yàn)證頭）和ESP（封裝安全有效載荷）來(lái)提供數(shù)據(jù)包的安全性。AH提供無(wú)連接完整性，數(shù)據(jù)源身份驗(yàn)證和可選的防重播服務(wù)。ESP不僅提供數(shù)據(jù)機(jī)密性和有限通信流量的機(jī)密性，還提供無(wú)連接完整性，數(shù)據(jù)源身份驗(yàn)證和防重播。AH和ESP是基于加密密鑰分配和這些安全協(xié)議的相關(guān)通信吞吐量管理的訪問(wèn)控制方式。

IPSec協(xié)議使用IKE（Internet密鑰交換）協(xié)議來(lái)實(shí)現(xiàn)安全協(xié)議的安全參數(shù)的協(xié)商，包括加密和認(rèn)證算法，密鑰的加密和認(rèn)證算法，通信保護(hù)模式（傳輸或隧道模式），密鑰的生存期以及以此類(lèi)推。IKE還負(fù)責(zé)刷新這些安全性參數(shù)。

IPSec允許用戶或管理員控制安全服務(wù)的強(qiáng)度。例如，可以在兩個(gè)路由器之間建立一個(gè)單獨(dú)的加密隧道來(lái)承載所有數(shù)據(jù)包，或者可以為每對(duì)主機(jī)通信之間的每個(gè)TCP連接建立一個(gè)隧道。IPSec管理必須明確使用哪種服務(wù)，如何組合它們，給定安全保護(hù)的強(qiáng)度以及用于實(shí)現(xiàn)系統(tǒng)安全性的加密算法。

為了處理IPSec數(shù)據(jù)流，有兩個(gè)必要的數(shù)據(jù)庫(kù)：SPD（安全策略數(shù)據(jù)庫(kù)）和SAD（安全關(guān)聯(lián)數(shù)據(jù)庫(kù)）。SPD指定了來(lái)自或流向特定主機(jī)或網(wǎng)絡(luò)的數(shù)據(jù)流策略。SAD包含活動(dòng)的SA參數(shù)。SPD和SAD都需要單獨(dú)的輸入和輸出數(shù)據(jù)庫(kù)。

DOI（解釋域）是整個(gè)IPSec協(xié)議的一個(gè)非常重要的部分，它將IPSec組的所有文檔聯(lián)系在一起，可以通過(guò)訪問(wèn)DOI來(lái)獲得有關(guān)協(xié)議中組件的說(shuō)明。它被認(rèn)為是所有IPSec安全參數(shù)的主數(shù)據(jù)庫(kù)，這些參數(shù)可用作與IPSec服務(wù)相關(guān)的系統(tǒng)的參考和調(diào)用。

3IPSec協(xié)議優(yōu)勢(shì)

IPSec的安全目標(biāo)是通過(guò)使用AH（身份驗(yàn)證標(biāo)頭），ESP（封裝安全有效載荷）和IKE（Internet密鑰交換）來(lái)實(shí)現(xiàn)的。在任何環(huán)境中，協(xié)議套件和使用的方式均由用戶、應(yīng)用程序、站點(diǎn)、安全性和系統(tǒng)的要求決定。IPSec的優(yōu)勢(shì)可以概括如下：

（1）更好的兼容性。

（2）與SOCKv5等上層安全協(xié)議相比，它具有更好的性能，并且易于實(shí)現(xiàn)。與較低層的安全協(xié)議相比，它可以更好地適應(yīng)各種通信媒體。

（3）系統(tǒng)成本低。它不僅可以實(shí)現(xiàn)自動(dòng)管理并減少手動(dòng)密

6結(jié)束語(yǔ)

IPSec技術(shù)大大提升了Internet傳輸數(shù)據(jù)的安全性，為IP數(shù)據(jù)包提供了有利保護(hù)，性能較為穩(wěn)定。但作為新的安全協(xié)議，在實(shí)際應(yīng)用和理論上仍需要進(jìn)一步改進(jìn)和創(chuàng)新。未來(lái)的工作中，諸如使用IPSec來(lái)預(yù)防、警告和警報(bào)或分析黑客攻擊的實(shí)現(xiàn)，對(duì)其他IPSec功能f如數(shù)據(jù)完整性，數(shù)據(jù)源身份驗(yàn)證和防重放）的驗(yàn)證等方面也有待進(jìn)一步深入研究。相信IPSec技術(shù)將會(huì)有更好、更廣泛的應(yīng)用前景。