基于IPsec VPN技術(shù)的應(yīng)用與研究

王笛 陳福玉

摘要：IPSec VPN是采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)，極大地提高了TCP /IP協(xié)議的安全可靠性。文中首先對IPSec技術(shù)進(jìn)行了介紹，對IPSec協(xié)議的體系架構(gòu)、主要功能、工作模式等進(jìn)行了研究，分析了IPSec協(xié)議的優(yōu)勢，給出了IP-Sec的具體實(shí)現(xiàn)步驟和方法，并通過Wireshark軟件驗(yàn)證了該技術(shù)的可行性和可靠性。

關(guān)鍵詞：虛擬專用網(wǎng)絡(luò)（VPN）;因特網(wǎng)安全協(xié)議（IPSec）;隧道技術(shù)

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2020）11-0017-03

1概述

如今，Internet的發(fā)展越來越快，它在現(xiàn)代社會中起著至關(guān)重要的作用。同時，網(wǎng)絡(luò)安全正在成為Internet的關(guān)注焦點(diǎn)。互聯(lián)網(wǎng)是一個基于TCP/IP協(xié)議的數(shù)據(jù)包交換網(wǎng)絡(luò)，它本身是不安全的，互聯(lián)網(wǎng)中幾乎所有IP數(shù)據(jù)包都是以純文本格式傳輸?shù)模⑶胰菀妆粩r截、篡改或偽造。

VPN（虛擬專用網(wǎng)絡(luò)）是一種虛擬專用本地網(wǎng)絡(luò)，可通過Internet等現(xiàn)有公共通信通道上的安全通道來實(shí)現(xiàn)安全性并降低成本。VPN在IP層中實(shí)現(xiàn)網(wǎng)絡(luò)安全，它對IP層之上的應(yīng)用協(xié)議層是透明的，因此不需要特殊的安全機(jī)制。在受保護(hù)子網(wǎng)內(nèi)的兩個VPN設(shè)備之間建立了安全通道。當(dāng)主機(jī)在同一個子網(wǎng)中進(jìn)行通信時，信息是透明的;當(dāng)主機(jī)與子網(wǎng)中的另一個進(jìn)行通信時，將應(yīng)用VPN保護(hù)以確保安全性和完整性。

IPSec是VPN開發(fā)中使用最廣泛的協(xié)議，它可能會成為將來IP VPN的標(biāo)準(zhǔn)。IPSec協(xié)議是IETF在1990年代后期提供的，它可以為所有安全服務(wù)提供統(tǒng)一的平臺。由于其高性能，IPSec被認(rèn)為是下一代Internet的基本安全協(xié)議。如前所述，IP-Sec協(xié)議為IP層和所有上層協(xié)議提供保護(hù)，這對應(yīng)用程序和最終用戶是透明的。但是IPSec協(xié)議非常復(fù)雜，同時許多問題尚未解決，因此具有很高的研究價值。

2IPSec協(xié)議體系架構(gòu)

IPSec體系結(jié)構(gòu)的第一主要部分是安全系統(tǒng)。IPSec使用AH（身份驗(yàn)證頭）和ESP（封裝安全有效載荷）來提供數(shù)據(jù)包的安全性。AH提供無連接完整性，數(shù)據(jù)源身份驗(yàn)證和可選的防重播服務(wù)。ESP不僅提供數(shù)據(jù)機(jī)密性和有限通信流量的機(jī)密性，還提供無連接完整性，數(shù)據(jù)源身份驗(yàn)證和防重播。AH和ESP是基于加密密鑰分配和這些安全協(xié)議的相關(guān)通信吞吐量管理的訪問控制方式。

IPSec協(xié)議使用IKE（Internet密鑰交換）協(xié)議來實(shí)現(xiàn)安全協(xié)議的安全參數(shù)的協(xié)商，包括加密和認(rèn)證算法，密鑰的加密和認(rèn)證算法，通信保護(hù)模式（傳輸或隧道模式），密鑰的生存期以及以此類推。IKE還負(fù)責(zé)刷新這些安全性參數(shù)。

IPSec允許用戶或管理員控制安全服務(wù)的強(qiáng)度。例如，可以在兩個路由器之間建立一個單獨(dú)的加密隧道來承載所有數(shù)據(jù)包，或者可以為每對主機(jī)通信之間的每個TCP連接建立一個隧道。IPSec管理必須明確使用哪種服務(wù)，如何組合它們，給定安全保護(hù)的強(qiáng)度以及用于實(shí)現(xiàn)系統(tǒng)安全性的加密算法。

為了處理IPSec數(shù)據(jù)流，有兩個必要的數(shù)據(jù)庫：SPD（安全策略數(shù)據(jù)庫）和SAD（安全關(guān)聯(lián)數(shù)據(jù)庫）。SPD指定了來自或流向特定主機(jī)或網(wǎng)絡(luò)的數(shù)據(jù)流策略。SAD包含活動的SA參數(shù)。SPD和SAD都需要單獨(dú)的輸入和輸出數(shù)據(jù)庫。

DOI（解釋域）是整個IPSec協(xié)議的一個非常重要的部分，它將IPSec組的所有文檔聯(lián)系在一起，可以通過訪問DOI來獲得有關(guān)協(xié)議中組件的說明。它被認(rèn)為是所有IPSec安全參數(shù)的主數(shù)據(jù)庫，這些參數(shù)可用作與IPSec服務(wù)相關(guān)的系統(tǒng)的參考和調(diào)用。

3IPSec協(xié)議優(yōu)勢

IPSec的安全目標(biāo)是通過使用AH（身份驗(yàn)證標(biāo)頭），ESP（封裝安全有效載荷）和IKE（Internet密鑰交換）來實(shí)現(xiàn)的。在任何環(huán)境中，協(xié)議套件和使用的方式均由用戶、應(yīng)用程序、站點(diǎn)、安全性和系統(tǒng)的要求決定。IPSec的優(yōu)勢可以概括如下：

（1）更好的兼容性。

（2）與SOCKv5等上層安全協(xié)議相比，它具有更好的性能，并且易于實(shí)現(xiàn)。與較低層的安全協(xié)議相比，它可以更好地適應(yīng)各種通信媒體。

（3）系統(tǒng)成本低。它不僅可以實(shí)現(xiàn)自動管理并減少手動密

6結(jié)束語

IPSec技術(shù)大大提升了Internet傳輸數(shù)據(jù)的安全性，為IP數(shù)據(jù)包提供了有利保護(hù)，性能較為穩(wěn)定。但作為新的安全協(xié)議，在實(shí)際應(yīng)用和理論上仍需要進(jìn)一步改進(jìn)和創(chuàng)新。未來的工作中，諸如使用IPSec來預(yù)防、警告和警報或分析黑客攻擊的實(shí)現(xiàn)，對其他IPSec功能f如數(shù)據(jù)完整性，數(shù)據(jù)源身份驗(yàn)證和防重放）的驗(yàn)證等方面也有待進(jìn)一步深入研究。相信IPSec技術(shù)將會有更好、更廣泛的應(yīng)用前景。