基于IPsec的VPN技術(shù)的應(yīng)用與研究

1網(wǎng)絡(luò)安全的基本內(nèi)容

完整的考慮網(wǎng)絡(luò)安全包括3方面的內(nèi)容：網(wǎng)絡(luò)攻擊、安全機(jī)制與安全服務(wù)。網(wǎng)絡(luò)安全服務(wù)應(yīng)該提供以下基本服務(wù)功能：保密性、認(rèn)證、數(shù)據(jù)完整性、防抵賴和訪問控制。

2IPsec的VPN技術(shù)的應(yīng)用

VPN（Virtual Private Network）是虛擬專用網(wǎng)的全稱，指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。其之所以稱為虛擬網(wǎng)，主要是因?yàn)檎麄€(gè)VPN網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)，如Internet ATM（異步傳輸模式）、Frame Relay（幀中繼）等之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。它涵蓋了跨共享網(wǎng)絡(luò)或公共網(wǎng)絡(luò)的封裝、加密和身份驗(yàn)證鏈接的專用網(wǎng)絡(luò)的擴(kuò)展。VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。

當(dāng)前，VPN（Virtual Private Network，即虛擬專用網(wǎng)）產(chǎn)品在我國(guó)的IT應(yīng)用市場(chǎng)上正逐漸被越來越多的行業(yè)和企業(yè)用戶所熟悉和采用，已經(jīng)成為近兩年中國(guó)市場(chǎng)上成長(zhǎng)迅速的主流消費(fèi)產(chǎn)品之一。

3VPN的關(guān)鍵技術(shù)

目前，VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（EncryptionDecryption）、密鑰管理技術(shù)（KeyManagement）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

4IPsec協(xié)議分析

4.1IPsec協(xié)議簡(jiǎn)介

IPsec是一種具有互操作性、高質(zhì)量、基于加密的，適用于IPv4和IPv6的規(guī)范。IPsec能夠?qū)?shù)據(jù)的存取控制、機(jī)密性、完整性和可用性提供保證，并能夠防止重放攻擊。IPsec可應(yīng)用在IP層（對(duì)IP包進(jìn)行封裝）或在IP層與數(shù)據(jù)鏈路層之間或在物理線路上。IPsec是安全聯(lián)網(wǎng)的長(zhǎng)期方向。它通過端對(duì)端的安全性來提供主動(dòng)的保護(hù)以防止專用網(wǎng)絡(luò)與Internet的攻擊。IPsec協(xié)議是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPsec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密。

4.2IPsec工作原理

IPsec的工作原理類似于包過濾防火墻，可以看作是對(duì)包過濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)包過濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，包過濾防火墻按照規(guī)則制定的方法對(duì)接受到的IP數(shù)據(jù)包只進(jìn)行2種處理：丟棄或轉(zhuǎn)發(fā)。而IPsec則是通過查詢SD（Security Policy Database安全策略數(shù)據(jù)庫）來決定對(duì)接收到的IP數(shù)據(jù)包的處理。但不同于包過濾防火墻的，IPSec對(duì)IP數(shù)據(jù)包的處理方法除了丟棄、直接轉(zhuǎn)發(fā)(繞過IPsec)外，還有一種，即進(jìn)行IPsec處理。

4.3IPsec協(xié)議的實(shí)現(xiàn)方式

IPsec的一個(gè)最基本的優(yōu)點(diǎn)是它可以在共享網(wǎng)絡(luò)上訪問設(shè)備，甚至是可以在所有的主機(jī)和服務(wù)器上完全實(shí)現(xiàn)，這就在很大程度上避免了升級(jí)任何網(wǎng)絡(luò)相關(guān)資源的需要。在客戶端，IPsec的架構(gòu)允許使用在遠(yuǎn)程訪問介入路由器或基于純軟件方式使用普通MODEM的PC機(jī)和工作站。

4.4IPsec協(xié)議的工作模式

IPsec在不同的應(yīng)用需求下會(huì)有不同的工作方式，分別為傳輸模式（Transport Mode）和隧道模式（Tunnel Mode）。

4.4.1傳輸模式（Transport Mode）

所謂傳輸模式的IPsec VPN是指可以將兩部主機(jī)之間所傳遞的數(shù)據(jù)加密。例如，我們使用便攜計(jì)算機(jī)通過POP3協(xié)議連回公司的郵件服務(wù)器收取信件時(shí)，就可以在Mail Server與便攜計(jì)算機(jī)之間建立傳輸模式的IPsec VPN，以確保信件的內(nèi)容不會(huì)被他人竊取。

4.4.2隧道模式（Tunnel Mode）

如圖1所示，如果我們需要讓兩個(gè)不同網(wǎng)段所傳輸?shù)臄?shù)據(jù)內(nèi)容都經(jīng)由IPsec VPN來加密，或者需要將兩個(gè)Private IP的網(wǎng)段通過IPsec VPN來跨越Internet連接，就會(huì)需要用到隧道模式的IPsec VPN。

5結(jié)束語

本文所研究的是基于IPsec的VPN技術(shù)，IPsec VPN技術(shù)在IP傳輸上通過加密隧道，在公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容的同時(shí)，保證內(nèi)部數(shù)據(jù)的安全性，從而實(shí)現(xiàn)企業(yè)總部與各分支機(jī)構(gòu)之間的數(shù)據(jù)、語音、視頻業(yè)務(wù)互通。