IPSec VPN技術(shù)在企業(yè)網(wǎng)絡(luò)安全中的應(yīng)用

盧曉麗

（遼寧機(jī)電職業(yè)技術(shù)學(xué)院信息工程系 遼寧 118009）

0 前言

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，計(jì)算機(jī)信息安全問(wèn)題越來(lái)越受關(guān)注。信息安全技術(shù)迅猛發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會(huì)發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到企業(yè)、政府、軍事等諸多領(lǐng)域，其中有很多是敏感信息，特別是商業(yè)機(jī)密，在所難免會(huì)吸引來(lái)自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等）。如何構(gòu)建企業(yè)級(jí)信息安全體系，保護(hù)企業(yè)利益和信息資產(chǎn)不受侵害，已成為企業(yè)迫切需要解決的問(wèn)題。而VPN的出現(xiàn)則較好的解決了這些企業(yè)所擔(dān)心的網(wǎng)絡(luò)安全問(wèn)題。IPsec VPN技術(shù)無(wú)論從擴(kuò)展性、安全性還是應(yīng)用性都完全可以滿足企業(yè)級(jí)網(wǎng)絡(luò)安全的需求。

1 IPSec簡(jiǎn)介

IPsec（Intern et 協(xié)議安全性）是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過(guò)使用加密的安全服務(wù)以確保在IP (Internet 協(xié)議)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。包括安全協(xié)議(Security Protocol)和密鑰交換協(xié)議（IKE），由IETF（Internet Engineering TaskForce，Internet 工程任務(wù)組）開(kāi)發(fā)的，可為通訊雙方提供訪問(wèn)控制、無(wú)連接的完整性、數(shù)據(jù)來(lái)源認(rèn)證、反重放、加密以及對(duì)數(shù)據(jù)流分類加密等服務(wù)的一系列網(wǎng)絡(luò)安全協(xié)議的總稱，其中安全協(xié)議又包括AH（頭驗(yàn)證協(xié)議）和ESP（安全封裝載荷）；而IKE是一種基于ISAKMP（Internet Security Association and Key Management Protocol，互聯(lián)網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議）中TCP/IP框架，合并了Oakley（密鑰交換協(xié)議）的一部分和SKEME（密鑰技術(shù)協(xié)議）的混合協(xié)議。

2 IPSec的安全特性

“不可否認(rèn)性”可以證實(shí)消息發(fā)送方是唯一可能的發(fā)送者，發(fā)送者不能否認(rèn)發(fā)送過(guò)消息。當(dāng)使用公鑰技術(shù)時(shí)，發(fā)送方用私鑰產(chǎn)生一個(gè)數(shù)字簽名隨消息一起發(fā)送，接收方用發(fā)送者的公鑰來(lái)驗(yàn)證數(shù)字簽名。由于在理論上只有發(fā)送者才唯一擁有私鑰，也只有發(fā)送者才可能產(chǎn)生該數(shù)字簽名，所以只要數(shù)字簽名通過(guò)驗(yàn)證，發(fā)送者就不能否認(rèn)曾發(fā)送過(guò)該消息。但“不可否認(rèn)性”不是基于認(rèn)證的共享密鑰技術(shù)的特征，因?yàn)樵诨谡J(rèn)證的共享密鑰技術(shù)中，發(fā)送方和接收方掌握相同的密鑰。

IPSec接收方可根據(jù)數(shù)據(jù)包數(shù)據(jù)段前加入的32位序列號(hào)來(lái)檢測(cè)每個(gè)IP包的唯一性并拒絕接收過(guò)時(shí)或重復(fù)的報(bào)文，以防止攻擊者截取破譯信息后，再用相同的信息包冒取非法訪問(wèn)權(quán)（即使這種冒取行為發(fā)生在數(shù)月之后）。

IPSec接收方利用md5、sha-1等哈希算法對(duì)發(fā)送方發(fā)送來(lái)的包進(jìn)行認(rèn)證，防止傳輸過(guò)程中數(shù)據(jù)被篡改，確保發(fā)出數(shù)據(jù)和接收數(shù)據(jù)的一致性。

IPSec發(fā)送方在通過(guò)DES、3DES、AES等對(duì)稱加密算法在網(wǎng)絡(luò)傳輸包前對(duì)包進(jìn)行加密，保證在傳輸過(guò)程中，即使數(shù)據(jù)包遭截取，信息也無(wú)法被讀。該特性在IPSec中為可選項(xiàng)，與IPSec策略的具體設(shè)置相關(guān)。

3 加密與解密技術(shù)

密鑰管理（KeyManagement）的主要任務(wù)就是來(lái)保證在開(kāi)放網(wǎng)絡(luò)環(huán)境中安全地傳輸密鑰，而不被黑客竊取，密鑰管理技術(shù)如圖1所示。Internet密鑰交換協(xié)議（IKE）用于通信雙方協(xié)商和建立安全聯(lián)盟，交換密鑰。

圖1 密鑰管理技術(shù)

核心技術(shù)就是DH（Diffie Hellman）交換技術(shù)，首先建立ISAKMP SA，有主模式（Main Mode）和激進(jìn)模式（Aggressive Mode）兩種。在ISAKMP SA的保護(hù)下建立IPSec SA，稱之為快速模式（Quick Mode），A用于最終的IP數(shù)據(jù)安全傳送。

Hash一般翻譯做“散列”，也有直接音譯為“哈?！?。哈希算法的原理如圖2所示，就是把任意長(zhǎng)度的輸入（又叫做預(yù)映射，pre-image），通過(guò)散列算法，變換成固定長(zhǎng)度的輸出，該輸出就是散列值。

圖2 哈希算法的原理

4 VPN隧道技術(shù)

IPSe c是一組開(kāi)放協(xié)議的總稱，特定的通信方之間在IP層通過(guò)加密與數(shù)據(jù)源驗(yàn)證，以保證數(shù)據(jù)包在Internet網(wǎng)上傳輸時(shí)的私有性、完整性和真實(shí)性，它為IP數(shù)據(jù)報(bào)提供了高質(zhì)量的、可互操作的、基于密碼學(xué)的安全性。通過(guò)AH （Authentication Header）和ESP （Encapsulating Security Payload）這兩個(gè)安全協(xié)議來(lái)實(shí)現(xiàn)此功能。IPSec認(rèn)證包頭（AH）是一個(gè)用于提供IP數(shù)據(jù)包完整性和認(rèn)證的機(jī)制。其完整性是保證數(shù)據(jù)報(bào)不被無(wú)意的或惡意的方式改變。AH協(xié)議通過(guò)在整個(gè)IP數(shù)據(jù)報(bào)中實(shí)施一個(gè)消息文摘計(jì)算來(lái)提供完整性和認(rèn)證服務(wù)，安全協(xié)議數(shù)據(jù)封裝格式如圖3所示。

圖3 安全協(xié)議數(shù)據(jù)封裝格式

5 安全關(guān)聯(lián)

安全關(guān)聯(lián)（SA）是最基本的IPSec概念之一，這是對(duì)等體或主機(jī)之間的策略約定。IPSec在兩個(gè)端點(diǎn)之間提供安全通信，端點(diǎn)被稱為IPSec對(duì)等體。安全聯(lián)盟是IPSec的基礎(chǔ)，也是IPSec的本質(zhì)，安全聯(lián)盟是單向的，在兩個(gè)對(duì)等體之間的雙向通信，最少需要兩個(gè)安全聯(lián)盟來(lái)分別對(duì)兩個(gè)方向的數(shù)據(jù)流進(jìn)行安全保護(hù)。安全聯(lián)盟由一個(gè)三元組來(lái)唯一標(biāo)識(shí)，包括SPI（security parameter index，安全參數(shù)索引）、目的IP地址、安全協(xié)議號(hào)（AH或ESP），安全聯(lián)盟的協(xié)商方式如圖4所示。

圖4 安全聯(lián)盟的協(xié)商方式

6 IKE協(xié)議

IK E協(xié)議是建立在由I n t e r n e t安全聯(lián)盟和密鑰管理協(xié)議ISAKMP（internet security association and key management protocol）定義的框架上。它能夠?yàn)镮PSec提供了自動(dòng)協(xié)商交換密鑰、建立安全聯(lián)盟的服務(wù)，以簡(jiǎn)化IPSec的使用和管理。IKE具有一套自保護(hù)機(jī)制，可以在不安全的網(wǎng)絡(luò)上安全地分發(fā)密鑰、驗(yàn)證身份、建立IPSec安全聯(lián)盟。完善的前向安全性（perfect forward secrecy，PFS）是一種安全特性，指一個(gè)密鑰被破解，并不影響其他密鑰的安全性，因?yàn)檫@些密鑰間沒(méi)有派生關(guān)系，PFS由DH算法保障實(shí)現(xiàn)。IKE與IPSec流程圖如圖5所示。

圖5 IKE與IPSec流程圖

7 企業(yè)網(wǎng)配置案例

某企業(yè)北京總公司與上海分公司建立一個(gè)基于站點(diǎn)到站點(diǎn)的VPN，公司總部與分公司拓?fù)浣Y(jié)構(gòu)如圖6所示。北京總部與上海分公司建立IPSec VPN，因?yàn)榭偣局?0.1.2.0/24和分公司的10.1.1.0/24兩個(gè)網(wǎng)段上傳輸是公司的財(cái)務(wù)系統(tǒng)，所以需要兩端的10.1.1.0/24的子網(wǎng)與10.1.2.0/24子網(wǎng)建立VPN訪問(wèn)。

圖6 公司總部與分公司拓?fù)浣Y(jié)構(gòu)圖

上海分公司路由器RouterA的配置過(guò)程（基于銳捷的網(wǎng)絡(luò)設(shè)備）：

北京總公司路由器RouterB的配置過(guò)程（基于銳捷的網(wǎng)絡(luò)設(shè)備）：

8 總結(jié)

IPSec VPN的顯著特點(diǎn)就是它的安全性，這是它保證內(nèi)部數(shù)據(jù)安全的根本。在VPN設(shè)備上，通過(guò)支持所有領(lǐng)先的通道協(xié)議、數(shù)據(jù)加密、過(guò)濾防火墻、通過(guò)RADIUS、LDAP和SecurID實(shí)現(xiàn)授權(quán)等多種方式保證安全。IPSec VPN數(shù)據(jù)機(jī)密性及低成本相結(jié)合的特點(diǎn)，使得該技術(shù)在企業(yè)互連中的應(yīng)用越來(lái)越廣泛。

[1] 吳功才,蔣國(guó)松.楊乃如；基于IPSec協(xié)議的網(wǎng)絡(luò)安全技術(shù)[J].信息與電腦，2012.

[2] 李東生,王震.網(wǎng)絡(luò)安全技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J].中國(guó)科技信息，2009.

[3] 申志強(qiáng).面向互聯(lián)網(wǎng)的防火墻技術(shù)實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù)，2009.

[4] 任清亮.IPv6下IPSec VPN與SSL VPN研究與實(shí)現(xiàn)[D].合肥工業(yè)大學(xué)，2006.

[5] 陳樸.可信VPN系統(tǒng)的用戶認(rèn)證與管理[D].北京交通大學(xué)，2010.