IPSei在构建企业VPN中的应用.pdfVIP

I PSeo在构建企业VPN中的应用 续欣汤凯马刈非 21 中国人民解放军理工是学通信工程学院 0016) vate rtualPri Netwo 摘要：表支在分析vPK(vi rk)路径中各姐戍部分安全的基础上，具 PSec安全*议。 体讨论了如何在企业FPN的几种典型结构中实施1 关键诃：忡N l PSec网络哥全 e 随着Iaterilet的大规模应用，Intrilet已经成为一种被广泛使用的网络资源。越来 越多的企业开始考虑在rnternet上拘建自己安全的虚拟专用网(VPN)，以取代传统的私有 专用翮。但构建VPN最大的问题是，如何在Internet上进行通信时保证信息的安全， 由IETF的IPSec工作组提出的IPSec安全协议为企业构建VPN提供了完善的解决方 案。IPSec协议能够提供数据源认证，数据完整性和数据保密性的安全服务，并自动管理 密钥和安全关联(SA)．它不仅能够集成现有的加密算法，也可以随时加八最新的加密算 法。由于运行在IP层固此不需要修改上层的应用，从而为用户提供了透明服务。在新一 代IDteFilet协议：PV6中，也将完全支持IPSec． 本文首先分析VPN路径中各个组成部分的安全问题，然后通过企业VPN几种典型的结 构，具体描述如何实施IPSec。文中不对IPSec技术本身进行讨论，关于IPSec可参见相 关RFC。 1．VPN中端到端路径的组成 首先，IPSec如何为VPN提供端到端安全的问题与VPN端到端路径的组成有关．在此 基础上，根据不同组成部分的特点，使用不同的方法，从而可以为FPN提供端到端的安 全．典型的VPN端到端的路径共分为三个组成部分： 1)拔八鄙分(Dja卜in)：随着移动用户的增加，远程访问已成为一种普遍的接八方 式．为了访问公司的网络，远程用户一般首先通过电话线拔号到IsP，他们之间通常使用 PPP协议。 e 2)开放网络部分(Iatefnet)：Intrnet已经成为最主要的连接企业间内部网络的 rnet不是由一个机构来管理的，而是受不同管 骨干网，它的最大特点就是开放性，即Inte 理机构的控制。另外，由于IP协议是无连接协议，每个数据报往立寻径。具有相同源地址 与目的地址的两个数据报可能会走不同的路径，而具有不同源地址与目的地址的两个数据 报也可能走相同的路径，于是两个公司的VPN中传输的数据就有可能在司一条路径上相 遇。由此可以看出，VPN本质上也是开放的． 3)内部网络部分(IntrgHel)：在VPN端到端的路径中，只有内鄙网络才是由公司 管理的。通常，内部网中的数据是由岔司内部职员产生的．但是在现在的商业活动中，供 应商或商业伙伴往往要访问其他公司的内部服务器，因此，内部网中数据有可能采自许多 不同的公司，所以很难确定哪些内部网是可信的，哪些是不可信的。一个公司认为自己的 内部网是可信的，但同时商业伙伴却可能认为它是不可信的。在这种环境下，VPN的设计 者曲须同时考虑内部网和外部网的安全问题． sP 在VPN端到端的路径中，有四种类型的机器，它们分别是：远程主机、目的主机，I 访问服务嚣和安全网关(防火墙)。在这些机器上运行的协议主要提供地址分配、隧道和 IP安全的功能。各种安全解决方案可以在这些类型的机器上实施．不过由于每个公司只能 sP以及1叭efne 对自己的网络实施管理，所以对I c中的路由器而言，就不能要求其史持 1PSec。 2． VPN中安全问题的考虑 379