基于IPSec的网络安全设备设计与实现.docVIP

基于IPSec的网络安全设备设计与实现 　　【摘 要】在距离远、范围广、信道多样的通信IP网中传输密级高的重要数据，使用基于IPSec VPN技术能很好的防止数据被更改或窃取，维护数据的安全性与完整性。简要阐述了IPSec协议的相关原理，设计了一种基于IPSec的网络安全设备，并对该设备进行了应用研究。 　　【关键词】IPSec；ESP；VPN；网络安全设备 　　0 引言 　　TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分，但网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网，网络的安全性尤其重要。 　　IPSec（Internet Protocol Security）在IP层提供安全服务，使得一个系统可以选择需要的协议，决定为这些服务而使用的算法，选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关（如路由器或防火墙）之间或主机与安全网关之间的数据包的安全。因此，采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。 　　1 IPSec概述 　　IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范，提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力，保证了IP数据报的高质量性、保密性和可操作性，它为私有信息通过公用网提供了安全保障。通过IKE（IPSec Key Exchange，自动密钥交换）将IPSec协议简化使用和管理，使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN（Virtual Private Network，虚拟专用网）网关具有数据安全性、完整性、成本低等几方面的优势。 　　使用IPSec协议是用来对IP层传输提供各种安全服务，主要包括两种安全协议，即AH（Authentication Header，验证头）协议和ESP（Encapsulating Security Payload，封装安全载荷）协议。AH协议通过使用数据完整性检查，可判定数据包在传输过程中是否被修改；通过使用验证机制，终端系统或网络设备可对用户或应用进行验证，过滤通信流，还可防止地址欺骗攻击及重放攻击。ESP协议包含净负荷封装与加密，为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下，ESP协议安全性更高，与此同时其实现复杂性也较高，本文设计的网络安全设备采用ESP协议。 　　2 网络安全设备设计 　　2.1 设备加解密原理 　　图1 设备加密工作原理 　　为确保重要数据传输安全可靠，需在通信IP网中增加保密措施，因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能，包括网络管理、密钥管理、策略管理、配置管理、热备管理、信道协商等功能；硬件模块主要完成数据处理层面的功能，包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能，设备加密工作原理如图1所示。 　　当设备收到用户IP包时，先判断其是否为保密数据，如果是，则在该IP数据前加入一个ESP头，然后发送到公网。ESP头紧跟在IP头后面，ESP占用IP协议标识值为50。对IP包的处理遵守以下规则：对于要发送到公网的IP包，先加密，后验证；对于从公网上收到的IP包，先验证，后解密。 　　当设备要发送一个IP包时，它在原IP头前面插入一个ESP头，并将ESP头中的下一个头字段改为4，根据密钥管理协议协商得到的SPI（Security Parameters Index，安全参数索引）值填入到ESP头中，并分配一个序列号，同时根据算法要求插入填充字段，并计算填充长度。在ESP头的前面插入一个新的IP头，源地址为设备的IP地址，目的地址为对端设备的IP地址，并对相应的字段赋值，在做完以上处理后，对IP包加密，并进行验证，将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。 　　远端设备接收到一个ESP包后，首先检查这个包是否有相关的SA（Security Association，安全关联）存在，如果不存在，则将该包丢弃。如果存在，则进行下一步处理。首先检查序列号，如果序列号无效（一个重复的包），则将该包丢弃。如果有效，则进行下一步处理。根据对应的SA对这个包进行验证，并将验证结果与IP包中的验证字段比较，若不一致，则丢弃，若一致，下面就进行解密，并根据填充内容来判断解密是否正确，因为填充数据可以通过约定事先知道。在验证和解密成功后，就对IP包进行初步地有效性检验，这个IP包的格式与SA要求