基于IPSec VPN应用研究.docVIP

基于IPSec VPN应用研究 　　摘要:以IPSec VPN系统为研究,重点分析了IPSec协议协议标准、安全服务、安全关联和密钥管理。分析了基于IPSec的VPN系统中的隧道、加解密、用户认证和访问控制等四项关键技术。最后给出了实现IPSec VPN系统的一个设计实例。 　　关键词:VPN;IPSec;隧道技术;加密技术;认证技术;访问控制 　　中图分类号:TP393文献标识码:B文章编号:1009-3044(2010)05-1072-03 　　Research of the IPSec VPN Application 　　QIAO Xiao-lin 　　(Computer Center of Shenzhen Polytechnic, Shenzhen 518055, China) 　　Abstract: The body under study is the VPN system based on The IPSec architecture are introduced and the main mode and principle of IPSec are detailed described here. It also makes a detaied researched and analysis on the four key technologies in VPN.Finally, a case study of using netfilter as a firewall was given. 　　Key words: VPN; IPSec; tunneling technology; encryption technology; authentication technology; access control 　　IPSec是由IETF开发的一套Internet安全协议标准,可以无缝为IP引入安全特性,提高互操作的、高质量的、基于加密的安全服务。IPSec通过2个报头来实现IP层的安全服务―分别是AH(IP认证头,AuthenticationHeader)和ESP (IP安全封装,EncapsulationSecurityPayload)。AH协议提供数据认证和数据完整性服务;ESP通过加密来提供数据的保密性和安全性。 　　1 IPSec协议分析 　　1.1 IPSec协议标准 　　IPsec是用来增强VPN安全性的标准协议。IPsec协议套件可以“无缝”地为IP引入安全特性,提供一种标准的、健壮的以及包容广泛的机制,包括数据起源地验证、无连接数据的完整性验证、数据内容的机密性、抗重播保护以及有限的数据流机密性保证,可被IP及上层协议(如TCP、UDP等)使用。 　　1.2 IPSec安全服务 　　IPsec使用两种协议来为VPN提供安全服务:验证头和封装安全载荷: 　　1) 验证头(AH)。IPsec中的验证头可证明数据的起源地、保障数据的完整性以及防止相同数据包的不断重播,但它不能用来保证数据的机密性。AH通常是可以使用的适当协议。 　　2) 封装安全载荷(ESP)。ESP用于确保IP数据包的机密性、数据的完整性和对数据源的身份验证,同时提供抗重播服务。AH和ESP两种协议均通过在IPsec数据包中使用专门序列号和“滑动”接收窗口技术提供重播服务。针对一致性测试及互通性,IPsec定义了一系列默认的加密算法,这些算法虽可提供常规性质的安全保障,但不适合高度密集的数据和需要必须超长期保密的数据。在IPsec中,可方便直接地增加新的算法,并不会破坏它的共通性。AH和ESP均能同时以传送模式或通道模式工作,在IPsec的传送模式中,IP头与上层协议头之间插入一个特殊的IPsec头,用来保护上层协议。在IPsec的通道模式中,要保护的整个IP包都要封装到另一个IP数据包里,同时在外部与内部IP头之间插入一个IPsec头,用来保护整个IP数据包。图1描述了分别处于传送模式和通道模式下的受IPsec保护的IP头。 　　图1 受IPsec保护的IP包 　　1.3 安全关联(SA) 　　安全关联(SA)解决如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。SA包括加密算法、认证算法和共享的会话钥匙等内容。IPsecSA是单向保护、成对存在。一个SA包括SPI、IPsec协议值和SA指向的目标地址三个基要素。当系统发送一个需要IPsec保护的包时,它在其数据库中查询SA,并应用指定的处理和安全协议,把SA中的SPI插入到IPsec的头中。当IPsec的对等实体接收到该包时,它在其数据库中按目标地址、协议和SPI查询SA,然后根据需要处理该包。 　　1.4 密钥管理