IPSec VPN技术在企业中应用.docVIP

IPSec VPN技术在企业中应用 　　摘 要：本文介绍了IPSec vpn使用的技术及协议，讲述了企业利用IPSec 部署VPN的形式和方法。 　　关键词：VPN；隧道技术；加密技术；IPSec 　　随着信息化技术的发展，信息技术也应用到企业生产活动的各个方面。越来越多的信息系统开始上线运行，如ERP，LES系统，MRO系统，办公自动化系统等。不光是企业内部员工，出差员工、众多分支企业及合作伙伴也需要访问上述系统。这些应用需求都要求有一种网络技术能够实现远程接入到企业内网。这种网络技术不但要保证网络的联通性，还要保证数据传输过程中的安全性，和解决方案的经济性。 　　传统租用线路或通道的方式使用费用高、链路速率低、开通过程繁琐；近年来出现的IPSEC VPN（虚拟专用网）技术提供了一种更好的解决方案。它只需要用户开通Internet就能够实现与总部的连接，并通过多种安全技术，如身份认证、隧道技术、加密技术等保证数据传输的安全性。由于VPN的开通与电信运营商无关，VPN的开通和撤销都由企业用户自己控制，使用也比较灵活。 　　1.vpn中的关键技术 　　vpn关键技术包括：隧道技术，身份认证技术，和数据加密技术。 　　隧道技术：为了使企业网内一个局域网的数据透明的穿过公用网到达另一个局域网，虚拟专用网采用一种称之为隧道的技术。隧道技术（Tunneling Technology）在计算机网络和数据通信领域有着十分重要的作用。它是一种通过使用互联网络的基础设施在网络之间传递数据的方式。利用它可在一条广域网链路上，从数据源到目的节点之间建立一条隧道。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。 　　隧道技术包含了数据封装、传输和解包在内的全过程。如果将加密技术引人隧道协议，即数据包经过加密后按隧道协议进行封装，沿隧道传输，就可以确保其安全性，从而在一条不安全的共享链路上建立一条能确保数据安全的有效通道，达到延伸网络的目的。 　　身份认证技术： 用户认证技术（User Authentication Technology）是指在隧道连接正式开始之前确认用户的身份，以便系统进一步实施资源访问控制或用户授权（Authorization）。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长度可变的长报文通过函数变换，映射为一段长度固定的段报文即摘要。由于HASH函数的特性，使得要找到两个不同的报文具有相同的摘要是非常困难的。该特性使得摘要技术在VPN中有两个用途： 　　验证数据的完整性。 　　用户认证。 　　常用的HASH函数有MD5，SHA-1等。在IPSec VPN中缺省的认证算法HMAC-MD5和HAC-SHAI。 　　数据加密技术：当数据包传递时，数据加密技术用来隐藏数据包。如果数据包通过不安全的Internet ，那么即使一级建立了用户认证，VPN也不完全是安全的。因为如果没有加密的话，普通的嗅探技术也能捕获数据包，甚至更改信息流。所以在隧道的发送端，认证用户要先加密，再传送数据：在接收端，认证用户后再解密。同时，大多数的隧道协议没有指出使用那种加密和认证技术，这使得在加密 和认证技术上存在着许多不同的算法。 　　在IPSec VPN中可选算法包括3DES（Triple-DES），RCS，IDEA，CAST，BLOWFISH，RC4，RSA和椭圆曲线算法等，缺省的加密算法是DES-CBC。 　　2.IPSec的协议组成 　　IPSec安全体系结构把多种安全技术集合到一起，可以建立一个安全、可靠的隧道。IPSec由IETF的IPSec工作组制订，是一个开放性的标准框架。 　　IPSec为保障IP数据包的安全，定义了一个特殊的方法，它规定了要保护什么通道、如何保护它以及通信数据发给任何人。IPSec可保障主机之间、网络安全网关（如路由器或防火墙）之间或主机与安全网关之间的数据包的安全。 　　IPSec 协议主要由三个部分组成：验证包头协议AH（Authentication Header）、封装安全载荷协议ESP（Encapsulating Security Payload），Internet 密钥交换协议IKE（Interne Key Exchange）。 　　AH 　　设计认证头（AH）协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，然而，AH不提供任何保密性服务，它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的数码认证，以确保被修改的数据包可以被检查出来。AH使用消息认证码（MAC）对IP进行认证。 　　AH的工作机制如下：利用单向的信息摘要算法，对整个IP分组或上层协议计算一个摘要并作为该IP