基于IPSECVPN技术分析和应用.docVIP

基于IPSECVPN技术分析和应用 　　【摘要】： 文章主要分析基于IPSEC的VPN技术。VPN是一项综合性的网络新技术，它涉及到通信技术、密码技术和现代认证技术，是一项交叉科学。虽然该技术尚未得到广泛应用，但是随着国民经济信息化进程的加快，特别是网上政府、电子商务的推动，VPN技术将会大有用武之地。 　　【关键词】：VPN；安全；IPSEC 　　中图分类号：TP3 文献标识码：C 文章编号：1002-6908(2008)0810042-01 　　 　　随着网络经济的发展，传统企业网络功能的缺陷日益突出。传统企业网络基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，VPN以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，更多地致力于企业商业目标的实现。 　　 　　一、VPN概述 　　 　　所谓VPN(Virtual Private Network，虚拟私有网络)是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网，即利用公用网络来构建的私有专用网络。它提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。VPN通常由三个部分组成：客户机、传输介质和服务器，但它的连接通常使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet、帧中继、ATM等。 　　为了保障信息在Internet上传输的安全性，VPN技术采用了认证、存取控制、机密性、数据完整性等措施，以保证了信息在传输中不被偷看、篡改、复制。由于使用Internet进行传输相对于租用专线来说，费用极为低廉，所以VPN的出现使企业通过Internet既安全又经济地传输私有的机密信息成为可能。VPN技术除了可以节省费用外，还具有其它特点，如伸缩性、灵活性和易于管理等。 　　 　　二、基于IPSec规范的VPN技术 　　 　　IPSec(IP Security)用于提供IP层的安全性。由于所有支持TCP／IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。 　　IPSec的工作原理类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发。 　　IPSec通过查询SPD(Security Po1icy Database安全策略数据库)决定对接收到的IP数据包的处理。不同于包过滤防火墙的是，IPSec对IP数据包的处理方法除了丢弃，直接转发(绕过IPSec)外，还有一种，即进行IPSec处理。正是这新增添的处理方法IPSec提供了比包过滤防火墙更进一步的网络安全性。 　　进行IPSec处理意味着对IP数据包进行加密和认证。IPSe可以只对IP数据包进行加密，或只进行认证，也可以两者皆可。但无论是进行加密还是进行认证，IPSec都有两种工作模式，一种是传输模式，另一种是隧道模式。传输模式只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，而IPSec协议头部插入到IP头部和传输层头部之间。隧道模式对整个IP数据包进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。 　　IPSec主要功能是加密和认证，为了进行加密和认证IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由ESP(Encapsulating Secuity Payload ),AH(Authentication Header)，)和IKE (Internet Key Exchange)三个协议规定。ESP协议主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法。AH只涉及到认证，不涉及到加密。AH虽然在功能上和ESP有些重复，但AH除了可以对IP的有效负载进行认证外，还可以对IP头部实施认证。而ESP的认证功能主要是面对IP的有效负载。 　　IKE协议主要是对密钥交换进行管理，它主要包括三个功能 　　1. 对使用的协议、加密算法和密钥进行协商。 　　2. 方便的密钥交换机制(这可能需要周期性的进行)。 　　3. 跟踪对以上这些约定的实施。