构建基于IPSecVPN实现数据安全传输.docVIP

构建基于IPSecVPN实现数据安全传输 　　摘要: IPSec是网络层的安全协议,它灵活地将加密、认证、密钥管理和访问控制等结合在一起,为Internet提供了一个标准的、安全的网络环境,已经成为了构建VPN的主要方式。 　　关键词: VPN;IPSec;传输模式;隧道模式 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0610037-02 　　 　　0 引言 　　VPN(Virtual Private Network:虚拟专用网)是基于隧道(Tunneling)的技术,它通过Internet公用网络为企业建立安全的Intranet信息安全保障。VPN利用公用网络取代专线连接企业的区域网络,以低成本的绝对优势,为安全数据传输提供了一种有效且易扩充的解决方案。 　　VPN采用数据加密技术,将数据包加密后在Internet等公共网络上传输,通过在公共网络上建立企业的一条专用的、私有的、虚拟通道,为企业提供了一条安全、可靠的数据传输连接,从而使得企业网能够在Internet等公共网络上实现安全有效的延伸。 　　目前,常见的VPN构建方案大致可以分为三类[1]:基于网络层的VPN解决方案,如PPTP、L2F、L2TP;基于传输层的VPN解决方案,如IPSec;介于第四层和第五层之间的VPN解决方案。IPSec是一套工作在网络层的安全协议,它灵活地将加密、认证、密钥管理、访问控制和攻击防范等有效地安全机制有机地结合在一起,基于IPSec构建的VPN以其出色的安全特性,受到了越来越多企业的青睐。 　　1 IPSec VPN系统框架 　　1.1 IPSec的安全特性及工作原理 　　所谓IPSec VPN技术,即是通过IPSec技术建立安全隧道的VPN系统技术。IPSec是由IETF定义的一个开放的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务,包括访问控制、无线连接的完整性、数据源认证、重放攻击防范、信息加密以及流量保密等安全服务。IPSec提供的安全特性如下[2]: 　　1)提供认证,加密,数据完整性和抗重放保护; 　　2)加密密钥的安全产生和自动更新; 　　3)使用强加密算法来保证安全性; 　　4)支持基于证书的认证; 　　5)支持下一代加密算法和密钥交换协议; 　　6)为L2TP和PPTP远程接入隧道协议提供安全性。 　　IPSec的工作原理类似于包过滤防火墙。当IPSec接收到一个IP数据包时,它通过查询IPSec的SPD(Security Policy Database:安全策略数据库)来决定对IP数据包的处理策略。与防火墙不同的是,IPSec对IP数据包的处理不仅仅是简单的转发或丢弃,而是会对其进行特定的IPSec处理,这些处理既可以是只对IP数据包进行加密,也可以是只进行认证,还可以同时实施加密和认证措施。无论是那种处理措施,IPSec都有两种工作模式: 　　1)隧道模式:在隧道模式中,IPSec对整个IP数据包进行加密或认证,同时,重新产生一个新的IP头,IPSec头部被放在新产生的IP头部和以前的IP数据包之间。 　　2)传输模式:在传输模式中,IPSec只对IP数据包的有效负载进行加密或认证,这种情况下,IPSec将自己的协议头插入到数据包原有的IP头之后,数据传输将继续使用原来的IP头部。 　　1.2 IPSec中的三个主要协议 　　IPSec主要功能为加密和认证。为了加密和认证,IPSec还需要有密钥的管理和交换功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理,以上工作分别由IPSec的三个主要的协议来实现。 　　1.2.1 安全关联SA 　　为了说明IPSec VPN的工作机制和实现原理,首先需要明确一个概念:安全关联(Security Association)。在IPSec的整个加密认证过程中,需要管理大量的信息。SA正是IPSec用于跟踪某一个特定IPSec通信会话所涉及的细节问题的一种方法。SA是通信设备双方所协商的安全策略的一种描述,每个SA由一个三元组唯一确定: 　　 　　即:安全参数索引SPI,安全协议识别码,目的IP地址。 　　SA是单向的,也就是说,每一对通信系统连接都至少需要两个SA,每个SA都需要维护一种单独的数据表。当一个系统需要对发送的包使用IPSec来确保信息的安全传输时,它将查询数据库中的SA,根据其相关内容进行特定的处理,处理的结果是将安全连接的SPI插入到IPSec报头中。当通信的对等接收方收到数据包时,就利用SPI和目的IP地址,从网络数据库 查询相对应的SA,之后根据该SA的内容对数据包进行相关的安全处理。 　　1.2.2 认证报头AH 　　AH是IPSec协议之一