IPSec VPN机制的研究.docVIP

IPSec VPN机制的研究 　　摘 要:IPSec是基于IP层实现的网络安全标准,在实际虚拟专用网中得到了广泛的应用,例如通过公网实现私有的安全通信。从体系结构的相关组成部分及相互关系、工作过程中各组成元素之间的相互协作以及数据的输入及输出处理、实施及配置过程中的要点三方面对IPSec进行了深入研究分析,为灵活运用IPSec VPN奠定了基础。 　　关键词:IPSec;安全关联;安全关联数据库;安全策略数据库;AH协议;ESP协议;因特网密钥交换 　　中图分类号:TP311文献标识码:A 　　文章编号:1004-373X(2010)01-081-03 　　 　　Study on IPSec VPN Mechanism 　　LI Deshui 　　(Weinan Teachers University,Weinan,714000,China) 　　Abstract:IPSec(IP Security) is the network security standard based on IP layer,it is widely used in VPN and the private communication is realized by networks.In this paper,the components of architecture and their relations,interactions and the process of input and output data,the key points of implementation and configuration are studied in a deepgoing way,the foundation for IPSec VPN in a flexible way is given. 　　Keywords:IPSec;security association;security association database;security policy database;AH protocol;ESP protocol;Internet key exchange 　　 　　IPSec是IETF于1998年11月颁布的IP层安全标准,其目标是为IPv和 IPv6提供较强的互操作能力、高质量的基于密码技术的信息传输安全体系结构,可以用来实现公司在Internet上或是公共WAN上建立安全的虚拟专用网、保护Internet 上的远程访问、与合作伙伴之间建立安全的外部网和内部网连接等,实现了网络数据机密性、数据完整性、数据源认证、反重放等安全通信。企业构建自己的专用网发展非常迅速,VPN技术得到了广泛的应用,灵活掌握VPN技术已是网络工程师的基本功。 　　 　　1 IPSec体系结构 　　 　　IPSec是一个关于开放标准的框架,体系结构可分为八个部分,如图1所示。 　　安全体系结构概述 包含了一般的概念、定义、安全需求和定义了IPSec技术的机制; 　　ESP(Encapsluating Security Payload,封装安全载荷)协议 定义了有关包加密(可选身份验证)及包格式和提供的服务; 　　AH(Authentication Header,身份验证报头)协议 包含使用 AH进行报身份验证、包格式及提供的服务; 　　加密算法 描述各种加密算法如何用于ESP,如 DES、3DES 等; 　　图1 IPSec 体系结构 　　认证算法 描述各种身份验证算法,如何用于AH和ESP中,如MAC-MD5,HMAC-SHA-1等; 　　密钥管理协议 用于通信实体之间密钥的生成、分发、更新等管理,如IKE(Internet Key Exchange,英特网密钥交换),自动建立加密、认证的安全信道,密钥的自动安全分发和更新; 　　DOI(Domain of Interpretation,解释域) 用于存放密钥管理协议协商的参数,比如加密及认证算法的标识符、运作参数等; 　　安全策略 用于决定两个通信实体之间如何通信,核心由三个部分组成:SA(Security Association,安全关联),SAD(Security Association Database,安全关联数据库),SPD(Security Policy Database,安全策略数据库)。 　　 　　2 IPSec的工作原理 　　 　　IPSec是通过SPD 安全策略数据库,英特网密钥交换协议 IKE、IPSec通信协议AH 和 ESP相互协作来实现数据的安全通信。 　　安全关联SA 是构成IPSec的基础,SA是两个通信实体经过协商建立起来