IPSeVPN技术的分析与研究.doc

IPSecVPN技术的分析与研宄 :本文对IPsec协议的基本数据结构和安全 特性进行分析，讨论了 VPN关键技术和隧道协议，在 此基础上给出了以IPsec为隧道协议的VPN基本工作 原理，通过SSLVPN与IPsec VPN比较，得出IPsecVPN 的优缺点及其适用的工作场景。 关键词：IPsec； AH； EPS； VPN; SSL TP393.08 A 1概述 IPSec 的英文全名为 “Internet Protocol Security”， 中文名为“因特网安全协议”、这个安全协议是VPN的 基本加密协议，它为数据通过公用网络（如因特网） 在网络层进行传输时提供安全保障。通信双方要建立 IPSec通道，首先要采用一定的方式建立通信连接，因 为IPSec协议支持几种操作模式，所以通信双方先要 确定所要采用的安全策略和使用模式，包括加密运算 法则和身份验证方法类型等。在IPSec协议中，一旦 IPSec通道建立，所有在网络层之上的协议在通信双方 都经过力口密，如 TCP、UDP 、SNMP、HTTP、POP、AIM、 KaZaa等，而不管这些通道构建时所采用的安全和加 密方法如何。 2IPsec原理 2.1安全特性[1] IPSec的安全特性主要有： 2.1.1不可否认性 “不可否认性”可以证实消息发送方是唯一可能 的发送者，发送者不能否认发送过消息。“不可否认性” 是采用公钥技术的一个特征，当使用公钥技术时，发 送方用私钥产生一个数字签名随消息一起发送，接收 方用发送者的公钥来验证数字签名。由于在理论上只 有发送者才唯一拥有私钥，也只有发送者才可能产生 该数字签名，所以只要数字签名通过验证，发送者就 不能否认曾发送过该消息。 2.1.2反重播性 “反重播”确保每个IP包的唯一性，保证信息万 一被截取复制后，不能再被重新利用、重新传输回目 的地。 2.1.3数据完整性 防止传输过程中数据被篡改，确保发出数据和接 收数据的一致性。IPSec利用Hash函数为每个数据包 产生一个加密检查和，接收方在打开包前先计算检查 和，若包遭篡改导致检查和不相符，数据包即被丢弃。 2.1.4数据可靠性（加密） 在传输前，对数据进行加密，可以保证在传输过 程中即使数据包遭截取，信息也无法被读。该特性在 IPSec中为可选项，与IPSec策略的具体设置相关。 2.2数据包结构[2] 2.2.1认证头 认证头（AH）被用来保证被传输分组的完整性和 可靠性。此外，它还保护不受重放攻击。 表1认证头分组 01230 123456 70 123456 70 123456 70 12 3 45 6 7下一个头载荷长度保留安全参数索引（SPI） 序列号认证数据（可变长度）字段含义： 下一个头：标识被传送数据所属的协议。 载荷长度：认证头包的大小。 保留：为将来的应用保留（目前都置为0）. 安全参数索引与 安全参数索引 与IP地址一同用来标识安全参 序列号：单调递增的数值，用来防止重放攻 认证数据：包含了认证当前包所必须的数据。 2.2.2封装安全载荷（ESP） 封装安全载荷（ESP）协议对分组提供了源可靠性、 完整性和保密性的支持。与AH头不同的是，IP分组 头部不被包括在内。 字段含义： 安全参数索引：与IP地址一同用来标识安全参数。 序列号：单调递增的数值，用来防止重放攻击。 载荷数据：实际要传输的数据。 填充：某些块加密算法用此将数据填充至块的长 度。 填充长度：以位为单位的填充数据的长度。 下一个头：标识被传送数据所属的协议。 认证数据：包含了认证当前包所必须的数据。 3VPN原理 3.1VPN的基本概念[3] 在 VPN（Virtual Private Network，虚拟专用网络）中， 任意两个节点之间的连接并没有传统专网所需的端到 端的物理链路，而是利用某种公众网的资源动态组成 的。虚拟专用网对用户端透明，用户好像使用一条专 用线路进行通信。 3.2VPN的关键技术[4] 目前VPN主要采用四项技术来保证安全，这四项 技术分别是隧道技术(Tunneling)、加解密技术 (Encryption Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术 (Authentication)。 3.2.1隧道技术 隧道是一种利用公网设施，在一个网络之上的“网 络”传输数据的方法，被传输的数据可以是另一协议 的帧。隧道协议用附加的报头封装帧，附加的报头提 供了路由信息，因此封装后的包能够通过中间的公网。 封装后的包所途经的公网的逻辑路径称为隧道。一旦 封装的帧到达了公网上的目的地，帧就会被解除封装 并被继续送到最终目的地。 3.2.2加解密技术 加解密技术是数据通信中一项较成熟的技术， VPN可直接利用