IPSec VPN技術在企業網絡安全中的應用

盧曉麗

（遼寧機電職業技術學院信息工程系 遼寧 118009）

0 前言

隨著計算機技術的飛速發展，計算機信息安全問題越來越受關注。信息安全技術迅猛發展，信息網絡已經成為社會發展的重要保證。信息網絡涉及到企業、政府、軍事等諸多領域，其中有很多是敏感信息，特別是商業機密，在所難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。如何構建企業級信息安全體系，保護企業利益和信息資產不受侵害，已成為企業迫切需要解決的問題。而VPN的出現則較好的解決了這些企業所擔心的網絡安全問題。IPsec VPN技術無論從擴展性、安全性還是應用性都完全可以滿足企業級網絡安全的需求。

1 IPSec簡介

IPsec（Intern et 協議安全性）是一種開放標準的框架結構，通過使用加密的安全服務以確保在IP (Internet 協議)網絡上進行保密而安全的通訊。包括安全協議(Security Protocol)和密鑰交換協議（IKE），由IETF（Internet Engineering TaskForce，Internet 工程任務組）開發的，可為通訊雙方提供訪問控制、無連接的完整性、數據來源認證、反重放、加密以及對數據流分類加密等服務的一系列網絡安全協議的總稱，其中安全協議又包括AH（頭驗證協議）和ESP（安全封裝載荷）；而IKE是一種基于ISAKMP（Internet Security Association and Key Management Protocol，互聯網安全關聯和密鑰管理協議）中TCP/IP框架，合并了Oakley（密鑰交換協議）的一部分和SKEME（密鑰技術協議）的混合協議。

2 IPSec的安全特性

“不可否認性”可以證實消息發送方是唯一可能的發送者，發送者不能否認發送過消息。當使用公鑰技術時，發送方用私鑰產生一個數字簽名隨消息一起發送，接收方用發送者的公鑰來驗證數字簽名。由于在理論上只有發送者才唯一擁有私鑰，也只有發送者才可能產生該數字簽名，所以只要數字簽名通過驗證，發送者就不能否認曾發送過該消息。但“不可否認性”不是基于認證的共享密鑰技術的特征，因為在基于認證的共享密鑰技術中，發送方和接收方掌握相同的密鑰。

IPSec接收方可根據數據包數據段前加入的32位序列號來檢測每個IP包的唯一性并拒絕接收過時或重復的報文，以防止攻擊者截取破譯信息后，再用相同的信息包冒取非法訪問權（即使這種冒取行為發生在數月之后）。

IPSec接收方利用md5、sha-1等哈希算法對發送方發送來的包進行認證，防止傳輸過程中數據被篡改，確保發出數據和接收數據的一致性。

IPSec發送方在通過DES、3DES、AES等對稱加密算法在網絡傳輸包前對包進行加密，保證在傳輸過程中，即使數據包遭截取，信息也無法被讀。該特性在IPSec中為可選項，與IPSec策略的具體設置相關。

3 加密與解密技術

密鑰管理（KeyManagement）的主要任務就是來保證在開放網絡環境中安全地傳輸密鑰，而不被黑客竊取，密鑰管理技術如圖1所示。Internet密鑰交換協議（IKE）用于通信雙方協商和建立安全聯盟，交換密鑰。

圖1 密鑰管理技術

核心技術就是DH（Diffie Hellman）交換技術，首先建立ISAKMP SA，有主模式（Main Mode）和激進模式（Aggressive Mode）兩種。在ISAKMP SA的保護下建立IPSec SA，稱之為快速模式（Quick Mode），A用于最終的IP數據安全傳送。

Hash一般翻譯做“散列”，也有直接音譯為“哈希”。哈希算法的原理如圖2所示，就是把任意長度的輸入（又叫做預映射，pre-image），通過散列算法，變換成固定長度的輸出，該輸出就是散列值。

圖2 哈希算法的原理

4 VPN隧道技術

IPSe c是一組開放協議的總稱，特定的通信方之間在IP層通過加密與數據源驗證，以保證數據包在Internet網上傳輸時的私有性、完整性和真實性，它為IP數據報提供了高質量的、可互操作的、基于密碼學的安全性。通過AH （Authentication Header）和ESP （Encapsulating Security Payload）這兩個安全協議來實現此功能。IPSec認證包頭（AH）是一個用于提供IP數據包完整性和認證的機制。其完整性是保證數據報不被無意的或惡意的方式改變。AH協議通過在整個IP數據報中實施一個消息文摘計算來提供完整性和認證服務，安全協議數據封裝格式如圖3所示。

圖3 安全協議數據封裝格式

5 安全關聯

安全關聯（SA）是最基本的IPSec概念之一，這是對等體或主機之間的策略約定。IPSec在兩個端點之間提供安全通信，端點被稱為IPSec對等體。安全聯盟是IPSec的基礎，也是IPSec的本質，安全聯盟是單向的，在兩個對等體之間的雙向通信，最少需要兩個安全聯盟來分別對兩個方向的數據流進行安全保護。安全聯盟由一個三元組來唯一標識，包括SPI（security parameter index，安全參數索引）、目的IP地址、安全協議號（AH或ESP），安全聯盟的協商方式如圖4所示。

圖4 安全聯盟的協商方式

6 IKE協議

IK E協議是建立在由I n t e r n e t安全聯盟和密鑰管理協議ISAKMP（internet security association and key management protocol）定義的框架上。它能夠為IPSec提供了自動協商交換密鑰、建立安全聯盟的服務，以簡化IPSec的使用和管理。IKE具有一套自保護機制，可以在不安全的網絡上安全地分發密鑰、驗證身份、建立IPSec安全聯盟。完善的前向安全性（perfect forward secrecy，PFS）是一種安全特性，指一個密鑰被破解，并不影響其他密鑰的安全性，因為這些密鑰間沒有派生關系，PFS由DH算法保障實現。IKE與IPSec流程圖如圖5所示。

圖5 IKE與IPSec流程圖

7 企業網配置案例

某企業北京總公司與上海分公司建立一個基于站點到站點的VPN，公司總部與分公司拓撲結構如圖6所示。北京總部與上海分公司建立IPSec VPN，因為總公司中10.1.2.0/24和分公司的10.1.1.0/24兩個網段上傳輸是公司的財務系統，所以需要兩端的10.1.1.0/24的子網與10.1.2.0/24子網建立VPN訪問。

圖6 公司總部與分公司拓撲結構圖

上海分公司路由器RouterA的配置過程（基于銳捷的網絡設備）：

北京總公司路由器RouterB的配置過程（基于銳捷的網絡設備）：

8 總結

IPSec VPN的顯著特點就是它的安全性，這是它保證內部數據安全的根本。在VPN設備上，通過支持所有領先的通道協議、數據加密、過濾防火墻、通過RADIUS、LDAP和SecurID實現授權等多種方式保證安全。IPSec VPN數據機密性及低成本相結合的特點，使得該技術在企業互連中的應用越來越廣泛。

[1] 吳功才,蔣國松.楊乃如；基于IPSec協議的網絡安全技術[J].信息與電腦，2012.

[2] 李東生,王震.網絡安全技術在校園網中的應用與研究[J].中國科技信息，2009.

[3] 申志強.面向互聯網的防火墻技術實現[J].電腦知識與技術，2009.

[4] 任清亮.IPv6下IPSec VPN與SSL VPN研究與實現[D].合肥工業大學，2006.

[5] 陳樸.可信VPN系統的用戶認證與管理[D].北京交通大學，2010.