基于IPSec的VPN技術研究

劉莉

摘 要：IPSec協議是一個IP安全標準，是一組開發協議的總稱，通過加密來確保網絡的安全通信。VPN即虛擬專用網，是在公共網絡上建立一個專用的邏輯上的虛擬網絡。VPN可以提供高的安全性、可靠性和易管理性。采用基于IPSec的VPN技術，可以從傳統的專用網絡轉移到對公共網絡的利用上，極大地降低運營成本，同時保護通信數據的安全性。

關鍵詞：IPSec；VPN；通信

隨著互聯網的發展，計算機網絡在電信、交通、教育、軍事、商業等各個方面的作用日益增加，人們對于網絡的依賴性也越來越大，但隨之而來的問題也越來越多，其中網絡安全問題受到了廣泛的關注。然而，網絡中廣泛使用的TCP/IP協議在設計之初并沒有考慮到數據傳輸的安全性，造成了巨大的安全隱患。

對于企業而言，企業內部之間和企業之間進行交流的時候，需要考慮數據傳輸的安全性和可靠性問題。通常采用的方法是，租用或者組件專用網來實現，但是這樣做會產生昂貴的成本，并且不利于企業對網絡的管理。因此，企業需要成本低、易于管理、安全性高的方案，來應用于企業外聯網和企業內部網絡中。基于IPSec的VPN技術，很好的解決了這一問題，并在企業網建設中得到了廣泛的應用。

1 VPN技術概述

虛擬專用網VPN是在公共網絡中建立私有的專用虛擬鏈路進行通信的網絡，通過公共網絡來完成私有網絡的數據傳輸，其中涉及加密、認證等多種網絡安全技術。

根據不同的需求，可以構造三類VPN：企業內部虛擬專用網Intranet VPN、遠程訪問虛擬專用網Remote Access VPN和企業擴展虛擬專用網Extranet VPN。

簡單來說，Intranet VPN是總部與分公司之間的用戶進行通信的內部網VPN，用戶之間進行通信的數據都需要經過加密和認證，Remote Access VPN是企業員工在企業外部訪問企業內網所構建的VPN，Extranet VPN則是不同企業之間進行通信的VPN。

2 基于IPSec的VPN技術

IPSec VPN技術保證了利用公共網絡進行數據傳遞的安全性和可靠性，其實質就是利用IPSec協議來建立安全隧道進行數據通信的VPN技術。

IPSec（IP Security），即IP安全協議，是IETF（因特網工程任務組）于1998年11月公布的IP安全標準，它是一組開發協議的總稱。IPSec協議目標是為IPv4和IPv6提供具有較強的互操作能力、高質量和基于密碼的安全。它是一個開放性的標準框架，不僅為因特網提供了基本的安全功能，而且為創建健壯安全的虛擬專用網絡（VPN）提供了靈活的手段。

大部分IPSec實施方案的組件都包括：認證頭AH和封裝安全載荷ESP，安全策略數據庫SPD，安全聯盟數據庫SADB，Internet密鑰交換IKE，策略和SA管理，以及一系列加密認證算法等。

AH協議用來向IP通信提供數據完整性和身份驗證，同時可提供抗重播服務。

ESP協議提供IP加密保證和驗證數據源以對付網絡上的監聽，因為AH雖然可以保護通信免受篡改，但并不對數據進行變形變換，數據對于黑客而言仍然是清晰的，為了有效地保證數據傳輸安全，提供ESP進一步來提供數據保密性同時防止篡改。

IPSec VPN具有高的靈活性、強大的安全性、多業務性、降低建網費用、冗余性、通道分離性、易于管理等特點。使用IPSec VPN通信的時候，需要在發送方進行身份認證，以便于系統劃分客戶權限，在VPN交換機根據安全策略為數據包加上AH或者ESP頭，然后進行IKE處理，對處理之后的數據包采用隧道模式封裝，進而進行數據的發送。接收方收到數據包之后，剝離IP頭，使用數據包中的AH或者ESP頭調用IESec層，摘錄出SPI，并從SAD中去除SA，以判斷數據包是否丟棄，然后進行安全性、完整性驗證等操作。

IPSec VPN提供了強大的安全性，其結合現有的RADIUS、LDAP等認證技術實現用戶的認證授權，支持多種通道協議、數據加密方法和過濾功能，并且內置防火墻功能，可以實現從公網到私網的接口數據傳輸。

由于VPN直接利用公共網絡建立，因此造價低廉，并且由于公共網絡布網的全球性，使得IPSec VPN十分靈活，可以連接到任意地點的分支。

為了保障VPN隧道和設備的可靠性，可以采用冗余機制，增加備份鏈路和設備。由于對用戶的權限進行了設置，可以使得用戶安全、靈活地訪問內部網絡、外部網絡和其他聯網企業的網絡資源，同時IPSec VPN支持IP話音、視頻等多種業務數據的傳輸，滿足不同用戶的需求。

3 小結

IPSec協議作為IP網絡通信中的安全保障，在網絡安全通信中起著非常重要的作用，而基于IPSec的VPN技術，利用公共網絡建設虛擬隧道進行通信，大大降低了網絡建設和運營的成本，同時為數據的傳輸提供了可靠的安全保障，目前已經得到廣泛應用，且性能穩定。

參考文獻：

[1] Kent S， Atkinson R. IP Encapsulating Security Payload[S]. RFC2406 IETF，1998.

[2] 鄭博.基于IPSec的VPN技術及應用[J].數字技術與應用，2011（9）：53-54.

[3] 何亞輝，肖路，陳鳳英.基于IPSec的VPN技術原理與應用[J].重慶工學院學報，2006，20（11）：114-117.

[4] 王鳳領.基于IPSec的VPN技術的應用研究[J].計算機技術與發展，2012，22（9）：250-253.