基于IPSec的網絡安全系統設計與VPN構建實現

2017-12-29 13:16:32朱海水永城職業學院

數碼世界 2017年5期

朱海水永城職業學院

朱海水永城職業學院

IPSec在IP層提供安全服務，使得一個系統可以選擇需要的協議，決定為這些服務而使用的算法，選擇提供要求的服務所需要的任何密鑰。IPSec可保障主機之間、網絡安全網關（如路由器或防火墻）之間或主機與安全網關之間的數據包的安全。因此，采用基于IPSec的網絡安全設備可為重要數據安全傳輸提供保障。

IPSec ESP VPN 網絡安全設備

在設計網絡安全設備時采用IPSec協議，使用ESP對傳輸的數據進行嚴格的保護，可大大增強IP站點間安全性。在傳輸重要數據的通信IP網中使用本文設計的基于IPSec的網絡安全設備構建VPN能很好地防止數據被更改或竊取，確保數據傳輸的安全性。

1 IPSec概述

IPSec協議是IETF提供的在Internet上進行安全通信的一系列規范，提供了在局域網、專用和公用的廣域網和Internet上的安全通信的能力，保證了IP數據報的高質量性、保密性和可操作性，它為私有信息通過公用網提供了安全保障。通過IKE將IPSec協議簡化使用和管理，使IPSec協議自動協商交換密鑰、建立和維護安全聯盟服務。使用IPSec協議來設計實現的VPN網關具有數據安全性、完整性、成本低等幾方面的優勢。

2 網絡安全設備設計

2.1 設備加解密原理

為確保重要數據傳輸安全可靠，需在通信IP網中增加保密措施，因此本文設計了基于IPSec的網絡安全設備。設備采用軟件和硬件相結合的方式實現IPSec協議體系。軟件模塊主要完成控制層面的功能，包括網絡管理、密鑰管理、策略管理、配置管理、設備管理、信道協商等功能；硬件模塊主要完成數據處理層面的功能，包括數據包的協議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能。

當設備收到用戶IP包時，先判斷其是否為保密數據，如果是，則在該IP數據前加入一個ESP頭，然后發送到公網。ESP頭緊跟在IP頭后面，ESP占用IP協議標識值為50。對IP包的處理遵守以下規則：對于要發送到公網的IP包，先加密，后驗證；對于從公網上收到的IP包，先驗證，后解密。

當設備要發送一個IP包時，它在原IP頭前面插入一個ESP頭，并將ESP頭中的下一個頭字段改為4，根據密鑰管理協議協商得到的SPI值填入到ESP頭中，并分配一個序列號，同時根據算法要求插入填充字段，并計算填充長度。在ESP頭的前面插入一個新的IP頭，源地址為設備的IP地址，目的地址為對端設備的IP地址，并對相應的字段賦值，在做完以上處理后，對IP包加密，并進行驗證，將驗證數據插入ESP尾部。最后計算最前面的IP頭的校驗和。

2.2 硬件結構設計

網絡安全設備采用模塊化的設計思路，各硬件功能模塊之間采用接插件方式連接，設備主板是數據處理核心模塊，其他各模塊通過接插件與其連接。承載了業務安全處理、加解密等設備的核心功能。其上的主控模塊運行Vxworks操作系統，承載設備嵌入式軟件，全面管理設備軟硬件運行狀態。板載密碼模塊完成業務數據的高速加解密處理。

接口板包括用戶口和網絡口兩塊接口板，通過高速接插件插在設備主板上。接口板上的千兆MAC芯片通過業務和控制線纜連接到后接線板。

IC卡讀卡器通過RS232接口線纜與設備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應的直流電源。后接線板提供千兆口、100/1000自適應電口的用戶業務接入，本地控制接入。

3 VPN構建

網絡安全設備專門用于在TCP/IP體系的網絡層提供鑒別、隧道傳輸和加解密功能。通過對IP層加解密，可以支持大多數用戶業務，對局域網重要數據進行加密保護，通過公共通信網絡構建自主安全可控的內部VPN，集成一定的包過濾功能，使各種重要數據安全、透明地通過公共通信環境，是信息系統安全保障體系的基礎平臺和重要組成部分。設備部署在局域網出口處，通過對IP數據的加解密，可以保證局域網數據在公共信道上傳輸的安全性。

與設備相連的內部網受到IPSec保護，這個內部網可連入不安全的公用或專用網絡，如衛星通信、海事和專用光纖等。在一個具體的通信中，兩個設備建立起一個安全通道，通信就可通過這個通道從一個本地受保護內部網發送到另一個遠程保護內部網，就形成了一個安全虛擬網。當位于某個安全內部網的主機要向另一個位于安全內部網的主機發送數據包時，源端網絡安全設備通過IPSec對數據包進行封裝，封裝后的數據包通過隧道穿越公用網絡后到達對端網絡安全設備。由于事先已經經過協商，收端網絡安全設備知道發端所使用的加密算法及解密密鑰，因此可以對接收數據包進行封裝。解封裝后的數據包則轉發給真正的信宿主機，反之亦然。

TCP/IP協議的開放性、靈活性使得基于IP技術的通信系統成為各類通信網絡的主要構成部分，但網絡上的IP數據包幾乎都是用明文傳輸的，非常容易遭到竊聽、篡改等攻擊。特別是傳輸重要數據的通信IP網，網絡的安全性尤其重要。

[1]劉春艷.基于IPSec的VPN網關設計與實現[J].網絡安全技術與應用，2013，11

[2]王妍.基于IPSec的VPN系統設計與實現[D].電子科技大學，2013