通信工程師考試培訓(xùn)基于IPSec的VPN實(shí)現(xiàn)[1]

點(diǎn)擊通信工程師考試在線輔導(dǎo)招生

點(diǎn)擊通信工程師專業(yè)培訓(xùn)面授班招生

點(diǎn)擊閱讀2013年通信工程師考試大綱

點(diǎn)擊了解2013年通信工程師考試指定教材

通信工程師報(bào)名及通信工程師成績查詢專題

2012年全國初級(jí)中級(jí)通信工程師考試成績查詢

5.6.2 基于IPSec的VPN實(shí)現(xiàn)

IPSec（IPSecurity）產(chǎn)生于IPv6的制定之中，用于提供IP層的安全性。由于所有支持TCP/IP的主機(jī)進(jìn)行通信時(shí)，都要經(jīng)過IP層的處理，所以提供了IP層的安全性就相當(dāng)于為整個(gè)網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于IPv4的應(yīng)用仍然很廣泛，所以后來在IPSec的制定中也增添了對(duì)IPv4的支持。

最初的一組有關(guān)IPSec標(biāo)準(zhǔn)由IETF在1995年制定，但由于其中存在一些未解決的問題，從1997年開始IETF又開展了新一輪的IPSec的制定工作，截至1998年11月主要協(xié)議己經(jīng)基本制定完成。

IPSec的工作原理類似于濾防火墻，可以看做是對(duì)濾防火墻的一種擴(kuò)展。當(dāng)接收到一個(gè)IP數(shù)據(jù)包時(shí)，濾防火墻使用其頭部在一個(gè)規(guī)則表中進(jìn)行匹配。當(dāng)找到一個(gè)相匹配的規(guī)則時(shí)，濾防火墻就按照該規(guī)則制定的方法對(duì)接收到的IP數(shù)據(jù)包進(jìn)行處理。這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。

IPSec通過查詢安全策略數(shù)據(jù)庫（SecurityPolicyDatabase,SPD）決定對(duì)接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于濾防火墻的是，對(duì)IP數(shù)據(jù)包的處理方法除了丟棄和直接轉(zhuǎn)發(fā)（繞過IPSec）外，還可進(jìn)行IPSec處理。正是這新增添的處理方法提供了比濾防火墻更進(jìn)一步的網(wǎng)絡(luò)安全性。

進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證。濾防火墻只能控制來自或去往某個(gè)站點(diǎn)的IP數(shù)據(jù)包的通過，可以拒絕來自某個(gè)外部站點(diǎn)的IP數(shù)據(jù)包訪問內(nèi)部某些站點(diǎn)，也可以拒絕某個(gè)內(nèi)部站點(diǎn)對(duì)某些外部網(wǎng)站的訪問。但是濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對(duì)IP數(shù)據(jù)包實(shí)施了加密和認(rèn)證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性、真實(shí)性和完整性，通過Internet進(jìn)行安全的通信才成為可能。

IPSec既可以只對(duì)IP數(shù)據(jù)包進(jìn)行加密，或只進(jìn)行認(rèn)證，也可以同時(shí)實(shí)施二者。但無論是進(jìn)行加密還是進(jìn)行認(rèn)證，IPSec都有兩種工作模式：傳輸模式和隧道模式。

傳輸模式只對(duì)IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證。此時(shí)，繼續(xù)使用以前的IP頭部，只對(duì)IP頭部的部分域進(jìn)行修改，將IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。

隧道模式對(duì)整個(gè)IP數(shù)據(jù)包進(jìn)行加密或認(rèn)證。此時(shí)，需要新產(chǎn)生一個(gè)IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個(gè)新的IP頭部。

前面已經(jīng)提到IPSec主要功能是加密和認(rèn)證。為了進(jìn)行加密和認(rèn)證，IPSec還需要有密鑰的管理和交換的功能，以便為加密和認(rèn)證提供所需要的密鑰并對(duì)密鑰的使用進(jìn)行管理。以上三方面的工作分別由AH,ESP和IKE三個(gè)協(xié)議規(guī)定。為了介紹這三個(gè)協(xié)議，需要先引入一個(gè)非常重要的概念：安全關(guān)聯(lián)（Security Association,SA）。安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個(gè)“連接”.AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護(hù)。只要實(shí)現(xiàn)AH和ESP都必須提供對(duì)SA的支持。

通信雙方如果要用IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的加密算法、密鑰、密鑰的生存期等。當(dāng)雙方協(xié)商好使用的安全策略后，就說雙方建立了一個(gè)SA.SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個(gè)簡單連接，可以由AH或ESP提供。給定了一個(gè)SA,就確定了IPSec要執(zhí)行的處理，如加密，認(rèn)證等。

ESP主要用來處理對(duì)IP數(shù)據(jù)包的加密，此外對(duì)認(rèn)證也提供某種程度的支持。ESP是與具體的加密算法相獨(dú)立的，幾乎可以支持各種對(duì)稱密鑰加密算法，如DES,TripleDES,RC5等。為了保證各種IPSec實(shí)現(xiàn)間的互操作性，目前ESP必須提供對(duì)56位DES算法的支持。

ESP數(shù)據(jù)單元格式由3個(gè)部分組成，除了頭部、加密數(shù)據(jù)部分外，在實(shí)施認(rèn)證時(shí)還包含一個(gè)可選尾部。頭部有兩個(gè)域：安全策略索引（SP1）和序列號(hào)（Sequencenumber）。使用ESP進(jìn)行安全通信之前，通信雙方需要先協(xié)商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等?！鞍踩呗运饕庇脕順?biāo)識(shí)發(fā)送方是使用哪組加密策略來處理IP數(shù)據(jù)包的，當(dāng)接收方看到了這個(gè)序號(hào)就知道了對(duì)收到的IP數(shù)據(jù)包應(yīng)該如何處理?！靶蛄刑?hào)”用來區(qū)分使用同一組加密策略的不同數(shù)據(jù)包。加密數(shù)據(jù)部分除了包含原IP數(shù)據(jù)包的有效負(fù)載、填充域（用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求），還包括ESP尾部，這幾部分在傳輸時(shí)都是加密過的。其ESP尾部中“下一個(gè)頭部（NextHeader）”用來指出有效負(fù)載部分使用的協(xié)議，可能是傳輸層協(xié)議（TCP或UDP），也可能還是IPSec（ESP或AH）。

[1]  [2]