IPSec技术分析与应用

摘要：本文主要对在网络层实现的IPSec安全体系结构和工作原理进行介绍，并且结合具体应用案例对该技术进一步阐述。

关键词：IPSec；安全体系结构；案例

中图分类号：TP393 文献标识码：A文章编号：1007-9599 (2011) 24-0000-01

Analysis and Application of The IPSec Technology

Li Zhiguo,Li Bo

(Tianjin City Party School of CPC,Tianjin300191,China)

Abstract:The article introduces IPSec security architecture and working principle on the Network Layer,and elaborates the technology combined with the specific application case.

Keywords:IPSec;Security architecture;Case

一、引言

IP协议的设计没有过多考虑数据传输过程中的安全问题。数据包在网络中使用明文进行传递，在数据传递过程中窃取和篡改数据变得非常容易。伴随着信息技术的快速发展，尤其是电子商务和电子政务的兴起，这些业务中敏感数据的传输迫切需要一种技术使得数据在传输过程中可以阻止他人恶意窃取、篡改数据。由此VPN（Virtual Private Network， 虚拟专用网）技术应运而生。

通常我们把在公共或共享网络上采用隧道技术，在逻辑上以模拟点对点专线的方式在两台计算机之间传递数据，构建属于用户的私有的专用网络的行为称为VPN。

依据将隧道协议在何种协议层上进行封装的实现方式，我们又将VPN进一步区分为第二层隧道协议和第三层隧道协议，本文主要对第三层隧道协议IPSec安全标准进行介绍。

二、IPSec协议体系结构

IPSec（Internet Protocol Security）即互联网安全协议，是IETF在1998年11月推出的用于Internet在IP层上安全通信的开放的标准。这些协议所提供的服务支持身份验证、访问控制、完整性校验和数据的加密与解密等网络安全服务，其目的是在IP分组交换网络上完成数据的安全通信。IPSec的出现不仅弥补了IPV4在网络安全方面的缺陷，而且已还作为必选项成为下一代IPV6的组成部分。

IPSec安全标准规定了如何在对等体之间进行安全协议的选择、确定需要使用的算法和如何完成密匙的交换，主要包含以下组件：

安全协议：网络认证头AH（Authentication Header）协议，为数据提供信息源认证和无连接的完整性验证与可选的防重放保护；封装安全载荷ESP（Encapsulating Security Payload）协议，除了提供AH协议提供的信息源认证和完整性校验等服务外，还提供数据包的加密保证即数据的机密性保护。

密匙管理：IKE（Internet Key Exchange）协议，用于对加密和网络认证等算法所需要的密匙的产生、分发和存储的管理。

算法：包含用于身份验证和对数据进行加密的算法：比如用于对IP报文完整性验证的非对称加密算法MD5、SHA1；和用于对IP报文进行加密的对称加密算法DES、3DES和AES等算法。

三、IPSec技术的工作原理

对于应用IPSec的实施点（该实施点可以是主机、路由器、或防火墙等设备），都包含两个必要的数据库：安全策略数据库（Security Policy Database）和安全关联数据库（Security Association Database）。进入和外出实施点的所有数据包，都要经过该实施点定义的安全策略的审核，比如在Windows系统中可以通过IP筛选器来实施和完成，在防火墙或路由器中则通过定义扩展访问控制列表来实现。根据数据包所包含的属性如（目标IP地址、源IP地址、数据敏感性等级、源和目标端口等）等信息，与安全策略数据库入口的有序列表（也被称为选择符selector）进行匹配，依据匹配成功的入口的标识，决定数据包是否允许通过，丢弃或应用IPSec进行处理。当处理行为匹配为应用IPSec处理时，会根据安全关联数据库中匹配规范的相关信息（如使用的安全协议、操作模式、加密算法生存周期等），对数据包进行对应的IPSec加封装与解封装的处理。

四、用IPSec进行实际组网应用

（一）需求概况

某单位为一家员工近400名的政府事业单位，包含一个地理位置不同的分支机构，单位提供对内部员工和分支机构开放的办公系统、教务管理和数字图书查询等业务，同时有部分员工希望在出差或者家中的时候，仍然可以访问单位内部网络使用相关资源。

（二）具体实现方式

网络拓扑图如下：

VPN网关设备：在单位互联网出口处，部署包含VPN模块的天融信应用网关TopGate500。同时在分支机构部署天融信硬件VPN网关TopVpn600，并配置静态隧道和TopGate500进行互联。

VPN客户端：在每一台在需要远程办公的Windows机器上安装基于IPSec 协议的客户端软件VRC（VPN Remote Client），VRC是天融信VPN产品系列中的客户端VPN软件，可以适应各种复杂的网络环境，方便用户通过VPN方式拨入单位内网。

身份认证机制：在用户通过VPN客户端拨入单位内网过程中，VPN网关将对VPN客户端进行身份验证，本案例中采用用户名和密码验证模式并配合使用数字证书完成认证过程。

五、结束语

随着用户对数据安全性需求的提高，IPSec技术的应用将越来越广泛。尤其是电子商务与电子政务的发展，将会对支持IPSec技术的VPN产品的发展带来新的契机，VPN的产品在保证性能的前提下会提供更丰富的网络功能，VRC客户端的配置和安装会变得更加简化。IPSec 技术也将会有更广阔的发展前景。