基于IPSec的网络安全设备设计与实现

【摘 要】在距离远、范围广、信道多样的通信IP网中传输密级高的重要数据，使用基于IPSec VPN技术能很好的防止数据被更改或窃取，维护数据的安全性与完整性。简要阐述了IPSec协议的相关原理，设计了一种基于IPSec的网络安全设备，并对该设备进行了应用研究。

【关键词】IPSec；ESP；VPN；网络安全设备

0 引言

TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分，但网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网，网络的安全性尤其重要。

IPSec（Internet Protocol Security）在IP层提供安全服务，使得一个系统可以选择需要的协议，决定为这些服务而使用的算法，选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关（如路由器或防火墙）之间或主机与安全网关之间的数据包的安全。因此，采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。

1 IPSec概述

IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范，提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力，保证了IP数据报的高质量性、保密性和可操作性，它为私有信息通过公用网提供了安全保障。通过IKE（IPSec Key Exchange，自动密钥交换）将IPSec协议简化使用和管理，使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN（Virtual Private Network，虚拟专用网）网关具有数据安全性、完整性、成本低等几方面的优势。

使用IPSec协议是用来对IP层传输提供各种安全服务，主要包括两种安全协议，即AH（Authentication Header，验证头）协议和ESP（Encapsulating Security Payload，封装安全载荷）协议。AH协议通过使用数据完整性检查，可判定数据包在传输过程中是否被修改；通过使用验证机制，终端系统或网络设备可对用户或应用进行验证，过滤通信流，还可防止地址欺骗攻击及重放攻击。ESP协议包含净负荷封装与加密，为IP层提供的安全服务包括机密性、数据源验证、抗重播、数据完整性和有限的流量控制等。两者比较之下，ESP协议安全性更高，与此同时其实现复杂性也较高，本文设计的网络安全设备采用ESP协议。

2 网络安全设备设计

2.1 设备加解密原理

图1 设备加密工作原理

为确保重要数据传输安全可靠，需在通信IP网中增加保密措施，因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能，包括网络管理、密钥管理、策略管理、配置管理、热备管理、信道协商等功能；硬件模块主要完成数据处理层面的功能，包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能，设备加密工作原理如图1所示。

当设备收到用户IP包时，先判断其是否为保密数据，如果是，则在该IP数据前加入一个ESP头，然后发送到公网。ESP头紧跟在IP头后面，ESP占用IP协议标识值为50。对IP包的处理遵守以下规则：对于要发送到公网的IP包，先加密，后验证；对于从公网上收到的IP包，先验证，后解密。

当设备要发送一个IP包时，它在原IP头前面插入一个ESP头，并将ESP头中的下一个头字段改为4，根据密钥管理协议协商得到的SPI（Security Parameters Index，安全参数索引）值填入到ESP头中，并分配一个序列号，同时根据算法要求插入填充字段，并计算填充长度。在ESP头的前面插入一个新的IP头，源地址为设备的IP地址，目的地址为对端设备的IP地址，并对相应的字段赋值，在做完以上处理后，对IP包加密，并进行验证，将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。

远端设备接收到一个ESP包后，首先检查这个包是否有相关的SA（Security Association，安全关联）存在，如果不存在，则将该包丢弃。如果存在，则进行下一步处理。首先检查序列号，如果序列号无效（一个重复的包），则将该包丢弃。如果有效，则进行下一步处理。根据对应的SA对这个包进行验证，并将验证结果与IP包中的验证字段比较，若不一致，则丢弃，若一致，下面就进行解密，并根据填充内容来判断解密是否正确，因为填充数据可以通过约定事先知道。在验证和解密成功后，就对IP包进行初步地有效性检验，这个IP包的格式与SA要求的工作模式是否一致，若不一致，则丢弃该包，若一致，就准备从ESP包中解出原IP包，删除外面的IP头和ESP头，然后检查这个IP包与SA所要求的地址和端口是否符合，若不符合，则丢弃，若符合，则设备将该IP包转发出去。

2.2 硬件结构设计

网络安全设备采用模块化的设计思路，各硬件功能模块之间采用接插件方式连接，各模块的连接关系如图2所示。

图2 设备硬件结构及连接关系

设备主板是数据处理核心模块，其他各模块通过接插件与其连接。承载了业务安全处理、加解密等设备的核心功能。其上的主控模块运行Vxworks操作系统，承载设备嵌入式软件，全面管理设备软硬件运行状态。板载密码模块完成业务数据的高速加解密处理。

接口板包括用户口和网络口两块接口板，通过高（下转第64页）（上接第65页）速接插件插在设备主板上。接口板上的千兆MAC芯片通过业务和控制线缆连接到后接线板。

IC卡读卡器通过RS232接口线缆与设备主板上的主控模块相连。电源模块使用电源接插件为各功能模块提供相应的直流电源。后接线板提供千兆口、100/1000自适应电口的用户业务接入，本地控制接入。

3 VPN构建

网络安全设备专门用于在TCP/IP体系的网络层提供鉴别、隧道传输和加解密功能。通过对IP层加解密，可以支持大多数用户业务，对局域网重要数据进行加密保护，通过公共通信网络构建自主安全可控的内部VPN，集成一定的包过滤功能，使各种重要数据安全、透明地通过公共通信环境，是信息系统安全保障体系的基础平台和重要组成部分。设备部署在局域网出口处，通过对IP数据的加解密，可以保证局域网数据在公共信道上传输的安全性。

与设备相连的内部网受到IPSec保护，这个内部网可连入不安全的公用或专用网络，如卫星通信、海事和专用光纤等。在一个具体的通信中，两个设备建立起一个安全通道，通信就可通过这个通道从一个本地受保护内部网发送到另一个远程保护内部网，就形成了一个安全虚拟网。当位于某个安全内部网的主机要向另一个位于安全内部网的主机发送数据包时，源端网络安全设备通过IPSec对数据包进行封装，封装后的数据包通过隧道穿越公用网络后到达对端网络安全设备。由于事先已经经过协商，收端网络安全设备知道发端所使用的加密算法及解密密钥，因此可以对接收数据包进行封装。解封装后的数据包则转发给真正的信宿主机，反之亦然。

4 结束语

在设计网络安全设备时采用IPSec协议，使用ESP对传输的数据进行严格的保护，可大大增强IP站点间安全性。在传输重要数据的通信IP网中使用本文设计的基于IPSec的网络安全设备构建VPN能很好地防止数据被更改或窃取，确保数据传输的安全性。

【参考文献】

[1]蓝集明，陈林.对IPSec中AH和ESP协议的分析与建议[J].计算机技术与发展，2009，11（19）：15-17.

[2]郭旭展.基于IPSec的VPN安全技术研究[J].电脑知识与技术，2009，8（24）：52-54.

[3]蹇成刚.IP分组网络安全分析及IPSec技术[J].计算机与网络，2010，17：42-43.

[4]刘春艳.基于IPSec的VPN网关设计与实现[J].网络安全技术与应用，2013，11：59-60.