1、摘 要网络技术迅猛发展,网络的规模越来越大。从局域网、广域网到全球最大的互联网,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不说明人们在面临着网络技术迅猛发展的同时,也面临着对网络建设的挑战。如何根据自身需求规划、设计网络系统,选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件,由哪些供应商提供以上所说的网络系统的软硬件支持,如何开发网络上的应用系统,使其充分发挥网络系统的作用,取得应有的经济效益,这已不仅涉及简单的部件组合,而且需要技术和管理知识有机结合起来,其已成为当前网络建设中亟待解决的问题。本文主要为深入分析IPsec协议体系,研究IPsec
2、的工作原理和工作的流程。并且将进一步研究IPsec在Linux环境中的实现机制,在linux的环境下搭建一个简单高效的基于IPsec的VPN连接。【关键词】 虚拟专用网VPN IPsec Linux OpenSWAN 安全证书ABSTRACTWith the development of network technology, the scale of network is more and more large. The advance from LAN, WAN to the worlds largest Internet and the improvement of the open n
3、etwork environment give us all kinds of knowledge,at the same time,which led people faced with more challenge.According to our own requirements for network,we choose a kind of network system, topology structure, server, client, network operating system and database software.In addition,what kind of
4、suppliers also need people to decide.However,how to develop the network application system, make it give full play to the role of network system, obtain economic benefit is not only simple combination, but also a organic combination with technology and management knowledge which become the current p
5、roblem to be solved in network construction.This paper mainly analyse the IPsec agreement system:study the work principle and procedure of IPsec; research in the realization mechanism of IPsec in Linux; build a simple and efficient connection of VPN based on IPsec in Linux. 【Key words】VPN Ipsec Linu
6、x OpenSWAN Certificate62目 录前 言1第一章 VPN概述3第一节 VPN的定义3一、VPN的优缺点分析3第二节 VPN分类5一、按接入方式分5二、按协议实现类型分5三、按VPN发起方式分6四、按VPN服务类型分7五、按承载主体分8第三节 VPN的连接方式9一、传输模式9二、隧道模式9第四节 VPN关键技术10一、隧道技术10二、加解密技术10三、密钥管理技术10四、身份认证技术11第五节 本章小结11第二章 IPsec概述12第一节IPsec简介12一、IPsec提供的服务12二、IPsec具有以下特点:13三、封装模式13四、IPsec优缺点14第二节 IPsec协议
7、体系15一、IPsec基本工作原理16二、安全关联18三、AH头认证20四、ESP简介23第三节 因特网密钥交换IKE25一、IKE定义25二、IKE的消息格式26第四节 本章小结29第三章Linux下基于IPsec的VPN实施30第一节 设计目标30一、目标30二、平台选择以及工具使用30三、基于IPsec支持的linux内核编译33第二节 认证与配置网络模型为40一、设计的网络模型40二、RSA Signature(RSA数字签名)认证的配制41三、x.50Array证书认证的配置44第三节 本章小结49结 论50致 谢51参考文献52附 录53一、英文原文53二、英文翻译58前 言随着当
8、今社会的不断发展,网络技术可谓无所不在,信息技术的高速发展和信息量的飞速膨胀,让诞生于70年代的Internet得以快速的发展。到现在无论是公司还是个人办公,都越来越离不开网络,许多企业和政府机构纷纷将自己的局域网连入Internet,然而,扩大的网络环境也带来了一系列的问题:随着企业的不断扩大,分支机构越来越多,合作伙伴越来越多,公司的移动用户也越来越多,企业希望能通过无处不在的因特网来实现方便快捷的访问企业的内部网络,更好的处理办公。此时,经济又安全的企业间的互联的VPN便脱颖而出托。它恰好能很好的适应企业的需求,又在安全性有很好的加密算法。目前,国内企业内部的信息化程度都越来越高,很多公
9、司都建有自己的局域网,并且部署了例如财务系统、ERP系统和OA系统等等,可是建设和维护一个提供远程基础数据传输所需的昂贵费用却使绝大多数企业望而却步,如果采用DDN(Digital Data Network,数字数据网)专线方式,昂贵的网络运营费用将给企业带来沉重的思想负担。它们只能通过远程拨号访问或简单的FTP传输等手段来维系不同地域信息系统之间数据交换的最低要求,这些都严重制约了信息系统整体效能的发挥。虽然Internet为企业实现数据访问提供了方便,但它的高度开放性和松散管理结构也让企业面临严重的网络安全问题。当下,企业迫切需要一种低成本的网络互联解决方案,以提供企业的异地分支机构和合作
10、伙伴或移动用户与公司总部之间畅通、安全地交换或共享业务数据。当代,网络技术迅猛发展,网络的规模也越来越大。从最小的局域网、广域网到全球最大的互联网Internet,从封闭式的、自成体系的网络系统环境到开放式的网络系统环境,这一切无不都在说明人们在面临着网络技术迅猛发展的同时,也面临着一个对网络建设的挑战。如何根据自身需求规划、设计网络系统,选择什么样的网络系统、拓扑结构、服务器、客户机、网络操作系统和数据库软件,由哪些供应商提供以上所说的网络系统的软硬件支持,如何开发网络上的应用系统,使其充分发挥网络系统的作用,取得最好的经济效益,这已不仅涉及简单的部件组合,而且需要技术和管理知识有机结合起来
11、,已成为当前网络建设中亟待解决的问题。DDN技术虽然可以实现企业间互连,但租金昂贵;ADSL宽带虽然价格低廉,但其只能应用于企业接入Internet ,不能实现企业之间的互联。由于安全意识淡薄,同时又缺乏应有的安全防范措施,使得公司网络被非法入侵、数据被篡改和窃听等事件时常发生。虽然一些企业采取了一些相应的安全措施如建立自己的防火墙等,但是据报道有1/3的防火墙已被黑客攻破,许多安全措施也形同虚设。为了防止非法用户进入内部网络对数据进行存取和窃听,必须认真解决验证对方身份、防止抵赖、确保数据的真实性和完整性等安全问题。那么,有没有一种接入方式既可以访问Internet,又可以实现企业互连,同时
12、接入费用低廉的方式呢?为此,各种的网络安全技术和产品应运而生,其中VPN(Virtual Private Network,虚拟专用网)及其相关技术经过多年的实践、发展和完善,最终凭借它的方便性、安全性、标准化、成本低等优势脱颖而出,逐步成为现代企业实现网络跨地域安全互联的主要技术手段,是目前和今后一段时间内企业构建广域网络的发展趋势,据有关研究机构统计,企业通过使用VPN的费用能比专用网节省60的资金。虚拟专用网VPN 技术早在1993年,欧洲虚拟专用网联盟(EVUA )就成立了,当时并力图在全欧洲范围内推广VPN 。Internet 的迅猛发展为VPN 提供了技术基础,为全球化的企业提供了V
13、PN市场,这些都使得VPN开始遍布全世界。特别是最近几年,VPN以迅猛发展之势博得了众多用户的喜爱和好评。企业实际构建虚拟专用网络需要对一系列与互通和安全相关的问题作出决策,如VPN技术和产品的选用、用户认证、私有IP地址的分配和传送、NAT、流量控制等等。本文的第一章对VPN(虚拟局域网)做了一些基本概念和实际应用中的介绍。第二章深入研究和阐述了IPsec协议的体系结构,包括安全协议AH和ESP,IKE(密钥管理协议)和安全关联SA等。第三章着重介绍了在Linux环境下部署基于IPsec的Net-to-Net的VPN,并详细的描述了IPsec的配置和安全证书的创建,配置和管理。第一章 VPN
14、概述第一节 VPN的定义VPN(Virtual Private Network),即虚拟专用网络。“虚拟”的概念是相对传统私有网络的构建方式而言的,“虚拟”的含义是指在开放,不安全的网络环境中利用加密,认证等安全技术构建专用,安全的通信信道,从而模拟出一个“私用”的网络1。VPN的定义为,VPN是一种运载加密或认证的可通信的网络,数据在VPN中的传输是安全的,起安全性由加密,认证等安全技术来保证,起传输这是通过开放的,非安全的公用网络。VPN的作用:企业通过公网实现跨地域的系统互联必然面临安全问题。使用公用网络会导致机构间的传输信息容易被窃取,同时攻击者有可能通过公网对机构的内部网络实施攻击,
15、因此需要在企业间建立安全的数据通道,该通道应具备以下的基本安全要素:保证数据真实性;保证数据完整性;保证数据的机密性;提供动态密钥交换功能和集中安全管理服务;提供安全防护措施和访问控制等。VPN即能有效解决这些安全问题。一、VPN的优缺点分析1、VPN的优缺点几年前,很多人都认为VPN将逐渐被一些更高级的网络安全技术和价格更便宜的广域网取代,并将随着技术更新而逐渐淘汰。但是,就目前市场调查来看,VPN技术强大的安全性,高可靠与低成本却一直在今天吸引着企业的目光,越来越多的企业开始重新评估VPN服务。下面就VPN的优缺点进行简单的分析。(1)、VPN的优点:节约成本通过公用网来建立VPN 与建立
16、DDN 、PSTN 等专线方式相比,可以节省大量的费用开支。VPN的最大吸引力是价格。相对于传统的广域网而言,VPN能够在现有的公网中直接实现连接,比传统广域网连接远程用户更加便捷,且运营成本几乎为零。有调查指出,如果VPN产品替代传统的组网方式,可以节约大量的运营成本,甚至会达到60%到80%。这是由于VPN是在Internet上临时建立的安全专用虚拟网络,用户就节省了租用专线的费用,在运行的资金支出上,除了购买VPN设备,企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用,也节省了长途电话费,故VPN价格更低廉。 高安全性VPN能够提高水平的安全,私用身份识别和加密协议避免数据受到劫
17、持和修改,能够很好的阻止数据窃取和替他非授权用户接触这些数据,所以VPN能够保证内部机密数据的安全性,保证不同用户使用权限的可控性,能够保证用户信息交换的安全和可靠。使用VPN之后,内部网络的重要数据可以在不被侵扰的情况下经过加密后进行路线传输并安全的存储。同时还可以有效的对内部资源的使用者进行权限控制管理。并记录所有的重要的通信过程高速VPN能够让公司远程员工,合作伙伴或者其他授权的用户利用本地的高速宽带连接链接到企业的内部网络中。高灵活性现代企业的组织结构和商业活动非常灵活,用户如果想与合作伙伴联网,如果没有VPN,双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路,有了V
18、PN 之后,只需双方配置安全连接信息即可;当不再需要联网时,也很方便拆除连接。使用VPN可以保持企业工作人员在任何情况下都能够快速的和安全的完成信息内部的交换,并且能够根据企业不断发展的网络规模迅速的扩展自己。 完全控制主动配置企业可以利用公网或在网络内部自己组建管理VPN,由自己负责用户的查验、访问权、网络地址配置、安全性和网络变化管理等重要工作。(2)、VPN的缺点:非直接可控由于VPN是基于互联网的,企业不能直接控制它的可靠性和性能,并且多数企业需要依靠提供VPN服务的互联网服务提供商品保证服务运行 建设难度高目前,多数企业选择有互联网服务提供商负责运行维护的VPN,而非自己创建和部署。
19、主要原因是VPN网络建设需要高水平的理解网络和安全问题,需要认真的规划和配置。设备兼容性差多数厂商不愿意或者不能遵守VPN技术标准,不同厂商的VPN产品和解决方案通常是不兼容的,混合使用不同厂商的产品可能会出现技术问题,由此可能导致增加企业成本。 管理复杂VPN组网以后,随着企业内部网络范围扩大了,管理问题会比较多。第二节 VPN分类根据不同的需要,可以构建不同类型的VPN;不用的角度,VPN的分类也不相同;不用的厂商在销售VPN产品的时候,使用了不同的方式的分类;不同的ISP(Internet Service Provider,互联网服务提供商)在开展VPN业务时推出了不同的分类方式,用户往
20、往可以根据自己需求划分VPN1。一、按接入方式分这是用户和运营商最关心的VPN划分方式。通常情况下,用户可能是通过专线或者拨号上网。1、专线VPN由运营商根据客户需求,专门建设一条用于VPN通信的通道。他能一直在线,通过专线接入ISP边缘路由器的用户提供VPN解决方案2、拨号VPN是一种可以按照用户需求连接的VPN,它是利用拨号分组交换数据网PSTN或者综合业务数字网ISDN接入ISP的用户提供VPN业务,可以节省用户的长途费用。二、按协议实现类型分这是VPN厂商和ISP最关心的划分方式。简单的说VPN是通过公共网络连接的两个端点,在它们之间建立一条逻辑连接。逻辑连接可以是在OSI(Open
21、system interconnection,开放系统互连)模型的第二层或第三层建立,根据逻辑连接模型,将VPN技术划分成第二层VPN和第三层VPN 1、第二层VPN运行在OSI参考模型的第二层,他们是点到点的,通过虚电路在场点之间建立连接性。虚电路是网络中两个端点之间的逻辑端到端连接,可以跨越网络中的多个网络原件和物理网段。ATM和帧中继是两种最流行的第二层VPN技术,另外包括PPTP(点到点隧道协议),L2F(第二层转发协议),L2TP(第二层隧道协议)等 2、第三层VPN递送报头位于OSI模型的第三层,常见的第三层VPN包括通用路由封装GRE,多协议标签交换MPLS和互联网协议安全IPs
22、ec VPN。第三层VPN可以以点到点的方式连接两个场点,如GRE和IPsec,也可以在众多场点之间建立全互连连接性,如MPLS VPN 、通用理由封装(Generic Routing Encapsulation,GRE)最早是由Cisco开发的一种VPN技术,Cisco将GRE作为一种封装方法开发,是指一个协议的数据包可以封装进IP数据包中,并且将封装后的数据包通过IP骨干传输。 、因特网协议安全(IPsec)IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,为目前流行的数据加密或认证的实现提供了
23、数据结构,为这些算法的实现提供了统一的体系结构,这有利于数据安全方面的措施进一步发展和标准化。同时,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。 、多协议标签交换(Multi-Protocol Label Swaitching,MPLS)指定了数据吧是如何通过一种有效的方式送到目的地的,是一种用户快速数据包交换和路由的体系。相对于其它VPN技术,MPLS VPM的重要优点在于灵活性,他允许在VPN场点之间采用任何网络拓扑。三、按VPN发起方式分这是客户和ISP最关心的VPN分类.1、客户发起VPN服务提供的起始点和终止点是面向客户的,其内部技术构成,实施和管理对V
24、PN客户可见。需要客户和隧道服务器方案装隧道软件。此时ISP不需要做支持建立隧道的任何工作。经过对用户身份符和口令的验证,客户方和隧道服务器极易建立隧道。双方也可以用加密的方式通信。2、服务器发起在公司中心部门或ISP处理安装VPN软件,客户无需安装任何特殊软件,其内部构成,实施和管理对VPN客户完全透明。四、按VPN服务类型分根据服务类型,VPN业务可以分为三类,接入VPN,内联网VPN和外联网VPN。1、企业内部VPN(Intranet VPN)在VPN技术出现以前,公司两异地机构的局域网想要互联一般会采用租用专线的方式,虽然该方式也采用隧道等技术,在一端将数据封装后通过专线传输到目的方解
25、封装,然后发往最终目的地。该方式也能提供传输的透明性,但是它与VPN技术在安全性上有根本的差异。而且在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。2、扩展的企业内部VPN(Extranet VPN)此种
26、类型由于是不同公司的网络相互通信,所以要更多地考虑设备的互联,地址的协调,安全策略的协商等问题。利用VPN技术可以组建安全的Extranet,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。Extranet VPN通过一个使用专用连接的共享基础设施,将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。3、远程访问VPN(Access VPN)与传统的远程访问网络相对应,在该方式下远端用户不再是如传统的远程网络访问那样,通过长途电话拨号到公司远程接入端口,而是拨号接入到用户本地的ISP ,利用
27、VPN 系统在公众网上建立一个从客户端到网关的安全传输通道。这种方式最适用于公司内部经常有流动人员远程办公的情况。出差员工拨号接入到用户本地的ISP ,就可以和公司的VPN 网关建立私有的隧道连接,不但保证连接的安全,同时负担的电话费用大大降低。五、按承载主体分这是客户和ISP最关心的问题。客户一般会自建VPN或外包VPN,这通常决定由建设VPN的成本,复杂度等多方面的决定。1、自建VPN企业在驻地安装VPN的客户端软件,在企业网边缘安装VPN网关软件,完全独立于运营商建设自己的VPN网络,运营商不需要做任何对VPN的支持工作。选择之间VPN的客户,一般资金充足,拥有相当的专业技术力量,而且在
28、安全性等方面对网络有特殊要求,需要自行控制VPN网络。另外,用户和站点分布范围广,数量较多,对保密和可用性有一定要求,而对实时业务要求不高的中小企业,还有在内部网中止键VPN部门的子网企业,也需要自建VPN。2、外包VPN用户将VPN及远程外包给某一服务提供商,用户将得到安全策略管理,用户管理以及获得技术支持。企业可以因此降低组建和运维VPN的费用,而运营商也可以因此开拓新的IP业务增值服务市场,获得更好的收益,并提高客户的保持力和忠诚度。第三节 VPN的连接方式一、传输模式传输模式连接用于在设备的真正源和目的IP地址之间传输数据时使用。传输模式是使用封装方法,防火墙将UDP段封装在VPN的数
29、据包或者段里面;VPN封装包含的信息将帮助目标设备确认被保护的信息;VPN信息接着会封装进一个IP数据包,而源设备是防火墙,目标设备是系统日志服务器。二、隧道模式传输模式的一种限制是它不具备很好的扩展性,因为保护是基于每一台设备的。因此,当更多的设备需要在两个不用区域以安全的方式相互通信时,应该使用隧道模式。在隧道模式中,实际的源和目标设备通常不保护流量,相反,某些中间设备用于保护这些流量。代表其他设备提供VPN保护的设备通常被称呼为VPN网关隧道模式的封装过程,区域的防火墙产生一个系统日志信息,将它封装到一个UDP中,并放入IP数据包;当VPN网关收到区域PIX的系统日志IP数据包后,VPN
30、网关会封装整个带有VPN保护信息的数据包;接着,VPN网关将这个信息放入到另一个IP数据包中。 模式协议传输模式隧道模式AHIP AHDataIPAHIPDataESPIPESPDataESP-TIPESPIPDataESP-T图1.1 传输模式与隧道模式的报头区别第四节 VPN关键技术一、隧道技术隧道技术是VPN的基础技术,也是VPN的核心技术。它类似于点地点连接技术,在公网建立一条数据隧道,让数据包通过这条隧道传输。它将原始数据包进行加密,信息结构变换,协议封装和压缩后,嵌入另一种协议数据包后在网络中传输,使得只有被授权的用户才能对隧道中的数据包进行解释和处理,且隧道是专用的,从而保护远程
31、用户或主机和专用网络之间的连接,1、隧道技术在VPN的实现中具体有如下主要作用一个IP隧道可以调整任何形式的有效负载,是远程用户能够透明的拨号上网来访问企业的IP对倒能够利用封装技术同时调整多个用户或多个不同形式的有效负载。使用隧道技术访问企业网时,企业网不会向公网报告它的IP地址隧道技术允许接收者滤掉或报告个人的隧道连接。二、加解密技术加密技术是数据通信中一项较为成熟的技术。利用加密技术保证传输数据的安全是VPN安全技术的核心。为了适应VPN的工作特点,目前VPN均采用对称加密体制和公钥加密体制相结合的方法。对称密钥使用同一把钥匙来对信息提供安全的保护。因为同一吧要是用于建立和检查安全保护,
32、该算法相对比较简单而且非常有效率。因此,对称算法,工作速度非常快。VPN目前常用的对称密码加密算法有:DES,3DES,RC4,RC5等公钥加密体制,或非对称加密体制,是通信各方使用的两个不同的密钥,私钥被源安全的收藏,永远都不会和其他的设备共享,公钥可以送给其他设备。非对称密钥可以用于加密数据和执行验证功能。当前常见的公钥体制有RSA三、密钥管理技术密钥管理技术的主要任务是如何实现在公用数据网上安全的传递密钥而不被窃取。密钥管理包括,从密钥的产生到密钥的销毁的各个方面。主要表现于管理体制,管理协议和密钥的产生,分配,更换和注入密钥的分发有两种方法:1通过手工配置的方式.2采用密钥交换协议动态
33、分发,适合于复杂网络的情况,而且密钥可快速更新,可以显著提高VPN的应用的安全性。四、身份认证技术身份认证是为了保证操作者的物理身份与数字身份相对性,它是防护网络资产的第一道关口。VPN需要解决的首要问题就是网络上用户与设备的身份认证,如果没有一个万无一失的身份认证方案,不管其他安全设施有多严密。整个VPN功能都将失效。身份认证技术可划分为非PKI身份认证和PKI体系身份认证第五节 本章小结本章主要从VPN的定义,分类以及在架构VPN服务器中所用到的相关技术,做了详细的分析,这些在实际现实的架构中,为VPN的建设提供了实用的认知的指导,也为我在下面的建设VPN的时候,知道了会用到的相关技术,例
34、如数据的加密,解密,证书的管理等。本章中,在介绍VPN的优缺点时,我们理性的了解到,VPN在给我们巨大方便的同时,仍然存在某些的不足。事务都具有两面性,在运用VPN时,如何来规避一些它自身的缺点,从而为用户带来更好的体验,是我们研究的方向。章节中还具体分析了VPN在实际生活中的分类,我们可以通过自己或企业的具体需求,规划自己的VPN。根据不同的VPN,也可以了解到,他们之间的区别,以及和IPS运营商之间的联系,这些都可以使在实际的建设中带来方便。安全,是现在互联网上最值得大家关注的对象,VPN的安全也不例,VPN说到底,还是要在公网上传播数据的,如何保证这些数据的安全性,这对任何一个架设VPN
35、的同学都是令人感到头疼的事情,世上没有绝对安全的东西,但是我们也不能不对VPN做安全管理。本章中,介绍了VPN建设中所用到的一些隧道技术,安全技术,最大的保障了VPN数据在传送过程中的安全性。能做到一个高效的,安全的,稳定的连接,才是我们最终所要用到的VPN。第二章 IPsec概述第一节IPsec简介IPsec(IP Security)是IETF制定的三层隧道加密协议,它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,
36、为目前流行的数据加密或认证的实现提供了数据结构,为这些算法的实现提供了统一的体系结构,这有利于数据安全方面的措施进一步发展和标准化11。同时,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。IPSec协议是一个应用广泛、开放的VPN安全协议。IPSec适应向Ipv6迁移,它提供所有在网络层上的数据保护,进行透明的安全通信。IPSec提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制。IPSec工作在网络层,在参加IPSec的设备(如路由器)之间为数据的传输提供保护,主要是对数据的加密和数据收发方的身份认证。一、IPsec提供的服务1、数据机密性(C
37、onfidentiality)IPsec发送方在通过网络传输包前对包进行加密。2、数据完整性(Data Integrity)IPsec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。3、来源认证(Data Authentication)IPsec在接收端可以认证发送IPsec报文的发送端是否合法。4、防重放(Anti-Replay)IPsec接收方可检测并拒绝接收过时或重复的报文。二、IPsec具有以下特点:(1)支持IKE(Internet Key Exchange,因特网密钥交换)可实现密钥的自动协商功能,减少了密钥协商的开销。可以通过IKE建立和维护SA的服务,简化了
38、IPsec的使用和管理。(2)所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec,而不必对这些应用系统和服务本身做任何修改。(3)对数据的加密是以数据包为单位的,而不是以整个数据流为单位,这不仅灵活而且有助于进一步提高IP数据包的安全性,可以有效防范网络攻击三、封装模式1、隧道(tunnel)模式用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。2、传输(transport)模式只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头
39、后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯4。不同的安全协议在tunnel和transport模式下的数据封装形式如图2.1所示,data为传输层数据。 模式协议传输模式隧道模式AHIP AHDataIPAHIPDataESPIPESPDataESP-TIPESPIPDataESP-T图2.1传输模式与隧道模式的封装情况四、IPsec优缺点1、IPsec的优点IPsec工作在传输层之下,因此对应用层是透明的,当在路由器或者防火墙上安装IPsec时,无需要更改用户或服务器系统中的软件设置。即使在终端系统中执行IPsec,应用程序等上层软件也不会受影响。另外,
40、IPsec也可以为单个用户提供主机到主机的安全隧道,保护客户的敏感信息。IPsec选择在IP成是一种很好的选择,更好级别的服务只能保护某一种协议,更低级别的服务则只能保护某一种通信媒体,而IPsec则可以保护IP之上的任何协议和IP之下的任何通信媒体。IPsec具有模块化的设计,即使选择不同的算法,也不会影响到其他部分的实现,不同用户群可以根据自己的需求选择合适的算法集IPsec使用包过滤的方式进行访问控制。则按可以减少握手的时间,一次握手就可以传送大量的数据,尤其适用于传输数据量大的应用VPN交换机的分离通道特性为IPsec客户端提供同时对internet,extranet和本地网络访问的支
41、持,该技术可以设置权限,允许用户的访问权限,如允许本地打印和文件共享访问,允许直接internet访问和允许安全外网访问,该特性使用用户在安全条件下合理方便的使用网络资源,既有安全性又有灵活性。IPsec定义了开放的体系结构和框架。2、IPsec的缺点IPSec需要已知范围的IP地址或固定范围的IP地址,因此在动态分配地址时不太适合于IPSec;除了TCP/IP协议以外,IPSec不支持其它协议;除了包过滤外,它没有指定其它访问控制方法;对于采用NAT方式访问公共网络的情况难以处理;IPSec目前还仅支持单播的(Unicast)IP数据包,不支持多播(Multicast)和广播(Broadca
42、st)的IP数据包14。第二节 IPsec协议体系下图2.2为IPsec体系结构IPsec体系封装安全负载(ESP)认证包头(AH)加密算法认证算法解释域密钥管理策略图2.2 Ipec协议体系 (1) IPsec体系文档是RFC2401,它定义了IPsec的基础结构,指定IP包的机密性和身份认证使用的传输安全协议ESP或AH实现,包好了一半的概念,安全需求,定义和定义IPsec的技术机制。(2) ESP(Encapsulate Serurity Payload,封装安全载荷),定义了为通 信提供机密性,完整性保护和抗重播服务的额具体实现方法,以及ESP头在ESP实现中应插入IP头的位置,ESP
43、载荷格式,各字段的语义,取值方式以及对进入分组和外出分组的处理过程。(3) AH(Authentication Header,认证头),定义了为通信提供完整性和看重放服务的具体实现方法,以及AH头在AH实现中应插入IP头的位置,AH头的语法格式,各字段的语义,取值方式以及实施AH时对进入和外出分组的处理过程。(4) 认证算法,定义了对ESP的认证算法为散列函数MC5或SHA的HMAC版本。(5) 加密算法,定义了DES-DBC作为ESP的加密算法以及如何实现DES-CBC算法和初始化矢量的生成。(6) IKE(Internet Key Exchange,因特网密钥交换),定义了IPsec通信双
44、方如何动态建立共享安全参数和经认证过的密钥。IKE的功能包括:加密/鉴别算法和密钥的协商,密钥的生成,交换及管理,通信的模式保护,密钥的生存期等。(7) IPsec DOI(Domain of Interpretation,解释域),IKE定义了安全参数如何协商,以及共享密钥如何建立,但没有定义协商内容,协商内容与IKE协议本身分开实现。协商的内容被归于一个单独的文档内,名为IPsec DOI(8) 策略,是两个实体间通信的规则,它决定采用什么协议,什么加密算法和认证算法来通信,策略不当可能造成不能正常工作。一、IPsec基本工作原理IP协议本身不继承任何安全特性,在传输过程中很容易伪造IP包
45、的地址,修改其内容,重播以前的包,以及拦截并查看包的内容2。因此,在internet上传递IP数据包可能会遇到身份欺骗,数据的完整性破坏,数据的隐私性破坏等安全威胁。IPsec可以有效的保护IP数据包的安全,主要采取的保护形势为:数据源验证,无连接数据的完整性验证,数据内容的机密性,抗重播保护等。比如,AH或ESP协议进行身份认证的保护,也可以进行数据完整性的保护。使用ESP或AH协议,可以对IP数据包或三层协议进行保护,其中,AH可以认证数据的起源地,保障数据的完整性以及防止相同数据包的重播。ESP除具有AH的所有能力之外,还可以选为数据流提供机密性保障。IPsec虚拟隧道接口对报文的加封装
46、/即封装发生在隧道接口上8。用户流量到达实施IPsec配置的设备后,需要IPsec处理的报文会被转发到IPsec虚拟隧道接口上进行加封装/接封装。接口加封装如下图2.3图2.3 IPsec虚拟隧道接口对报文进行加封装的过程(1) Router将从入接口接收到的IP明文送到转发模块进行处理;(2) 转发模块依据路由查询结果,将IP明文发送到IPsec虚拟隧道接口进行加封装,原始IP报文本封装在新的IP报文中,新的IP头中的源地址和目的地址分别为赛道接口的源地址和目的地址(3) IPsec虚拟隧道接口完成对IP明文的加封装处理后,将IP密文送到转发模块进行处理.(4) 转发模块进行第二次路由查询后
47、,将IP密文通过隧道接口的实际物理接口转发出去接口解封装如下图2.4图2.4 IPsec虚拟隧道接口对报文进行解封装的过程(1) Router将从入接口接收到的IP密文送到转发模块进行处理;(2) 转发模块识别到此IP密文的目的地为本设备的隧道接口地址切IP协议号为AH或ESP时,会将IP密文送到相对应的IPsec虚拟隧道接口进行接封装,将IP密文的外层IP头去掉,对内层IP报文进行解密处理。(3) IPsec虚拟隧道接口完成对IP密文的解封装处理后,将IP明文重新送回转发模块处理;(4) 转发模块进行第二次路由查询后,将IP明文从隧道的技术物理接口转发出去。二、安全关联1、定义安全关联(Security Association,SA),是IPsec的基础。AH和ESP都使用SA,SA是两个通信实体
陕公网安备 61072602000132号 违法和不良信息举报:0916-4228922