資源描述:
《基于ipsec安全體系的vpn網(wǎng)絡(luò)設(shè)計與實現(xiàn)》由會員上傳分享�,免費在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1����、基于IPSec安全體系的VPN網(wǎng)絡(luò)設(shè)計與實現(xiàn) (呼倫貝爾學(xué)院信息科學(xué)學(xué)院�,內(nèi)蒙古呼倫貝爾021008) 摘要:文章通過對IP安全體系結(jié)構(gòu)(IPSec)的關(guān)鍵技術(shù)進(jìn)行研究,提出了建立基于IPSec的虛擬專用網(wǎng)的設(shè)計原則�,并在此基礎(chǔ)上給出了一個用于連接企業(yè)分支機構(gòu)的虛擬專用網(wǎng)的設(shè)計實例與工作流程分析�,指出利用IPSec實現(xiàn)虛擬專用網(wǎng)具有靈活、有效和易于實現(xiàn)的優(yōu)點��。 關(guān)鍵詞:IPSec����;VPN;網(wǎng)絡(luò)安全�����;防火墻 中圖分類號:TP89308文獻(xiàn)標(biāo)識碼:A文章編號:1007—6921(XX)03—0316—02 隨著Internet技術(shù)的迅猛發(fā)展
2�����、,開放的互聯(lián)網(wǎng)絡(luò)已經(jīng)成為社會生活中不可或缺的一部分��。因而��,如何保證網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒌陌踩闪似仍诿冀薜膯栴}����。許多大公司和政府機構(gòu)出于安全考慮不得不用物理的辦法將專用網(wǎng)絡(luò)和Internet隔離��,這種分割阻礙了Internet全球化的實現(xiàn)����。為此IETF(InternetEngineeringTaskForce)定義了IPSec協(xié)議簇����,為IP協(xié)議引入了安全特性��,同時也是目前適用于所有Internet通信的惟一一種安全技術(shù)�����。 目前,組建大型信息網(wǎng)絡(luò)的關(guān)鍵技術(shù)是TCP/IP網(wǎng)絡(luò)互聯(lián)和路由技術(shù)���,特別在Internet中�����,路由器起著重要的作用。這里所指的安全路由器是
3�、在完成普通路由器功能的基礎(chǔ)上實現(xiàn)了IPSec協(xié)議簇的路由設(shè)備,是保證互聯(lián)網(wǎng)(同時也包括Intranet和Extranet)信息安全的關(guān)鍵設(shè)備之一��,它可以防止虛假路由信息的接收��;防止路由器的非法接入���;對路由信息和IP數(shù)據(jù)包進(jìn)行加密保護(hù);對復(fù)雜網(wǎng)絡(luò)加密的正確性和系統(tǒng)的可用性進(jìn)行檢查�����。 1IP安全體系結(jié)構(gòu)的研究 IP安全體系結(jié)構(gòu)由IETF的IPSec工作組制訂��,是一個開放性的標(biāo)準(zhǔn)框架����。它不僅可以使用現(xiàn)今的密碼學(xué)算法��,而且將來出現(xiàn)更新更強大的密碼算法���,同樣也可以用于該體系結(jié)構(gòu)。IPSec不僅為因特網(wǎng)提供了基本的安全功能�,而且為創(chuàng)建健壯安全的虛擬專用網(wǎng)絡(luò)也提供了
4����、靈活的手段。 1.1安全服務(wù)和安全協(xié)議 IPSec工作組制訂的協(xié)議主要是為了解決以下幾個領(lǐng)域的問題:①數(shù)據(jù)源身份認(rèn)證證實數(shù)據(jù)報文是所聲稱的發(fā)送者發(fā)出的���。②數(shù)據(jù)完整性證實數(shù)據(jù)報文的內(nèi)容在傳輸過程中沒有被修改過��,無論是被故意改動或是由于發(fā)生了隨機的傳輸錯誤���。③數(shù)據(jù)保密隱藏明文的消息,通?���?考用軄韺崿F(xiàn)��。④重放攻擊保護(hù)攻擊者不能截獲數(shù)據(jù)報文���,且稍后某個時間再發(fā)放數(shù)據(jù)報文,而不會被檢測到����。⑤自動密鑰管理和安全關(guān)聯(lián)管理保證只需少量或根本不需要手工配置就可以在擴展的網(wǎng)絡(luò)上方便并精確地實現(xiàn)公司的虛擬專用網(wǎng)絡(luò)。這樣�,虛擬專用網(wǎng)的規(guī)模就可以根據(jù)業(yè)務(wù)的需要任意調(diào)整�。 I
5、PSec定義了兩種類型的安全協(xié)議:IP認(rèn)證報頭(AH)和IP負(fù)載安全封裝(ESP)���。其中AH采用MD5(MessageDigest5)和SHA1(SecureHashAlgorithm)算法��,AH為IP數(shù)據(jù)報文提供無連接的數(shù)據(jù)完整性校驗和數(shù)據(jù)源身份認(rèn)證���,同時可以防止重放攻擊。數(shù)據(jù)完整性校驗通過有消息認(rèn)證代碼(如MD5)產(chǎn)生的校驗來保證�;數(shù)據(jù)源身份認(rèn)證通過在待認(rèn)證數(shù)據(jù)中加入一個共享密鑰來實現(xiàn)��;而AH報頭中的序列號則是為了防止重放攻擊而加入的���。 ESP采用DES(DataEncryptionStandard)和3DES等算法,ESP提供的功能包括數(shù)據(jù)加密�、無連
6、接的數(shù)據(jù)完整性���、數(shù)據(jù)源身份認(rèn)證和重放攻擊保護(hù)����。其中數(shù)據(jù)加密是ESP的基本功能,而數(shù)據(jù)源身份認(rèn)證���、數(shù)據(jù)完整性校驗和重放攻擊保護(hù)則是可供選擇的���。雖然加密可以獨立于其他服務(wù)單獨選擇,但強烈推薦在使用加密的同時使用完整性校驗和身份認(rèn)證���。如果只選了加密服務(wù)���,攻擊者就可以通過偽數(shù)據(jù)報文來實施密碼分析攻擊��。而當(dāng)選擇了完整性校驗和身份認(rèn)證服務(wù)時,上述攻擊方法就是無效的����,此外,如果采用了非對稱的加密算法���,還能提供數(shù)字簽名服務(wù)。 AH和ESP協(xié)議都具有兩種使用模式:傳輸模式和通道模式(或叫隧道模式).傳輸模式僅適用于主機之間的通信���,該模式中����,AH或ESP報頭被插入到IP分組的
7���、IP報頭之后�、上層協(xié)議或其他IPSec報頭之前���。通道模式可用于主機或安全網(wǎng)關(guān)之間的通信,在該模式下����,源IP分組作為被鑒別或加密的數(shù)據(jù),在AH或ESP報頭之前再增加一新的IP報頭���。 1.2安全關(guān)聯(lián) IKE(InternetKeyExchange,因特網(wǎng)密鑰交換協(xié)議)為IPSec提供了自動協(xié)商交換密鑰�、建立安全聯(lián)盟的服務(wù)。 安全關(guān)聯(lián)(SA)是實現(xiàn)安全服務(wù)的基礎(chǔ)����。一個SA就是兩個IPSec系統(tǒng)之間的一個單向邏輯連接����,它詳細(xì)定義了用于保密通信的一組安全參數(shù)�,包括加密P鑒別算法�����、加密密鑰、協(xié)議模式��、SA的生存期等�����,通常用一個三元組惟一地表示�����,即:�����?����! ?yīng)于
8����、AH和ESP的模式��,SA也可分為兩種類
