資源描述:
《基于ipsec安全體系的vpn網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)》由會(huì)員上傳分享�,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1�、基于IPSec安全體系的VPN網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn) (呼倫貝爾學(xué)院信息科學(xué)學(xué)院���,內(nèi)蒙古呼倫貝爾021008)
摘要:文章通過對(duì)IP安全體系結(jié)構(gòu)(IPSec)的關(guān)鍵技術(shù)進(jìn)行研究���,提出了建立基于IPSec的虛擬專用網(wǎng)的設(shè)計(jì)原則,并在此基礎(chǔ)上給出了一個(gè)用于連接企業(yè)分支機(jī)構(gòu)的虛擬專用網(wǎng)的設(shè)計(jì)實(shí)例與工作流程分析�,指出利用IPSec實(shí)現(xiàn)虛擬專用網(wǎng)具有靈活、有效和易于實(shí)現(xiàn)的優(yōu)點(diǎn)����。
關(guān)鍵詞:IPSec;VPN��;網(wǎng)絡(luò)安全��;防火墻
中圖分類號(hào):TP89308文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007—6921(XX)03—0316—02
隨著Internet技術(shù)的迅猛發(fā)展
2、�����,開放的互聯(lián)網(wǎng)絡(luò)已經(jīng)成為社會(huì)生活中不可或缺的一部分�����。因而�����,如何保證網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⒌陌踩闪似仍诿冀薜膯栴}����。許多大公司和政府機(jī)構(gòu)出于安全考慮不得不用物理的辦法將專用網(wǎng)絡(luò)和Internet隔離���,這種分割阻礙了Internet全球化的實(shí)現(xiàn)����。為此IETF(InternetEngineeringTaskForce)定義了IPSec協(xié)議簇���,為IP協(xié)議引入了安全特性��,同時(shí)也是目前適用于所有Internet通信的惟一一種安全技術(shù)���。
目前�,組建大型信息網(wǎng)絡(luò)的關(guān)鍵技術(shù)是TCP/IP網(wǎng)絡(luò)互聯(lián)和路由技術(shù)���,特別在Internet中��,路由器起著重要的作用�����。這里所指的安全路由器是在完成
3���、普通路由器功能的基礎(chǔ)上實(shí)現(xiàn)了IPSec協(xié)議簇的路由設(shè)備,是保證互聯(lián)網(wǎng)(同時(shí)也包括Intranet和Extranet)信息安全的關(guān)鍵設(shè)備之一���,它可以防止虛假路由信息的接收��;防止路由器的非法接入���;對(duì)路由信息和IP數(shù)據(jù)包進(jìn)行加密保護(hù);對(duì)復(fù)雜網(wǎng)絡(luò)加密的正確性和系統(tǒng)的可用性進(jìn)行檢查�。
1IP安全體系結(jié)構(gòu)的研究
IP安全體系結(jié)構(gòu)由IETF的IPSec工作組制訂���,是一個(gè)開放性的標(biāo)準(zhǔn)框架。它不僅可以使用現(xiàn)今的密碼學(xué)算法�����,而且將來出現(xiàn)更新更強(qiáng)大的密碼算法�,同樣也可以用于該體系結(jié)構(gòu)�����。IPSec不僅為因特網(wǎng)提供了基本的安全功能�����,而且為創(chuàng)建健壯安全的虛擬專用網(wǎng)絡(luò)也提供了靈活的手段��。
4����、
1.1安全服務(wù)和安全協(xié)議
IPSec工作組制訂的協(xié)議主要是為了解決以下幾個(gè)領(lǐng)域的問題:①數(shù)據(jù)源身份認(rèn)證證實(shí)數(shù)據(jù)報(bào)文是所聲稱的發(fā)送者發(fā)出的。②數(shù)據(jù)完整性證實(shí)數(shù)據(jù)報(bào)文的內(nèi)容在傳輸過程中沒有被修改過�����,無論是被故意改動(dòng)或是由于發(fā)生了隨機(jī)的傳輸錯(cuò)誤。③數(shù)據(jù)保密隱藏明文的消息�,通常靠加密來實(shí)現(xiàn)�����。④重放攻擊保護(hù)攻擊者不能截獲數(shù)據(jù)報(bào)文�,且稍后某個(gè)時(shí)間再發(fā)放數(shù)據(jù)報(bào)文,而不會(huì)被檢測(cè)到�。⑤自動(dòng)密鑰管理和安全關(guān)聯(lián)管理保證只需少量或根本不需要手工配置就可以在擴(kuò)展的網(wǎng)絡(luò)上方便并精確地實(shí)現(xiàn)公司的虛擬專用網(wǎng)絡(luò)。這樣���,虛擬專用網(wǎng)的規(guī)模就可以根據(jù)業(yè)務(wù)的需要任意調(diào)整����。
IPSec定義了兩種
5���、類型的安全協(xié)議:IP認(rèn)證報(bào)頭(AH)和IP負(fù)載安全封裝(ESP)����。其中AH采用MD5(MessageDigest5)和SHA1(SecureHashAlgorithm)算法��,AH為IP數(shù)據(jù)報(bào)文提供無連接的數(shù)據(jù)完整性校驗(yàn)和數(shù)據(jù)源身份認(rèn)證���,同時(shí)可以防止重放攻擊���。數(shù)據(jù)完整性校驗(yàn)通過有消息認(rèn)證代碼(如MD5)產(chǎn)生的校驗(yàn)來保證��;數(shù)據(jù)源身份認(rèn)證通過在待認(rèn)證數(shù)據(jù)中加入一個(gè)共享密鑰來實(shí)現(xiàn)���;而AH報(bào)頭中的序列號(hào)則是為了防止重放攻擊而加入的。
ESP采用DES(DataEncryptionStandard)和3DES等算法��,ESP提供的功能包括數(shù)據(jù)加密�����、無連接的數(shù)據(jù)完整性��、數(shù)據(jù)源身
6����、份認(rèn)證和重放攻擊保護(hù)�。其中數(shù)據(jù)加密是ESP的基本功能,而數(shù)據(jù)源身份認(rèn)證��、數(shù)據(jù)完整性校驗(yàn)和重放攻擊保護(hù)則是可供選擇的����。雖然加密可以獨(dú)立于其他服務(wù)單獨(dú)選擇�,但強(qiáng)烈推薦在使用加密的同時(shí)使用完整性校驗(yàn)和身份認(rèn)證�����。如果只選了加密服務(wù)�,攻擊者就可以通過偽數(shù)據(jù)報(bào)文來實(shí)施密碼分析攻擊。而當(dāng)選擇了完整性校驗(yàn)和身份認(rèn)證服務(wù)時(shí),上述攻擊方法就是無效的����,此外,如果采用了非對(duì)稱的加密算法����,還能提供數(shù)字簽名服務(wù)。
AH和ESP協(xié)議都具有兩種使用模式:傳輸模式和通道模式(或叫隧道模式).傳輸模式僅適用于主機(jī)之間的通信���,該模式中�����,AH或ESP報(bào)頭被插入到IP分組的IP報(bào)頭之后�����、上層協(xié)議或其他I
7��、PSec報(bào)頭之前�����。通道模式可用于主機(jī)或安全網(wǎng)關(guān)之間的通信��,在該模式下�����,源IP分組作為被鑒別或加密的數(shù)據(jù)�,在AH或ESP報(bào)頭之前再增加一新的IP報(bào)頭�����。
1.2安全關(guān)聯(lián)
IKE(InternetKeyExchange�����,因特網(wǎng)密鑰交換協(xié)議)為IPSec提供了自動(dòng)協(xié)商交換密鑰���、建立安全聯(lián)盟的服務(wù)�����。
安全關(guān)聯(lián)(SA)是實(shí)現(xiàn)安全服務(wù)的基礎(chǔ)�����。一個(gè)SA就是兩個(gè)IPSec系統(tǒng)之間的一個(gè)單向邏輯連接�,它詳細(xì)定義了用于保密通信的一組安全參數(shù),包括加密P鑒別算法�、加密密鑰、協(xié)議模式����、SA的生存期等,通常用一個(gè)三元組惟一地表示�����,即:���。
對(duì)應(yīng)
