張娜

【摘要】 為了防止網(wǎng)絡(luò)與互聯(lián)網(wǎng)的攻擊，IPSec通過端對(duì)端的方式提供了一種安全性的主動(dòng)保護(hù)。本文在對(duì)IPSec協(xié)議進(jìn)行簡(jiǎn)要闡述的基礎(chǔ)上，提出了一種基于Linux操作系統(tǒng)構(gòu)建IPSec安全網(wǎng)關(guān)和VPN系統(tǒng)的方案，并根據(jù)實(shí)際工程需求以及對(duì)信息安全的研究，建立了一種基于IPSec協(xié)議的VPN網(wǎng)絡(luò)信息安全體系。

【關(guān)鍵詞】 IPSec協(xié)議 VPN 網(wǎng)絡(luò)安全

一、IPSec協(xié)議概述

IPSec協(xié)議（Internet Protocol Security）是因特網(wǎng)工程任務(wù)組（IETF）制定的一套可以用在IPv4和IPv6上的安全協(xié)議，該協(xié)議基于密碼學(xué)方法，支持機(jī)密性和認(rèn)證服務(wù)等安全服務(wù)，具有互操作性[1]。IPSec協(xié)議主要用于確?；ヂ?lián)網(wǎng)上的一系列IP（網(wǎng)際協(xié)議）協(xié)議能夠進(jìn)行安全有效的傳輸。IPSec協(xié)議包括一系列以編號(hào)排定的文件，為了確保不同方案之間能夠?qū)崿F(xiàn)互通，它定義了一套默認(rèn)的、強(qiáng)制實(shí)施的算法[2]。

認(rèn)證頭協(xié)議（AH）和封裝安全協(xié)議（ESP）是IPSec協(xié)議的兩個(gè)子協(xié)議。其中認(rèn)證頭協(xié)議（AH）的協(xié)議號(hào)為51，其主要目的是增加IP數(shù)據(jù)報(bào)的安全性，它能夠提供無連接的完整性、防重放攻擊保護(hù)以及數(shù)據(jù)源頭認(rèn)證服務(wù)，但它不為所保護(hù)的數(shù)據(jù)報(bào)加密，即不提供任何的保密性服務(wù)；封裝安全協(xié)議（ESP）的協(xié)議號(hào)為50，是插在IP報(bào)文內(nèi)的一個(gè)協(xié)議頭，主要為IP提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性、抗重播等安全服務(wù)。AH和ESP兩者之間的不同點(diǎn)在于認(rèn)證頭協(xié)議（AH）不包含機(jī)密過程，而封裝安全協(xié)議（ESP）有加密措施；此外認(rèn)證頭協(xié)議（AH）的驗(yàn)證范圍涵蓋了整條報(bào)文，而封裝安全協(xié)議（ESP）不需要驗(yàn)證外部的IP數(shù)據(jù)頭。

根據(jù)保護(hù)對(duì)象以及使用地點(diǎn)的不同，， IPSec協(xié)議分為隧道模式和傳送模式。隧道模式主要用于在Internet中的路由，并對(duì)整個(gè)IP分組采取保護(hù)措施。主要做法是將IP分組加密，并將加密后的分組完全封裝到另一個(gè)IP分組中；傳送模式主要用于主機(jī)之間，負(fù)責(zé)對(duì)分組負(fù)載進(jìn)行有效保護(hù)，但是不對(duì)原來的IP地址進(jìn)行加密。

二、安全協(xié)議IPSec的實(shí)現(xiàn)

IPSec是一組開放安全協(xié)議的總稱， VPN（虛擬局域網(wǎng)）網(wǎng)關(guān)支持同時(shí)使用IPSec中的ESP和AH協(xié)議，以及支持隧道和傳送兩種模式?，F(xiàn)以AH協(xié)議處理為例，闡述IPSec模塊在Linux下的實(shí)現(xiàn)方案。

AH協(xié)議分為輸入和輸出兩部分，主要負(fù)責(zé)報(bào)文完整性認(rèn)證的工作。在AH協(xié)議中，驅(qū)動(dòng)程序負(fù)責(zé)報(bào)文的接收，并將報(bào)文放入IP隊(duì)列內(nèi)。為了確保字段的完整性和正確性，AH協(xié)議會(huì)對(duì)輸入的報(bào)文進(jìn)行完整性校驗(yàn)。對(duì)于輸入的AH報(bào)頭各字段的合法性和長(zhǎng)度值的檢查，主要由AH協(xié)議的輸入部分負(fù)責(zé)。AH協(xié)議報(bào)頭內(nèi)專門的序列號(hào)字段主要用于進(jìn)行抗重放攻擊服務(wù)。在方案中報(bào)文的輸入過程是：維護(hù)一個(gè)序號(hào)滑動(dòng)窗口，其主要負(fù)責(zé)對(duì)報(bào)文內(nèi)序號(hào)字段進(jìn)行檢查，檢查的內(nèi)容包括：字段接收范圍、接收字段號(hào)，最后根據(jù)檢查內(nèi)容判斷是否接收?qǐng)?bào)文。正確報(bào)文的接收工作包括：提取報(bào)文序列號(hào)、修改滑動(dòng)窗口。確認(rèn)接收?qǐng)?bào)文后，刪除封裝的IP隧道頭和AH頭，還原內(nèi)部IP報(bào)文并將其重新置入IP隊(duì)列中。報(bào)文輸出的工作過程包括：計(jì)算出完整性校驗(yàn)值，并放入新添加的AH協(xié)議頭的指定字段位置，并從SA（安全關(guān)聯(lián)）內(nèi)取出相應(yīng)的AH頭信息填入AH頭，添加封裝外部隧道的IP頭。

三、系統(tǒng)模塊的設(shè)計(jì)原則

為了使基于IPSec的VPN網(wǎng)絡(luò)系統(tǒng)能夠更好地應(yīng)用于大型局域網(wǎng)，在設(shè)計(jì)構(gòu)建VPN網(wǎng)絡(luò)系統(tǒng)的時(shí)候，還需要考慮以下設(shè)計(jì)原則：

高效率管理：為了提高管理效率，同時(shí)降低管理成本，本方案采取中心式的管理方法，通過遠(yuǎn)端管理配置每一臺(tái)網(wǎng)關(guān)，實(shí)現(xiàn)全局的策略配置。網(wǎng)關(guān)啟動(dòng)時(shí)會(huì)自動(dòng)從中心管理處下載策略，當(dāng)中心策略發(fā)生變動(dòng)時(shí)，會(huì)及時(shí)通知各個(gè)網(wǎng)關(guān)進(jìn)行策略的重新下載更新。除了中心管理外，方案還支持遠(yuǎn)程配置訪問。系統(tǒng)的穩(wěn)定性：中心網(wǎng)關(guān)一般處于24小時(shí)不停機(jī)的滿負(fù)荷工作狀態(tài)，非常忌諱死機(jī)現(xiàn)象的發(fā)生，對(duì)系統(tǒng)的穩(wěn)定性要求特別高。因此系統(tǒng)的最大無故障工作時(shí)間以及平均無故障時(shí)間等參數(shù)就顯得至關(guān)重要。 硬件設(shè)備的可靠性：安全網(wǎng)關(guān)對(duì)硬件設(shè)備的可靠性要求很高，其硬件設(shè)備應(yīng)該滿足速度快、散熱快、穩(wěn)定、可靠等高性能要求。便捷的升級(jí)方式：系統(tǒng)升級(jí)能夠很好地解決系統(tǒng)的漏洞，保證系統(tǒng)的穩(wěn)定性，并增加一定的功能。系統(tǒng)隨時(shí)都需要進(jìn)行更新升級(jí)，因此最便捷的升級(jí)方式就是能夠?qū)崿F(xiàn)在線升級(jí)。實(shí)時(shí)監(jiān)控：要保證每個(gè)網(wǎng)關(guān)能夠進(jìn)行信息的統(tǒng)計(jì)，包括是否處于安全連接狀態(tài)、是否正常工作等信息，此外對(duì)每個(gè)隧道通過的數(shù)據(jù)也要進(jìn)行統(tǒng)計(jì)。而管理中心能夠?qū)崟r(shí)地從各個(gè)網(wǎng)關(guān)提取統(tǒng)計(jì)信息。 證書管理：全局應(yīng)該設(shè)定一個(gè)CA中心，主要解決證書的產(chǎn)生、發(fā)放、簽名、驗(yàn)證以及授權(quán)管理。

四、結(jié)語

利用 IPSec 組建的 VPN 已成為新一代網(wǎng)絡(luò)安全服務(wù)的基礎(chǔ)，基于IPSec的VPN網(wǎng)絡(luò)安全的實(shí)現(xiàn)，不僅能對(duì)不同子網(wǎng)的數(shù)據(jù)通信進(jìn)行身份驗(yàn)證，合理有效地進(jìn)行訪問控制，而且很好地隱藏了網(wǎng)絡(luò)的結(jié)構(gòu)，較好地克服了安全威脅。

參 考 文 獻(xiàn)

[1] 劉景云. 活用IPSEC規(guī)則，打造安全網(wǎng)絡(luò)環(huán)境[J]. 電腦知識(shí)與技術(shù)：經(jīng)驗(yàn)技巧， 2015（9）：116-118.

[2] 盧剛. 用于IPSec協(xié)議的AES-128-CBC算法高速硬件設(shè)計(jì)[D]. 東南大學(xué)， 2015.