朱海水 永城職業(yè)學(xué)院

基于IPSec的網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)與VPN構(gòu)建實(shí)現(xiàn)

朱海水 永城職業(yè)學(xué)院

IPSec在IP層提供安全服務(wù)，使得一個(gè)系統(tǒng)可以選擇需要的協(xié)議，決定為這些服務(wù)而使用的算法，選擇提供要求的服務(wù)所需要的任何密鑰。IPSec可保障主機(jī)之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)（如路由器或防火墻）之間或主機(jī)與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。因此，采用基于IPSec的網(wǎng)絡(luò)安全設(shè)備可為重要數(shù)據(jù)安全傳輸提供保障。

IPSec ESP VPN 網(wǎng)絡(luò)安全設(shè)備

在設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)備時(shí)采用IPSec協(xié)議，使用ESP對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行嚴(yán)格的保護(hù)，可大大增強(qiáng)IP站點(diǎn)間安全性。在傳輸重要數(shù)據(jù)的通信IP網(wǎng)中使用本文設(shè)計(jì)的基于IPSec的網(wǎng)絡(luò)安全設(shè)備構(gòu)建VPN能很好地防止數(shù)據(jù)被更改或竊取，確保數(shù)據(jù)傳輸?shù)陌踩浴?/p>

1 IPSec概述

IPSec協(xié)議是IETF提供的在Internet上進(jìn)行安全通信的一系列規(guī)范，提供了在局域網(wǎng)、專用和公用的廣域網(wǎng)和Internet上的安全通信的能力，保證了IP數(shù)據(jù)報(bào)的高質(zhì)量性、保密性和可操作性，它為私有信息通過公用網(wǎng)提供了安全保障。通過IKE將IPSec協(xié)議簡(jiǎn)化使用和管理，使IPSec協(xié)議自動(dòng)協(xié)商交換密鑰、建立和維護(hù)安全聯(lián)盟服務(wù)。使用IPSec協(xié)議來設(shè)計(jì)實(shí)現(xiàn)的VPN網(wǎng)關(guān)具有數(shù)據(jù)安全性、完整性、成本低等幾方面的優(yōu)勢(shì)。

2 網(wǎng)絡(luò)安全設(shè)備設(shè)計(jì)

2.1 設(shè)備加解密原理

為確保重要數(shù)據(jù)傳輸安全可靠，需在通信IP網(wǎng)中增加保密措施，因此本文設(shè)計(jì)了基于IPSec的網(wǎng)絡(luò)安全設(shè)備。設(shè)備采用軟件和硬件相結(jié)合的方式實(shí)現(xiàn)IPSec協(xié)議體系。軟件模塊主要完成控制層面的功能，包括網(wǎng)絡(luò)管理、密鑰管理、策略管理、配置管理、設(shè)備管理、信道協(xié)商等功能；硬件模塊主要完成數(shù)據(jù)處理層面的功能，包括數(shù)據(jù)包的協(xié)議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能。

當(dāng)設(shè)備收到用戶IP包時(shí)，先判斷其是否為保密數(shù)據(jù)，如果是，則在該IP數(shù)據(jù)前加入一個(gè)ESP頭，然后發(fā)送到公網(wǎng)。ESP頭緊跟在IP頭后面，ESP占用IP協(xié)議標(biāo)識(shí)值為50。對(duì)IP包的處理遵守以下規(guī)則：對(duì)于要發(fā)送到公網(wǎng)的IP包，先加密，后驗(yàn)證；對(duì)于從公網(wǎng)上收到的IP包，先驗(yàn)證，后解密。

當(dāng)設(shè)備要發(fā)送一個(gè)IP包時(shí)，它在原IP頭前面插入一個(gè)ESP頭，并將ESP頭中的下一個(gè)頭字段改為4，根據(jù)密鑰管理協(xié)議協(xié)商得到的SPI值填入到ESP頭中，并分配一個(gè)序列號(hào)，同時(shí)根據(jù)算法要求插入填充字段，并計(jì)算填充長(zhǎng)度。在ESP頭的前面插入一個(gè)新的IP頭，源地址為設(shè)備的IP地址，目的地址為對(duì)端設(shè)備的IP地址，并對(duì)相應(yīng)的字段賦值，在做完以上處理后，對(duì)IP包加密，并進(jìn)行驗(yàn)證，將驗(yàn)證數(shù)據(jù)插入ESP尾部。最后計(jì)算最前面的IP頭的校驗(yàn)和。

2.2 硬件結(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)安全設(shè)備采用模塊化的設(shè)計(jì)思路，各硬件功能模塊之間采用接插件方式連接，設(shè)備主板是數(shù)據(jù)處理核心模塊，其他各模塊通過接插件與其連接。承載了業(yè)務(wù)安全處理、加解密等設(shè)備的核心功能。其上的主控模塊運(yùn)行Vxworks操作系統(tǒng)，承載設(shè)備嵌入式軟件，全面管理設(shè)備軟硬件運(yùn)行狀態(tài)。板載密碼模塊完成業(yè)務(wù)數(shù)據(jù)的高速加解密處理。

接口板包括用戶口和網(wǎng)絡(luò)口兩塊接口板，通過高速接插件插在設(shè)備主板上。接口板上的千兆MAC芯片通過業(yè)務(wù)和控制線纜連接到后接線板。

IC卡讀卡器通過RS232接口線纜與設(shè)備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應(yīng)的直流電源。后接線板提供千兆口、100/1000自適應(yīng)電口的用戶業(yè)務(wù)接入，本地控制接入。

3 VPN構(gòu)建

網(wǎng)絡(luò)安全設(shè)備專門用于在TCP/IP體系的網(wǎng)絡(luò)層提供鑒別、隧道傳輸和加解密功能。通過對(duì)IP層加解密，可以支持大多數(shù)用戶業(yè)務(wù)，對(duì)局域網(wǎng)重要數(shù)據(jù)進(jìn)行加密保護(hù)，通過公共通信網(wǎng)絡(luò)構(gòu)建自主安全可控的內(nèi)部VPN，集成一定的包過濾功能，使各種重要數(shù)據(jù)安全、透明地通過公共通信環(huán)境，是信息系統(tǒng)安全保障體系的基礎(chǔ)平臺(tái)和重要組成部分。設(shè)備部署在局域網(wǎng)出口處，通過對(duì)IP數(shù)據(jù)的加解密，可以保證局域網(wǎng)數(shù)據(jù)在公共信道上傳輸?shù)陌踩浴?/p>

與設(shè)備相連的內(nèi)部網(wǎng)受到IPSec保護(hù)，這個(gè)內(nèi)部網(wǎng)可連入不安全的公用或?qū)Ｓ镁W(wǎng)絡(luò)，如衛(wèi)星通信、海事和專用光纖等。在一個(gè)具體的通信中，兩個(gè)設(shè)備建立起一個(gè)安全通道，通信就可通過這個(gè)通道從一個(gè)本地受保護(hù)內(nèi)部網(wǎng)發(fā)送到另一個(gè)遠(yuǎn)程保護(hù)內(nèi)部網(wǎng)，就形成了一個(gè)安全虛擬網(wǎng)。當(dāng)位于某個(gè)安全內(nèi)部網(wǎng)的主機(jī)要向另一個(gè)位于安全內(nèi)部網(wǎng)的主機(jī)發(fā)送數(shù)據(jù)包時(shí)，源端網(wǎng)絡(luò)安全設(shè)備通過IPSec對(duì)數(shù)據(jù)包進(jìn)行封裝，封裝后的數(shù)據(jù)包通過隧道穿越公用網(wǎng)絡(luò)后到達(dá)對(duì)端網(wǎng)絡(luò)安全設(shè)備。由于事先已經(jīng)經(jīng)過協(xié)商，收端網(wǎng)絡(luò)安全設(shè)備知道發(fā)端所使用的加密算法及解密密鑰，因此可以對(duì)接收數(shù)據(jù)包進(jìn)行封裝。解封裝后的數(shù)據(jù)包則轉(zhuǎn)發(fā)給真正的信宿主機(jī)，反之亦然。

TCP/IP協(xié)議的開放性、靈活性使得基于IP技術(shù)的通信系統(tǒng)成為各類通信網(wǎng)絡(luò)的主要構(gòu)成部分，但網(wǎng)絡(luò)上的IP數(shù)據(jù)包幾乎都是用明文傳輸?shù)?，非常容易遭到竊聽、篡改等攻擊。特別是傳輸重要數(shù)據(jù)的通信IP網(wǎng)，網(wǎng)絡(luò)的安全性尤其重要。

[1]劉春艷.基于IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，11

[2]王妍.基于IPSec的VPN系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[D].電子科技大學(xué)，2013