王衛(wèi)國 馬超 李超凡

摘要：為探討IPSec VPN的會話建立過程和應(yīng)用效果，利用GNS3仿真軟件搭建邏輯網(wǎng)絡(luò)拓撲進行仿真實驗。該文通過深入分析IPSec安全框架中各類構(gòu)件的應(yīng)用方式和作用機制，進行端對端IPSec VPN工程實驗設(shè)計與仿真。實驗結(jié)果表明，IPSec VPN能夠提供訪問控制、數(shù)據(jù)加密與安全驗證的通信服務(wù)。

關(guān)鍵詞：VPN;IPSec安全框架;數(shù)據(jù)加密;仿真實驗

中圖分類號：TP393.1? ? ? ? 文獻標識碼：A

1 引言

VPN（Virtual Private Network）通過因特網(wǎng)服務(wù)提供商（Internet Service Provider，ISP）的公共網(wǎng)絡(luò)中建立客戶雙方的私有加密通信專線，即虛擬專用網(wǎng)絡(luò)。VPN技術(shù)是多樣的， VPN種類從僅僅提供語音業(yè)務(wù)發(fā)展到了提供數(shù)據(jù)交互、語音、視頻通話等。目前，基于IP網(wǎng)絡(luò)層的IPSec VPN、基于應(yīng)用層的SSL VPN、基于MPLS標簽交換的MPLS VPN是當前市場上的三類主流VPN技術(shù)。

2 IPsec 框架

本文著重探討基于IP網(wǎng)絡(luò)層的IPSec VPN，簡述IPSec安全框架的各個部件的作用機制，并搭建端到端的IPSec VPN仿真實驗，探討其工程應(yīng)用效果。

2.1 對稱加密算法DES

DES（Data Encryption Standard）算法為密碼體制中的對稱密碼體制[1]，DES入口參數(shù)有三個：key、data、mode。key為加密解密使用的密鑰，data為加密解密的數(shù)據(jù)，mode為其工作模式，適用于加密數(shù)據(jù)量較大的場合。

2.2 非對稱加密算法RSA

公開密鑰密碼體制（Rivest Shamir Adlemen，RSA）使用非對稱密鑰算法，本地與遠端產(chǎn)生兩個密鑰，一個私鑰與一個公鑰。在與遠端通信時，它將與對端交互公鑰并保留私鑰。在向遠端發(fā)送加密消息之前，本地將與遠端的公鑰和RSA算法對消息進行加密。輸出的結(jié)果是不可讀的密文，該消息將通過不安全的網(wǎng)絡(luò)傳送。遠端使用私鑰和RSA算法來對密文進行解密，輸出的結(jié)果是原始的消息。

2.3 散列函數(shù)

散列函數(shù)指的是根據(jù)輸入任何字節(jié)串，輸出固定長度數(shù)值的算法。散列函數(shù)用于消息或文件的完整性檢驗和數(shù)字簽名[2]。MD5（Message Digest Algorithm 5）是目前最廣泛應(yīng)用的信息摘要算法，可以為不同數(shù)據(jù)類型計算一個128位的散列值，確保信息傳輸?shù)耐暾浴?/p>

2.4 封裝安全載荷

封裝安全載荷（Encapsulate Security Payload，ESP）協(xié)議通過加密IP數(shù)據(jù)包的相關(guān)部分，提供數(shù)據(jù)保密、數(shù)據(jù)源認證、無連接數(shù)據(jù)完整性、抗重放服務(wù)和有限的數(shù)據(jù)流保密[3]。

2.5 網(wǎng)絡(luò)密鑰交換協(xié)議

網(wǎng)絡(luò)密鑰交換協(xié)議（Internet Key Exchange，IKE）是對安全關(guān)聯(lián)（Security Association，SA）的協(xié)商進行保護并提供經(jīng)認證的密鑰信息的協(xié)議[4]。在IPSec通信之間，動態(tài)建立安全管理，對其進行管理和維護。

2.6 傳輸模式

IPSec安全框架提供了傳輸模式和隧道模式兩類數(shù)據(jù)流交互方式，傳輸模式（Transport Mode）用于數(shù)據(jù)包的加解密操作固定在同一設(shè)備，而隧道模式（Tunnel Mode）用于加解密數(shù)據(jù)包的起始地或目的地不是安全終點的情況。

2.7 安全關(guān)聯(lián)

安全關(guān)聯(lián)（SA）是指一組用來保護信息的策略和密鑰，在兩個使用IPSec的實體間建立的邏輯連接，協(xié)商了實體間如何使用安全服務(wù)進行通信[5]。

安全關(guān)聯(lián)SA由下面3個參數(shù)唯一確定：

1）安全參數(shù)索引號（SPI）：一個32數(shù)字位串，由AH和ESP攜帶，使得接收方能選擇特定的SA處理數(shù)據(jù)包。

2）IP目的地址：單一的IP地址，表示該類SA的目的地址。

3）安全協(xié)議標識：標識該SA的種類。

3 端對端IPSec VPN仿真實驗

3.1 實驗過程

圖1為本實驗網(wǎng)絡(luò)拓撲，由VPN Site1、ISP運營商和VPN Site2組成，外連公網(wǎng)地址分別設(shè)置為101.10.10.0/24，201.10.10.2/24，內(nèi)連私網(wǎng)地址設(shè)置為192.168.0.0/16地址段。

為了更直觀地展示IPSec安全框架在VPN建立過程中的應(yīng)用，表1顯示的是端對端IPSec會話建立的具體實現(xiàn)步驟。

3.2 實驗結(jié)果分析

按照密鑰交換協(xié)議，查看ISAKMP SA、IPsec SA及IPsec VPN會話建立情況。首先查看ISAKMP會話，如圖2所示，ISAKMP已經(jīng)建立從VPN Site1到VPN Site2的會話，且會話狀態(tài)處于ACTIVATE狀態(tài)。

IPSec SA的建立結(jié)果如圖3所示，端對端已經(jīng)按照表1的配置方式建立了加密的IP數(shù)據(jù)包信息通道，以crypto map tag的密鑰進行會話加密，并且生成了用于雙方持續(xù)通信的安全參數(shù)索引號（SPI），會話狀態(tài)處于ACTIVE。

端對端IPSec VPN信息通道的傳輸效果如圖4所示，通信雙方已經(jīng)生成DES+MD5的加解密方式，并且在兩端的出口設(shè)備上，加解密的IP數(shù)據(jù)包個數(shù)保持一致，IPSec VPN信息通道正常運行且非常穩(wěn)定。

4 結(jié)論

本文介紹了IPsec框架的四個核心組件：加密和驗證、安全封裝、密鑰交換協(xié)議和傳輸模式，通過仿真案例展示了IPSec VPN的會話過程，驗證了各類構(gòu)件的實驗效果。目前，IPSec VPN因其訪問控制、數(shù)據(jù)加密、可靠性保障等優(yōu)勢仍是端對端進行加密數(shù)據(jù)傳輸?shù)闹饕绞健?/p>

參考文獻：

[1] 薛江波，胡曦明，馬苗，等.IPSec VPN的NAT穿越技術(shù)與仿真實驗[J].網(wǎng)絡(luò)空間安全，2018，9（2）：51-55.

[2] 李超凡，劉偉，吳響，等.高性能IPSec VPN工程設(shè)計與仿真[J].實驗技術(shù)與管理，2021，38（2）：73-77.

[3] 文淑華，閆超陽，羅緒成，等.基于云桌面的IPSec VPN實驗設(shè)計[J].實驗技術(shù)與管理，2019，36（7）：58-61.

[4] 李超凡，劉瓊，李民璽，等.醫(yī)院虛擬專用網(wǎng)絡(luò)研究與仿真設(shè)計[J].中國數(shù)字醫(yī)學(xué)，2020，15（10）：91-93.

[5] 王霞俊.基于H3C HCL的IPSec VPN實驗設(shè)計與仿真[J].實驗室研究與探索，2018，37（3）：118-121.

【通聯(lián)編輯：代影】

收稿日期：2021-06-02

作者簡介：王衛(wèi)國（1992—），男，江蘇連云港人，信息安全工程師，Cisco Routing & Switching、Security認證專家，主要研究方向為計算機網(wǎng)絡(luò)應(yīng)用技術(shù)、信息系統(tǒng)集成與開發(fā);李超凡（1995—），男，江蘇徐州人，通信作者，網(wǎng)絡(luò)工程師，碩士，Cisco Routing & Switching認證專家，主要研究方向為計算機網(wǎng)絡(luò)應(yīng)用技術(shù)、醫(yī)學(xué)信息處理。

3054500338299