劉莉

摘 要：IPSec協(xié)議是一個(gè)IP安全標(biāo)準(zhǔn)，是一組開(kāi)發(fā)協(xié)議的總稱，通過(guò)加密來(lái)確保網(wǎng)絡(luò)的安全通信。VPN即虛擬專用網(wǎng)，是在公共網(wǎng)絡(luò)上建立一個(gè)專用的邏輯上的虛擬網(wǎng)絡(luò)。VPN可以提供高的安全性、可靠性和易管理性。采用基于IPSec的VPN技術(shù)，可以從傳統(tǒng)的專用網(wǎng)絡(luò)轉(zhuǎn)移到對(duì)公共網(wǎng)絡(luò)的利用上，極大地降低運(yùn)營(yíng)成本，同時(shí)保護(hù)通信數(shù)據(jù)的安全性。

關(guān)鍵詞：IPSec；VPN；通信

隨著互聯(lián)網(wǎng)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在電信、交通、教育、軍事、商業(yè)等各個(gè)方面的作用日益增加，人們對(duì)于網(wǎng)絡(luò)的依賴性也越來(lái)越大，但隨之而來(lái)的問(wèn)題也越來(lái)越多，其中網(wǎng)絡(luò)安全問(wèn)題受到了廣泛的關(guān)注。然而，網(wǎng)絡(luò)中廣泛使用的TCP/IP協(xié)議在設(shè)計(jì)之初并沒(méi)有考慮到數(shù)據(jù)傳輸?shù)陌踩?，造成了巨大的安全隱患。

對(duì)于企業(yè)而言，企業(yè)內(nèi)部之間和企業(yè)之間進(jìn)行交流的時(shí)候，需要考慮數(shù)據(jù)傳輸?shù)陌踩院涂煽啃詥?wèn)題。通常采用的方法是，租用或者組件專用網(wǎng)來(lái)實(shí)現(xiàn)，但是這樣做會(huì)產(chǎn)生昂貴的成本，并且不利于企業(yè)對(duì)網(wǎng)絡(luò)的管理。因此，企業(yè)需要成本低、易于管理、安全性高的方案，來(lái)應(yīng)用于企業(yè)外聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)中?；贗PSec的VPN技術(shù)，很好的解決了這一問(wèn)題，并在企業(yè)網(wǎng)建設(shè)中得到了廣泛的應(yīng)用。

1 VPN技術(shù)概述

虛擬專用網(wǎng)VPN是在公共網(wǎng)絡(luò)中建立私有的專用虛擬鏈路進(jìn)行通信的網(wǎng)絡(luò)，通過(guò)公共網(wǎng)絡(luò)來(lái)完成私有網(wǎng)絡(luò)的數(shù)據(jù)傳輸，其中涉及加密、認(rèn)證等多種網(wǎng)絡(luò)安全技術(shù)。

根據(jù)不同的需求，可以構(gòu)造三類VPN：企業(yè)內(nèi)部虛擬專用網(wǎng)Intranet VPN、遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)Remote Access VPN和企業(yè)擴(kuò)展虛擬專用網(wǎng)Extranet VPN。

簡(jiǎn)單來(lái)說(shuō)，Intranet VPN是總部與分公司之間的用戶進(jìn)行通信的內(nèi)部網(wǎng)VPN，用戶之間進(jìn)行通信的數(shù)據(jù)都需要經(jīng)過(guò)加密和認(rèn)證，Remote Access VPN是企業(yè)員工在企業(yè)外部訪問(wèn)企業(yè)內(nèi)網(wǎng)所構(gòu)建的VPN，Extranet VPN則是不同企業(yè)之間進(jìn)行通信的VPN。

2 基于IPSec的VPN技術(shù)

IPSec VPN技術(shù)保證了利用公共網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳遞的安全性和可靠性，其實(shí)質(zhì)就是利用IPSec協(xié)議來(lái)建立安全隧道進(jìn)行數(shù)據(jù)通信的VPN技術(shù)。

IPSec（IP Security），即IP安全協(xié)議，是IETF（因特網(wǎng)工程任務(wù)組）于1998年11月公布的IP安全標(biāo)準(zhǔn)，它是一組開(kāi)發(fā)協(xié)議的總稱。IPSec協(xié)議目標(biāo)是為IPv4和IPv6提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全。它是一個(gè)開(kāi)放性的標(biāo)準(zhǔn)框架，不僅為因特網(wǎng)提供了基本的安全功能，而且為創(chuàng)建健壯安全的虛擬專用網(wǎng)絡(luò)（VPN）提供了靈活的手段。

大部分IPSec實(shí)施方案的組件都包括：認(rèn)證頭AH和封裝安全載荷ESP，安全策略數(shù)據(jù)庫(kù)SPD，安全聯(lián)盟數(shù)據(jù)庫(kù)SADB，Internet密鑰交換IKE，策略和SA管理，以及一系列加密認(rèn)證算法等。

AH協(xié)議用來(lái)向IP通信提供數(shù)據(jù)完整性和身份驗(yàn)證，同時(shí)可提供抗重播服務(wù)。

ESP協(xié)議提供IP加密保證和驗(yàn)證數(shù)據(jù)源以對(duì)付網(wǎng)絡(luò)上的監(jiān)聽(tīng)，因?yàn)锳H雖然可以保護(hù)通信免受篡改，但并不對(duì)數(shù)據(jù)進(jìn)行變形變換，數(shù)據(jù)對(duì)于黑客而言仍然是清晰的，為了有效地保證數(shù)據(jù)傳輸安全，提供ESP進(jìn)一步來(lái)提供數(shù)據(jù)保密性同時(shí)防止篡改。

IPSec VPN具有高的靈活性、強(qiáng)大的安全性、多業(yè)務(wù)性、降低建網(wǎng)費(fèi)用、冗余性、通道分離性、易于管理等特點(diǎn)。使用IPSec VPN通信的時(shí)候，需要在發(fā)送方進(jìn)行身份認(rèn)證，以便于系統(tǒng)劃分客戶權(quán)限，在VPN交換機(jī)根據(jù)安全策略為數(shù)據(jù)包加上AH或者ESP頭，然后進(jìn)行IKE處理，對(duì)處理之后的數(shù)據(jù)包采用隧道模式封裝，進(jìn)而進(jìn)行數(shù)據(jù)的發(fā)送。接收方收到數(shù)據(jù)包之后，剝離IP頭，使用數(shù)據(jù)包中的AH或者ESP頭調(diào)用IESec層，摘錄出SPI，并從SAD中去除SA，以判斷數(shù)據(jù)包是否丟棄，然后進(jìn)行安全性、完整性驗(yàn)證等操作。

IPSec VPN提供了強(qiáng)大的安全性，其結(jié)合現(xiàn)有的RADIUS、LDAP等認(rèn)證技術(shù)實(shí)現(xiàn)用戶的認(rèn)證授權(quán)，支持多種通道協(xié)議、數(shù)據(jù)加密方法和過(guò)濾功能，并且內(nèi)置防火墻功能，可以實(shí)現(xiàn)從公網(wǎng)到私網(wǎng)的接口數(shù)據(jù)傳輸。

由于VPN直接利用公共網(wǎng)絡(luò)建立，因此造價(jià)低廉，并且由于公共網(wǎng)絡(luò)布網(wǎng)的全球性，使得IPSec VPN十分靈活，可以連接到任意地點(diǎn)的分支。

為了保障VPN隧道和設(shè)備的可靠性，可以采用冗余機(jī)制，增加備份鏈路和設(shè)備。由于對(duì)用戶的權(quán)限進(jìn)行了設(shè)置，可以使得用戶安全、靈活地訪問(wèn)內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和其他聯(lián)網(wǎng)企業(yè)的網(wǎng)絡(luò)資源，同時(shí)IPSec VPN支持IP話音、視頻等多種業(yè)務(wù)數(shù)據(jù)的傳輸，滿足不同用戶的需求。

3 小結(jié)

IPSec協(xié)議作為IP網(wǎng)絡(luò)通信中的安全保障，在網(wǎng)絡(luò)安全通信中起著非常重要的作用，而基于IPSec的VPN技術(shù)，利用公共網(wǎng)絡(luò)建設(shè)虛擬隧道進(jìn)行通信，大大降低了網(wǎng)絡(luò)建設(shè)和運(yùn)營(yíng)的成本，同時(shí)為數(shù)據(jù)的傳輸提供了可靠的安全保障，目前已經(jīng)得到廣泛應(yīng)用，且性能穩(wěn)定。

參考文獻(xiàn)：

[1] Kent S， Atkinson R. IP Encapsulating Security Payload[S]. RFC2406 IETF，1998.

[2] 鄭博.基于IPSec的VPN技術(shù)及應(yīng)用[J].數(shù)字技術(shù)與應(yīng)用，2011（9）：53-54.

[3] 何亞輝，肖路，陳鳳英.基于IPSec的VPN技術(shù)原理與應(yīng)用[J].重慶工學(xué)院學(xué)報(bào)，2006，20（11）：114-117.

[4] 王鳳領(lǐng).基于IPSec的VPN技術(shù)的應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2012，22（9）：250-253.