王笛 陳福玉

摘要：IPSec VPN是采用IPSec協(xié)議來實現(xiàn)遠程接入的VPN技術，極大地提高了TCP /IP協(xié)議的安全可靠性。文中首先對IPSec技術進行了介紹，對IPSec協(xié)議的體系架構(gòu)、主要功能、工作模式等進行了研究，分析了IPSec協(xié)議的優(yōu)勢，給出了IP-Sec的具體實現(xiàn)步驟和方法，并通過Wireshark軟件驗證了該技術的可行性和可靠性。

關鍵詞：虛擬專用網(wǎng)絡（VPN）;因特網(wǎng)安全協(xié)議（IPSec）;隧道技術

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）11-0017-03

1概述

如今，Internet的發(fā)展越來越快，它在現(xiàn)代社會中起著至關重要的作用。同時，網(wǎng)絡安全正在成為Internet的關注焦點。互聯(lián)網(wǎng)是一個基于TCP/IP協(xié)議的數(shù)據(jù)包交換網(wǎng)絡，它本身是不安全的，互聯(lián)網(wǎng)中幾乎所有IP數(shù)據(jù)包都是以純文本格式傳輸?shù)?，并且容易被攔截、篡改或偽造。

VPN（虛擬專用網(wǎng)絡）是一種虛擬專用本地網(wǎng)絡，可通過Internet等現(xiàn)有公共通信通道上的安全通道來實現(xiàn)安全性并降低成本。VPN在IP層中實現(xiàn)網(wǎng)絡安全，它對IP層之上的應用協(xié)議層是透明的，因此不需要特殊的安全機制。在受保護子網(wǎng)內(nèi)的兩個VPN設備之間建立了安全通道。當主機在同一個子網(wǎng)中進行通信時，信息是透明的;當主機與子網(wǎng)中的另一個進行通信時，將應用VPN保護以確保安全性和完整性。

IPSec是VPN開發(fā)中使用最廣泛的協(xié)議，它可能會成為將來IP VPN的標準。IPSec協(xié)議是IETF在1990年代后期提供的，它可以為所有安全服務提供統(tǒng)一的平臺。由于其高性能，IPSec被認為是下一代Internet的基本安全協(xié)議。如前所述，IP-Sec協(xié)議為IP層和所有上層協(xié)議提供保護，這對應用程序和最終用戶是透明的。但是IPSec協(xié)議非常復雜，同時許多問題尚未解決，因此具有很高的研究價值。

2IPSec協(xié)議體系架構(gòu)

IPSec體系結(jié)構(gòu)的第一主要部分是安全系統(tǒng)。IPSec使用AH（身份驗證頭）和ESP（封裝安全有效載荷）來提供數(shù)據(jù)包的安全性。AH提供無連接完整性，數(shù)據(jù)源身份驗證和可選的防重播服務。ESP不僅提供數(shù)據(jù)機密性和有限通信流量的機密性，還提供無連接完整性，數(shù)據(jù)源身份驗證和防重播。AH和ESP是基于加密密鑰分配和這些安全協(xié)議的相關通信吞吐量管理的訪問控制方式。

IPSec協(xié)議使用IKE（Internet密鑰交換）協(xié)議來實現(xiàn)安全協(xié)議的安全參數(shù)的協(xié)商，包括加密和認證算法，密鑰的加密和認證算法，通信保護模式（傳輸或隧道模式），密鑰的生存期以及以此類推。IKE還負責刷新這些安全性參數(shù)。

IPSec允許用戶或管理員控制安全服務的強度。例如，可以在兩個路由器之間建立一個單獨的加密隧道來承載所有數(shù)據(jù)包，或者可以為每對主機通信之間的每個TCP連接建立一個隧道。IPSec管理必須明確使用哪種服務，如何組合它們，給定安全保護的強度以及用于實現(xiàn)系統(tǒng)安全性的加密算法。

為了處理IPSec數(shù)據(jù)流，有兩個必要的數(shù)據(jù)庫：SPD（安全策略數(shù)據(jù)庫）和SAD（安全關聯(lián)數(shù)據(jù)庫）。SPD指定了來自或流向特定主機或網(wǎng)絡的數(shù)據(jù)流策略。SAD包含活動的SA參數(shù)。SPD和SAD都需要單獨的輸入和輸出數(shù)據(jù)庫。

DOI（解釋域）是整個IPSec協(xié)議的一個非常重要的部分，它將IPSec組的所有文檔聯(lián)系在一起，可以通過訪問DOI來獲得有關協(xié)議中組件的說明。它被認為是所有IPSec安全參數(shù)的主數(shù)據(jù)庫，這些參數(shù)可用作與IPSec服務相關的系統(tǒng)的參考和調(diào)用。

3IPSec協(xié)議優(yōu)勢

IPSec的安全目標是通過使用AH（身份驗證標頭），ESP（封裝安全有效載荷）和IKE（Internet密鑰交換）來實現(xiàn)的。在任何環(huán)境中，協(xié)議套件和使用的方式均由用戶、應用程序、站點、安全性和系統(tǒng)的要求決定。IPSec的優(yōu)勢可以概括如下：

（1）更好的兼容性。

（2）與SOCKv5等上層安全協(xié)議相比，它具有更好的性能，并且易于實現(xiàn)。與較低層的安全協(xié)議相比，它可以更好地適應各種通信媒體。

（3）系統(tǒng)成本低。它不僅可以實現(xiàn)自動管理并減少手動密

6結(jié)束語

IPSec技術大大提升了Internet傳輸數(shù)據(jù)的安全性，為IP數(shù)據(jù)包提供了有利保護，性能較為穩(wěn)定。但作為新的安全協(xié)議，在實際應用和理論上仍需要進一步改進和創(chuàng)新。未來的工作中，諸如使用IPSec來預防、警告和警報或分析黑客攻擊的實現(xiàn)，對其他IPSec功能f如數(shù)據(jù)完整性，數(shù)據(jù)源身份驗證和防重放）的驗證等方面也有待進一步深入研究。相信IPSec技術將會有更好、更廣泛的應用前景。