王衛(wèi)國(guó) 馬超 李超凡

摘要：為探討IPSec VPN的會(huì)話建立過(guò)程和應(yīng)用效果，利用GNS3仿真軟件搭建邏輯網(wǎng)絡(luò)拓?fù)溥M(jìn)行仿真實(shí)驗(yàn)。該文通過(guò)深入分析IPSec安全框架中各類構(gòu)件的應(yīng)用方式和作用機(jī)制，進(jìn)行端對(duì)端IPSec VPN工程實(shí)驗(yàn)設(shè)計(jì)與仿真。實(shí)驗(yàn)結(jié)果表明，IPSec VPN能夠提供訪問(wèn)控制、數(shù)據(jù)加密與安全驗(yàn)證的通信服務(wù)。

關(guān)鍵詞：VPN;IPSec安全框架;數(shù)據(jù)加密;仿真實(shí)驗(yàn)

中圖分類號(hào)：TP393.1? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

VPN（Virtual Private Network）通過(guò)因特網(wǎng)服務(wù)提供商（Internet Service Provider，ISP）的公共網(wǎng)絡(luò)中建立客戶雙方的私有加密通信專線，即虛擬專用網(wǎng)絡(luò)。VPN技術(shù)是多樣的， VPN種類從僅僅提供語(yǔ)音業(yè)務(wù)發(fā)展到了提供數(shù)據(jù)交互、語(yǔ)音、視頻通話等。目前，基于IP網(wǎng)絡(luò)層的IPSec VPN、基于應(yīng)用層的SSL VPN、基于MPLS標(biāo)簽交換的MPLS VPN是當(dāng)前市場(chǎng)上的三類主流VPN技術(shù)。

2 IPsec 框架

本文著重探討基于IP網(wǎng)絡(luò)層的IPSec VPN，簡(jiǎn)述IPSec安全框架的各個(gè)部件的作用機(jī)制，并搭建端到端的IPSec VPN仿真實(shí)驗(yàn)，探討其工程應(yīng)用效果。

2.1 對(duì)稱加密算法DES

DES（Data Encryption Standard）算法為密碼體制中的對(duì)稱密碼體制[1]，DES入口參數(shù)有三個(gè)：key、data、mode。key為加密解密使用的密鑰，data為加密解密的數(shù)據(jù)，mode為其工作模式，適用于加密數(shù)據(jù)量較大的場(chǎng)合。

2.2 非對(duì)稱加密算法RSA

公開密鑰密碼體制（Rivest Shamir Adlemen，RSA）使用非對(duì)稱密鑰算法，本地與遠(yuǎn)端產(chǎn)生兩個(gè)密鑰，一個(gè)私鑰與一個(gè)公鑰。在與遠(yuǎn)端通信時(shí)，它將與對(duì)端交互公鑰并保留私鑰。在向遠(yuǎn)端發(fā)送加密消息之前，本地將與遠(yuǎn)端的公鑰和RSA算法對(duì)消息進(jìn)行加密。輸出的結(jié)果是不可讀的密文，該消息將通過(guò)不安全的網(wǎng)絡(luò)傳送。遠(yuǎn)端使用私鑰和RSA算法來(lái)對(duì)密文進(jìn)行解密，輸出的結(jié)果是原始的消息。

2.3 散列函數(shù)

散列函數(shù)指的是根據(jù)輸入任何字節(jié)串，輸出固定長(zhǎng)度數(shù)值的算法。散列函數(shù)用于消息或文件的完整性檢驗(yàn)和數(shù)字簽名[2]。MD5（Message Digest Algorithm 5）是目前最廣泛應(yīng)用的信息摘要算法，可以為不同數(shù)據(jù)類型計(jì)算一個(gè)128位的散列值，確保信息傳輸?shù)耐暾浴?/p>

2.4 封裝安全載荷

封裝安全載荷（Encapsulate Security Payload，ESP）協(xié)議通過(guò)加密IP數(shù)據(jù)包的相關(guān)部分，提供數(shù)據(jù)保密、數(shù)據(jù)源認(rèn)證、無(wú)連接數(shù)據(jù)完整性、抗重放服務(wù)和有限的數(shù)據(jù)流保密[3]。

2.5 網(wǎng)絡(luò)密鑰交換協(xié)議

網(wǎng)絡(luò)密鑰交換協(xié)議（Internet Key Exchange，IKE）是對(duì)安全關(guān)聯(lián)（Security Association，SA）的協(xié)商進(jìn)行保護(hù)并提供經(jīng)認(rèn)證的密鑰信息的協(xié)議[4]。在IPSec通信之間，動(dòng)態(tài)建立安全管理，對(duì)其進(jìn)行管理和維護(hù)。

2.6 傳輸模式

IPSec安全框架提供了傳輸模式和隧道模式兩類數(shù)據(jù)流交互方式，傳輸模式（Transport Mode）用于數(shù)據(jù)包的加解密操作固定在同一設(shè)備，而隧道模式（Tunnel Mode）用于加解密數(shù)據(jù)包的起始地或目的地不是安全終點(diǎn)的情況。

2.7 安全關(guān)聯(lián)

安全關(guān)聯(lián)（SA）是指一組用來(lái)保護(hù)信息的策略和密鑰，在兩個(gè)使用IPSec的實(shí)體間建立的邏輯連接，協(xié)商了實(shí)體間如何使用安全服務(wù)進(jìn)行通信[5]。

安全關(guān)聯(lián)SA由下面3個(gè)參數(shù)唯一確定：

1）安全參數(shù)索引號(hào)（SPI）：一個(gè)32數(shù)字位串，由AH和ESP攜帶，使得接收方能選擇特定的SA處理數(shù)據(jù)包。

2）IP目的地址：?jiǎn)我坏腎P地址，表示該類SA的目的地址。

3）安全協(xié)議標(biāo)識(shí)：標(biāo)識(shí)該SA的種類。

3 端對(duì)端IPSec VPN仿真實(shí)驗(yàn)

3.1 實(shí)驗(yàn)過(guò)程

圖1為本實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)?，由VPN Site1、ISP運(yùn)營(yíng)商和VPN Site2組成，外連公網(wǎng)地址分別設(shè)置為101.10.10.0/24，201.10.10.2/24，內(nèi)連私網(wǎng)地址設(shè)置為192.168.0.0/16地址段。

為了更直觀地展示IPSec安全框架在VPN建立過(guò)程中的應(yīng)用，表1顯示的是端對(duì)端IPSec會(huì)話建立的具體實(shí)現(xiàn)步驟。

3.2 實(shí)驗(yàn)結(jié)果分析

按照密鑰交換協(xié)議，查看ISAKMP SA、IPsec SA及IPsec VPN會(huì)話建立情況。首先查看ISAKMP會(huì)話，如圖2所示，ISAKMP已經(jīng)建立從VPN Site1到VPN Site2的會(huì)話，且會(huì)話狀態(tài)處于ACTIVATE狀態(tài)。

IPSec SA的建立結(jié)果如圖3所示，端對(duì)端已經(jīng)按照表1的配置方式建立了加密的IP數(shù)據(jù)包信息通道，以crypto map tag的密鑰進(jìn)行會(huì)話加密，并且生成了用于雙方持續(xù)通信的安全參數(shù)索引號(hào)（SPI），會(huì)話狀態(tài)處于ACTIVE。

端對(duì)端IPSec VPN信息通道的傳輸效果如圖4所示，通信雙方已經(jīng)生成DES+MD5的加解密方式，并且在兩端的出口設(shè)備上，加解密的IP數(shù)據(jù)包個(gè)數(shù)保持一致，IPSec VPN信息通道正常運(yùn)行且非常穩(wěn)定。

4 結(jié)論

本文介紹了IPsec框架的四個(gè)核心組件：加密和驗(yàn)證、安全封裝、密鑰交換協(xié)議和傳輸模式，通過(guò)仿真案例展示了IPSec VPN的會(huì)話過(guò)程，驗(yàn)證了各類構(gòu)件的實(shí)驗(yàn)效果。目前，IPSec VPN因其訪問(wèn)控制、數(shù)據(jù)加密、可靠性保障等優(yōu)勢(shì)仍是端對(duì)端進(jìn)行加密數(shù)據(jù)傳輸?shù)闹饕绞健?/p>

參考文獻(xiàn)：

[1] 薛江波，胡曦明，馬苗，等.IPSec VPN的NAT穿越技術(shù)與仿真實(shí)驗(yàn)[J].網(wǎng)絡(luò)空間安全，2018，9（2）：51-55.

[2] 李超凡，劉偉，吳響，等.高性能IPSec VPN工程設(shè)計(jì)與仿真[J].實(shí)驗(yàn)技術(shù)與管理，2021，38（2）：73-77.

[3] 文淑華，閆超陽(yáng)，羅緒成，等.基于云桌面的IPSec VPN實(shí)驗(yàn)設(shè)計(jì)[J].實(shí)驗(yàn)技術(shù)與管理，2019，36（7）：58-61.

[4] 李超凡，劉瓊，李民璽，等.醫(yī)院虛擬專用網(wǎng)絡(luò)研究與仿真設(shè)計(jì)[J].中國(guó)數(shù)字醫(yī)學(xué)，2020，15（10）：91-93.

[5] 王霞俊.基于H3C HCL的IPSec VPN實(shí)驗(yàn)設(shè)計(jì)與仿真[J].實(shí)驗(yàn)室研究與探索，2018，37（3）：118-121.

【通聯(lián)編輯：代影】

收稿日期：2021-06-02

作者簡(jiǎn)介：王衛(wèi)國(guó)（1992—），男，江蘇連云港人，信息安全工程師，Cisco Routing & Switching、Security認(rèn)證專家，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)、信息系統(tǒng)集成與開發(fā);李超凡（1995—），男，江蘇徐州人，通信作者，網(wǎng)絡(luò)工程師，碩士，Cisco Routing & Switching認(rèn)證專家，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)、醫(yī)學(xué)信息處理。

3054500338299