點擊通信工程師考試在線輔導(dǎo)招生

點擊通信工程師專業(yè)培訓(xùn)面授班招生

點擊閱讀2013年通信工程師考試大綱

點擊了解2013年通信工程師考試指定教材

通信工程師報名及通信工程師成績查詢專題

2012年全國初級中級通信工程師考試成績查詢

5.6.2 基于IPSec的VPN實現(xiàn)

IPSec（IPSecurity）產(chǎn)生于IPv6的制定之中，用于提供IP層的安全性。由于所有支持TCP/IP的主機進行通信時，都要經(jīng)過IP層的處理，所以提供了IP層的安全性就相當于為整個網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。鑒于IPv4的應(yīng)用仍然很廣泛，所以后來在IPSec的制定中也增添了對IPv4的支持。

最初的一組有關(guān)IPSec標準由IETF在1995年制定，但由于其中存在一些未解決的問題，從1997年開始IETF又開展了新一輪的IPSec的制定工作，截至1998年11月主要協(xié)議己經(jīng)基本制定完成。

IPSec的工作原理類似于濾防火墻，可以看做是對濾防火墻的一種擴展。當接收到一個IP數(shù)據(jù)包時，濾防火墻使用其頭部在一個規(guī)則表中進行匹配。當找到一個相匹配的規(guī)則時，濾防火墻就按照該規(guī)則制定的方法對接收到的IP數(shù)據(jù)包進行處理。這里的處理工作只有兩種：丟棄或轉(zhuǎn)發(fā)。

IPSec通過查詢安全策略數(shù)據(jù)庫（SecurityPolicyDatabase,SPD）決定對接收到的IP數(shù)據(jù)包的處理。但是IPSec不同于濾防火墻的是，對IP數(shù)據(jù)包的處理方法除了丟棄和直接轉(zhuǎn)發(fā)（繞過IPSec）外，還可進行IPSec處理。正是這新增添的處理方法提供了比濾防火墻更進一步的網(wǎng)絡(luò)安全性。

進行IPSec處理意味著對IP數(shù)據(jù)包進行加密和認證。濾防火墻只能控制來自或去往某個站點的IP數(shù)據(jù)包的通過，可以拒絕來自某個外部站點的IP數(shù)據(jù)包訪問內(nèi)部某些站點，也可以拒絕某個內(nèi)部站點對某些外部網(wǎng)站的訪問。但是濾防火墻不能保證自內(nèi)部網(wǎng)絡(luò)出去的數(shù)據(jù)包不被截取，也不能保證進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包未經(jīng)過篡改。只有在對IP數(shù)據(jù)包實施了加密和認證后，才能保證在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機密性、真實性和完整性，通過Internet進行安全的通信才成為可能。

IPSec既可以只對IP數(shù)據(jù)包進行加密，或只進行認證，也可以同時實施二者。但無論是進行加密還是進行認證，IPSec都有兩種工作模式：傳輸模式和隧道模式。

傳輸模式只對IP數(shù)據(jù)包的有效負載進行加密或認證。此時，繼續(xù)使用以前的IP頭部，只對IP頭部的部分域進行修改，將IPSec協(xié)議頭部插入到IP頭部和傳輸層頭部之間。

隧道模式對整個IP數(shù)據(jù)包進行加密或認證。此時，需要新產(chǎn)生一個IP頭部，IPSec頭部被放在新產(chǎn)生的IP頭部和以前的IP數(shù)據(jù)包之間，從而組成一個新的IP頭部。

前面已經(jīng)提到IPSec主要功能是加密和認證。為了進行加密和認證，IPSec還需要有密鑰的管理和交換的功能，以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。以上三方面的工作分別由AH,ESP和IKE三個協(xié)議規(guī)定。為了介紹這三個協(xié)議，需要先引入一個非常重要的概念：安全關(guān)聯(lián)（Security Association,SA）。安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”.AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和維護。只要實現(xiàn)AH和ESP都必須提供對SA的支持。

通信雙方如果要用IPSec建立一條安全的傳輸通路，需要事先協(xié)商好將要采用的安全策略，包括使用的加密算法、密鑰、密鑰的生存期等。當雙方協(xié)商好使用的安全策略后，就說雙方建立了一個SA.SA就是能向其上的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接，可以由AH或ESP提供。給定了一個SA,就確定了IPSec要執(zhí)行的處理，如加密，認證等。

ESP主要用來處理對IP數(shù)據(jù)包的加密，此外對認證也提供某種程度的支持。ESP是與具體的加密算法相獨立的，幾乎可以支持各種對稱密鑰加密算法，如DES,TripleDES,RC5等。為了保證各種IPSec實現(xiàn)間的互操作性，目前ESP必須提供對56位DES算法的支持。

ESP數(shù)據(jù)單元格式由3個部分組成，除了頭部、加密數(shù)據(jù)部分外，在實施認證時還包含一個可選尾部。頭部有兩個域：安全策略索引（SP1）和序列號（Sequencenumber）。使用ESP進行安全通信之前，通信雙方需要先協(xié)商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等。“安全策略索引”用來標識發(fā)送方是使用哪組加密策略來處理IP數(shù)據(jù)包的，當接收方看到了這個序號就知道了對收到的IP數(shù)據(jù)包應(yīng)該如何處理。“序列號”用來區(qū)分使用同一組加密策略的不同數(shù)據(jù)包。加密數(shù)據(jù)部分除了包含原IP數(shù)據(jù)包的有效負載、填充域（用來保證加密數(shù)據(jù)部分滿足塊加密的長度要求），還包括ESP尾部，這幾部分在傳輸時都是加密過的。其ESP尾部中“下一個頭部（NextHeader）”用來指出有效負載部分使用的協(xié)議，可能是傳輸層協(xié)議（TCP或UDP），也可能還是IPSec（ESP或AH）。

[1]  [2]