首页 > 通信工程师 > 互联网技术 > 通信工程师考试培训基于IPSec的VPN实现[1]

通信工程师考试培训基于IPSec的VPN实现[1]

互联网技术责任编辑：dayshotel 2013-05-29

摘要：点击通信工程师考试在线辅导招生点击通信工程师专业培训面授班招生点击阅读2013年通信工程师考试大纲点击了解2013年通信工程师考试指定教材通信工程师报名及通信工程师成绩查询专题2012年全国初级中级通信工程师考试成绩查询5.6.2基于IPSec的VPN实现IPSec（IPSecurity）产生于IPv6的制定之中，用于提供IP层的安

点击通信工程师考试在线辅导招生

2012年全国初级中级通信工程师考试成绩查询

5.6.2 基于IPSec的VPN实现

IPSec（IPSecurity）产生于IPv6的制定之中，用于提供IP层的安全性。由于所有支持TCP/IP的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。

最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截至1998年11月主要协议己经基本制定完成。

IPSec的工作原理类似于滤防火墙，可以看做是对滤防火墙的一种扩展。当接收到一个IP数据包时，滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发。

IPSec通过查询安全策略数据库（SecurityPolicyDatabase,SPD）决定对接收到的IP数据包的处理。但是IPSec不同于滤防火墙的是，对IP数据包的处理方法除了丢弃和直接转发（绕过IPSec）外，还可进行IPSec处理。正是这新增添的处理方法提供了比滤防火墙更进一步的网络安全性。

进行IPSec处理意味着对IP数据包进行加密和认证。滤防火墙只能控制来自或去往某个站点的IP数据包的通过，可以拒绝来自某个外部站点的IP数据包访问内部某些站点，也可以拒绝某个内部站点对某些外部网站的访问。但是滤防火墙不能保证自内部网络出去的数据包不被截取，也不能保证进入内部网络的数据包未经过篡改。只有在对IP数据包实施了加密和认证后，才能保证在外部网络传输的数据包的机密性、真实性和完整性，通过Internet进行安全的通信才成为可能。

IPSec既可以只对IP数据包进行加密，或只进行认证，也可以同时实施二者。但无论是进行加密还是进行认证，IPSec都有两种工作模式：传输模式和隧道模式。

传输模式只对IP数据包的有效负载进行加密或认证。此时，继续使用以前的IP头部，只对IP头部的部分域进行修改，将IPSec协议头部插入到IP头部和传输层头部之间。

隧道模式对整个IP数据包进行加密或认证。此时，需要新产生一个IP头部，IPSec头部被放在新产生的IP头部和以前的IP数据包之间，从而组成一个新的IP头部。

前面已经提到IPSec主要功能是加密和认证。为了进行加密和认证，IPSec还需要有密钥的管理和交换的功能，以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由AH,ESP和IKE三个协议规定。为了介绍这三个协议，需要先引入一个非常重要的概念：安全关联（Security Association,SA）。安全关联是指安全服务与它服务的载体之间的一个“连接”.AH和ESP都需要使用SA,而IKE的主要功能就是SA的建立和维护。只要实现AH和ESP都必须提供对SA的支持。

通信双方如果要用IPSec建立一条安全的传输通路，需要事先协商好将要采用的安全策略，包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后，就说双方建立了一个SA.SA就是能向其上的数据传输提供某种IPSec安全保障的一个简单连接，可以由AH或ESP提供。给定了一个SA,就确定了IPSec要执行的处理，如加密，认证等。

ESP主要用来处理对IP数据包的加密，此外对认证也提供某种程度的支持。ESP是与具体的加密算法相独立的，几乎可以支持各种对称密钥加密算法，如DES,TripleDES,RC5等。为了保证各种IPSec实现间的互操作性，目前ESP必须提供对56位DES算法的支持。

ESP数据单元格式由3个部分组成，除了头部、加密数据部分外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索引（SP1）和序列号（Sequencenumber）。使用ESP进行安全通信之前，通信双方需要先协商好一组将要采用的加密策略，包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”用来标识发送方是使用哪组加密策略来处理IP数据包的，当接收方看到了这个序号就知道了对收到的IP数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原IP数据包的有效负载、填充域（用来保证加密数据部分满足块加密的长度要求），还包括ESP尾部，这几部分在传输时都是加密过的。其ESP尾部中“下一个头部（NextHeader）”用来指出有效负载部分使用的协议，可能是传输层协议（TCP或UDP），也可能还是IPSec（ESP或AH）。

[1] [2]