基于IPSecVPN网络的规划与设计.docx

1、基于IPSecVPN网络的规划与设计 安徽中澳科技职业学院毕业设计（论文）基于IPSec VPN网络的规划与设计 学生姓名： 系 部： 信息技术与艺术传媒系 专 业： 12级计算机网络技术 指导教师： 日 期： 2014年6月摘要 目前，TCP/IP几乎是所有网络通信的基础，而IP本身是没有提供“安全”的，在传输过程中，IP包可以被伪造、篡改或者窥视。针对这些问题，IPSec可有效地保护IP数据报的安全，它提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议(如UDP和TCP)提供安全保证。目前许多电信运营商采用IPSec隧道加密技术，在宽带业务的基础上推出主要针对商用客户的VP

2、N新业务，为商用客户既提供了高带宽低资费的企业网络联网服务，又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务，赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术，分析了IPSecVPN的主要实现方式。关键词：IPSecvpn，加密，隧道，安全。 AbstractCurrently,TCP/IPnetworktrafficisalmostallofthefoundation,andIPitselfdoesnotprovidesecurity,inthetransmissionprocess,IPpacketscanbeforged,altered,orp

3、ryingeyes.Tosolvetheseproblems,IPSeccaneffectivelyprotectthesecurityofIPdatagrams,whichprovidesastandard,robustandinclusivemechanisms,canuseitfortheIPandupperlayerprotocol(suchasUDPandTCP)toprovidesecurityguarantees.ManytelecomoperatorsusingIPSectunnelencryptiontechnology,onthebasisoftheintroduction

4、ofbroadbandservicesforbusinesscustomersVPNmajornewbusiness,bothforcommercialcustomerstoprovideahigh-bandwidthnetworkwithlowratesofenterprisenetworkservices,alsoprovidedinthepublicnetworkhasaprivateVPNnetworkdatasecurityservices,wonthemajorityofcommercialcustomers.ThispaperwillstudythearchitectureofI

5、PSec,VPNtechnologyprinciplesandbasictechnology,analyzesthemainwaytoachieveIPSecVPNKeyword： IPSecvpn ，Encryption，Tunnel，Security。引言随着计算机网络的迅猛发展，网络在为人们提供便利和带来效益的同时，也使人们面临着信息安全的巨大挑战。网络安全问题已成为计算机网络研究的热点问题之一，现在网络发展的趋势是所有的网络，无论是ATM、卫星网、无线网等的构建都向基于TCP/IP协议的网络发展，TCP/IP协议几乎成为Internet的统一实现标准，因此网络协议层次的安全性分析集中在

6、TCP/IP协议簇上，由于TCP/IP的安全和控制机制是依赖于IP地址的认证，然而一个数据包的源IP地址是很容易被伪造和篡改的。更糟的是网络控制特别是路由协议根本就没有认证机制。另一个主要缺点是TCP/IP协议没有能力保护网上数据的隐私性，协议数据是明文传输的，乏保密机制。这样，TCP/IP就不能保证网上传输信息的机密性、完整性、与真实性。VPN技术是近年来用于解决网络安全问题的新技术之一。它将专用网建立在公用网基础上，通过相关的安全技术实现移动用户与企业网，各分支机构与总部及企业与合作伙伴之间的安全通信VPN就是针对通信安全尤其是企业分散子网间通信安全问题的一种解决办法。它通过采用在公用网上

7、建立加密的隧道的方式，虚拟不同的专线来连接分布在各地的企业子网，甚至移动用户。隧道是一种虚拟的点到点的连接，这个连接可以为隧道的两个端点提供了认证、加密和访问控制。可以在不同的协议层上来实现隧道技术。在每个协议层上的实现具有不同的实现难度，也提供了不同强度的安全保护。IPSec即“Internet协议安全性”是一种开放标准的框架协议，通过使用加密的安全服务以确保在Internet协议(IP)网络（Internet就是全球最大的IP网络）上进行保密而安全的通讯。IPSec协议本不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AuthenticationHe

8、ader(AH)、封装安全载荷协议EncapsulatingSecurityPayload（ESP）、密钥管理协议InternetKeyExchange（IKE）和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。第1章VPN的概述1.1VPN的基本概念VPN（VirtualPrivateNetwork）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样

9、也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。要实现VPN连接，企业内部网络中必须配置有一台基于WindowsNT或Windows2000Server的VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Internet，也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP（Internet服务提供商）将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信

10、的安全性：隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求，VPN服务器响应请求并向客户机发出身份质询，客户机将加密的响应信息发送到VPN服务器，VPN服务器根据用户数据库检查该响应，如果账户有效，VPN服务器将检查该用户是否具有远程访问权限，如果该用户拥有远程访问的权限，VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。VPN连接的示意图如1-1所示。图1-1 VPN连接示意图1.2VPN的类型1.2.1 RemoteAccessVPN(远程访问虚拟专用网)AccessVPN是通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外

11、部网的远程访问，使用户随时、随地以其所需的方式访问企业资源。它包括模拟、拨号、ISDN、数字用户线路(XDSL)、移动IP和电缆技术，可以安全地连接移动用户、远程工作者或分支机构。它适合于内部有人员移动或远程办公需要的企业。1.2.2IntranetVPN(企业内部虚拟专用网)如果要进行企业内部各分支机构的互联，使用IntranetVPN是很好的方式。越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等，各个分公司之间传统的网络连接方式一般是租用专线。显然，在分公司增多、业务开展越来越广泛时，网络结构趋于复杂，费用昂贵。利用VPN特性可以在Internet上组建世界范围内的

12、IntranetVPN。利用Internet的线路保证网络的互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。1.2.3ExtranetVPN(外连虚拟专用网)如果是提供B2B之间的安全访问服务，则可以考虑ExtranetVPN。随着信息时代的到来，各个企业越来越重视各种信息的处理。希望可以提供给客户最快捷方便的信息服务，通过各种方式了解客户的需要，同时各个企业之间的合作关系也越来越多，

13、信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础，而如何利用Internet进行有效的信息管理，是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全、服务质量(QoS)、可管理性和可靠性。1.3 VPN的相关技术 当前，有四项技术来保证VPN的安全，分别是隧道技术（Tunneling）、加解密技术（Encryption&De

14、cryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。 (1) 隧道技术。隧道技术简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将这些其他协议的帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由传送。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发

15、到最终目的地。隧道技术是指包括数据封装、传输和解包在内的全过程。 (2) 加解密技术。对通过公共互联网络传递的数据必须经过加密，确保其他未授权的用户无法读取该信息。加解密技术是数据通信中一项较成熟的技术，VPN可直接利用现有技术。 (3) 密钥管理技术。密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用、私用。 (4) 使用者与设备身份认证技术。VPN方案必须能够验证用户身份并严格控制只有授

16、权用户才能访问VPN。另外，方案还必须能够提供审查和计费功能，显示何人在何时访问了何种信息。使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。1.3.1典型的隧道技术协议VPN区别于一般网络互联的关键于隧道的建立，然后数据包经过加密后，按隧道协议进行封装、传送以保安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP；在网络层实现数据封装的协议叫第三层隧道协议，如IPSec；还有第4层隧道协议，如SSLVPN。下面主要介绍几种典型的VPN隧道协议。VPN在隧道的建立上不同于普通的网络互联，隧道协议有很多种，一般情况下，需要按照具体协议来封装数据包，从

17、而能够安全的传送数据。 (1) PPTPPointtoPointTunnelProtocol(点对点隧道协议)PPTP是在数据链路层对数据进行封装，属于第二层隧道协议。公司可以在公共网络上建立自己的“隧道”，PPTP可以在数据传送之前对数据进行加密封装，客户机和服务器之间可以通过此“隧道”进行通信，安全度得到提高，同时，公司的网络可以得到扩张。 (2) IPSecInternetProtocolSecurity(网际协议安全)IPSec在网络层对数据进行封装，应用范围广泛，通信安全透明，属于第三层隧道协议。该协议最大的特点是应用了密码技术，可以通过认证来分辨主机与端点的身份，可以通过检查数据包

18、的完整性保证通信质量，可以对IP地址和数据加密从而保证通信安全。除此之外，IPSec也可以同其他层的协议进行连接，可以保障最大限度的安全传输信息。 (3) SSLSecureSocketLayer(安全套接层协议层)SSL为Netscape所研发，在传输层对网络连接进行加密，用以保障在数据在Internet上传输的安全性，利用数据加密（Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。SSL协议可以认证用户和服务器，保证数据发送到正确的位置；可对数据进行加密以防止传输过程中数据被第三者窃取；可以维护数据的在传输过程中不被篡改，保障数据完整性。需要说明的是，只有3.0版

19、本以上的IE浏览器或Netscape浏览器可支持SSL。同时，SSL有利于在消费者方面对商家的信息进行保密，因此随着更多的小型公司参与到电子上午当中，协议对商家的袒护便暴露出来，造成其并不能有效的协调交易各方之间的信任关系，因此，Netscape公司提供了一种新功能，它可以对消费者购买商品的表单上进行数字签名，从而保证交易信息的确凿。1.3.2隧道协议的比较分析本节主要就几种常用的隧道协议进行比较分析，便于企业选择VPN产品时参考。每种隧道协议都有其独特的优缺点及适用范围。PPTP最适合用于远程访问虚拟专用网，其对使用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部分。PPTP支

20、持其他网络协议和流量控制，它通过减少丢弃包来改善网络性能，这样可减少重传。然而PPTP并未对两节点间的信息传输进行监视或控制。并且其对最多连接用户数有限制，必须低于255。同时，用户需要自己建立加密信道，步骤繁琐。IPSec适用于可信的LAN到LAN之间的虚拟专用网。IPSec支持多种加密算法，可保障防火墙和服务器之间的安全性。但IPSec仍然存在一些问题，其需要固定的IP地址，因此并不适用于动态IP。同时，IPSec可支持协议单一，并且智能使用包过滤的访问控制方法。SSL最适合于用户在只有Web的情况下应用VPN。用户并不需要安装客户端软件，就可通过浏览器和VPN进行连接。而且SSL对配置要

21、求低，只要浏览器支持SSL，便可在保证高安全性的情况下使用。然而其功能也就只限于此，对于非SSL的业务支持则较显乏力。下面，如图1-2所示，对SSLVPN与IPSecVPN的主要性能进行比较。图1-2 SSL VPN与IPSecVPN的比较1.4 VPN技术的优点1.4.1 安全保障虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于VPN

22、直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其在VPN上传送的数据，不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到了合作伙伴和客户，但同时也对安全性提出了更高的要求。1.4.2 服务质量保证(QoS)VPN网应当为企业数据，提供不同等级的服务质量保证。不同的用户和业务对服务质量保证要求的差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用，则要求网络能提供良好的稳定性；对于其他应用(如视频等)则对网络提出了更

23、明确的要求，如网络时延及误码率等。所有以上网络应用，均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时容易引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又容易造成大量网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。第2章IPSec技术基础2.1IPSec简介IPSec(1P Security)产生于IPv6的制定之中，用于提供

24、IP层的安全性。由于所有支持TCP/IP协议的主机进行通信时，都要经过IP层的处理，所以提供了IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的应用仍然很广泛，所以后来在IPSec的制定中也增添了对IPv4的支持。最初的一组有关IPSec标准由IETF在1995年制定，但由于其中存在一些未解决的问题，从1997年开始IETF又开展了新一轮的IPSec的制定工作，截止至1998年11月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题，预计在不久的将来IETF又会进行下一轮IPSec的修订工作。IPSec的工作原理(如图2-1所示)类似于包过滤防火墙，可以看作是对包过

25、滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。这里的处理工作只有两种：丢弃或转发图2-1 IPSec工作原理示意图IPSec是一种用来保护内部网、专用网络以及外部网（Internet、Extranet）免遭攻击的重要防御方法，主要特征在于它可对所有IP级的通信进行加密和认证，正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。由于企业及政府用户非常注重于部署安全的IP，所以这一服务显得很重要。2.

26、2IPSec体系结构如图2-2 IPSec体系结构图图2-2 IPSec体系结构图2.2.1IPSecAH(认证头协议)IPSecAH（IPSecAH：IPSecAuthenticationHeader）认证头协议是IPSec体系结构中的一种主要协议。（如图2-3所示）它为IP数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况。一旦建立安全连接，接收方就可能会选择后一种服务。AH尽可能为IP头和上层协议数据提供足够多的认证。但是，在传输过程中某些IP头字段会发生变化，且发送方无法预测当数据包到达接受端时此字段的值。AH并不能保护这种字段值。因此，AH提供给IP头的保护有些是零碎的。A

27、H可被独立使用，或与IP封装安全负载（ESP）相结合使用，或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。ESP提供了相同的安全服务并提供了一种保密性（加密）服务，而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地，不是由ESP封装的IP头字段则不受ESP保护。通常，当用与IPv6时，AH出现在IPv6逐跳路由头之后IPv6目的选项之前。而用于IPv4时，AH跟随主IPv4头。图2-3 认证头协议示意图2.2.2IPSecESP：封装安全负载IPSecESP（IPSecEncapsulatingSecur

28、ityPayload）封装安全负载是IPSec体系结构中的一种主要协议，其主要设计来在IPv4和IPv6中提供安全服务的混合应用。IPSec ESP通过加密需要保护的数据以及在IPSecESP的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的IP数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性ESP头可以放置在IP头之后、上层协议头之前（传送层），或者在被封装的IP头之前（隧道模式）。IANA分配给ESP一个协议数值50，在ESP头前的协议头总是在“n

29、exthead”字段（IPv6）或“协议”（IPv4）字段里包含该值50。ESP包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据，这个用户数据可以是整个IP数据报，也可以是IP的上层协议帧（如：TCP或UDP）。ESP提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式）和有限信息流机密性。所提供服务集由安全连接（SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他服务相独立。但是，使用机密性服务而不带有完整性/认证服务（在ESP或者单独在AH中）可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无

30、连接的完整性是相互关联的服务，它们作为一个选项与机密性（可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。2.2.3 IPSecIKE(密钥交换协议)InternetIPSecIKE密钥交换（IPSecIKE:InternetKeyExchangeProtocol）是IPSec体系结构中的一种主要协议（如图2-4所示）。它是一种混合协议，使用部分Oakley和部分SKEME，并协同ISAKMP提供密钥生成材料和其它安全连系，比如用于IPSecDOI的AH和ESP。图2-4 密钥交换机制IKE是一系列密钥交换中的一种，称为“模式”。IKE可用于

31、协商虚拟专用网（VPN），也可用于远程用户（其IP地址不需要事先知道）访问安全主机或网络，支持客户端协商。客户端模，式即为协商方不是安全连接发起的终端点。当使用客户模式时，端点处身份是隐藏的。IKE的实施必须支持以下的属性值： (1) DES用在CBC模式，使用弱、半弱、密钥检查。 (2) MD5MD5和SHASHA。 (3) 通过预共享密钥进行认证。 (4) 缺省的组1上的MODP。另外，IKE的实现也支持3DES加密；用TigerTIGER作为hash；数字签名标准，RSARSA，使用RSA公共密钥加密的签名和认证；以及使用组2进行MODP。IKE实现可以支持其它的加密算法，并且可以支持ECP和EC2N组。2.2.4 IPSec ISAKMP(安全连接和密钥管理协议)Interne安全连接和密钥管理协议（ISAKMP）是IPSec体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。因特网安全联盟和密钥管理协议（ISAKMP）定义了程序和信息包格式来建立，协商，修改和删除安全连接（SA）。S