基于IPsec VPN技术的应用与研究
2020-07-22王笛陈福玉
王笛 陈福玉
摘要:IPSec VPN是采用IPSec协议来实现远程接入的VPN技术,极大地提高了TCP /IP协议的安全可靠性。文中首先对IPSec技术进行了介绍,对IPSec协议的体系架构、主要功能、工作模式等进行了研究,分析了IPSec协议的优势,给出了IP-Sec的具体实现步骤和方法,并通过Wireshark软件验证了该技术的可行性和可靠性。
关键词:虚拟专用网络(VPN);因特网安全协议(IPSec);隧道技术
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2020)11-0017-03
1概述
如今,Internet的发展越来越快,它在现代社会中起着至关重要的作用。同时,网络安全正在成为Internet的关注焦点。互联网是一个基于TCP/IP协议的数据包交换网络,它本身是不安全的,互联網中几乎所有IP数据包都是以纯文本格式传输的,并且容易被拦截、篡改或伪造。
VPN(虚拟专用网络)是一种虚拟专用本地网络,可通过Internet等现有公共通信通道上的安全通道来实现安全性并降低成本。VPN在IP层中实现网络安全,它对IP层之上的应用协议层是透明的,因此不需要特殊的安全机制。在受保护子网内的两个VPN设备之间建立了安全通道。当主机在同一个子网中进行通信时,信息是透明的;当主机与子网中的另一个进行通信时,将应用VPN保护以确保安全性和完整性。
IPSec是VPN开发中使用最广泛的协议,它可能会成为将来IP VPN的标准。IPSec协议是IETF在1990年代后期提供的,它可以为所有安全服务提供统一的平台。由于其高性能,IPSec被认为是下一代Internet的基本安全协议。如前所述,IP-Sec协议为IP层和所有上层协议提供保护,这对应用程序和最终用户是透明的。但是IPSec协议非常复杂,同时许多问题尚未解决,因此具有很高的研究价值。
2IPSec协议体系架构
IPSec体系结构的第一主要部分是安全系统。IPSec使用AH(身份验证头)和ESP(封装安全有效载荷)来提供数据包的安全性。AH提供无连接完整性,数据源身份验证和可选的防重播服务。ESP不仅提供数据机密性和有限通信流量的机密性,还提供无连接完整性,数据源身份验证和防重播。AH和ESP是基于加密密钥分配和这些安全协议的相关通信吞吐量管理的访问控制方式。
IPSec协议使用IKE(Internet密钥交换)协议来实现安全协议的安全参数的协商,包括加密和认证算法,密钥的加密和认证算法,通信保护模式(传输或隧道模式),密钥的生存期以及以此类推。IKE还负责刷新这些安全性参数。
IPSec允许用户或管理员控制安全服务的强度。例如,可以在两个路由器之间建立一个单独的加密隧道来承载所有数据包,或者可以为每对主机通信之间的每个TCP连接建立一个隧道。IPSec管理必须明确使用哪种服务,如何组合它们,给定安全保护的强度以及用于实现系统安全性的加密算法。
为了处理IPSec数据流,有两个必要的数据库:SPD(安全策略数据库)和SAD(安全关联数据库)。SPD指定了来自或流向特定主机或网络的数据流策略。SAD包含活动的SA参数。SPD和SAD都需要单独的输入和输出数据库。
DOI(解释域)是整个IPSec协议的一个非常重要的部分,它将IPSec组的所有文档联系在一起,可以通过访问DOI来获得有关协议中组件的说明。它被认为是所有IPSec安全参数的主数据库,这些参数可用作与IPSec服务相关的系统的参考和调用。
3IPSec协议优势
IPSec的安全目标是通过使用AH(身份验证标头),ESP(封装安全有效载荷)和IKE(Internet密钥交换)来实现的。在任何环境中,协议套件和使用的方式均由用户、应用程序、站点、安全性和系统的要求决定。IPSec的优势可以概括如下:
(1)更好的兼容性。
(2)与SOCKv5等上层安全协议相比,它具有更好的性能,并且易于实现。与较低层的安全协议相比,它可以更好地适应各种通信媒体。
(3)系统成本低。它不仅可以实现自动管理并减少手动密
6结束语
IPSec技术大大提升了Internet传输数据的安全性,为IP数据包提供了有利保护,性能较为稳定。但作为新的安全协议,在实际应用和理论上仍需要进一步改进和创新。未来的工作中,诸如使用IPSec来预防、警告和警报或分析黑客攻击的实现,对其他IPSec功能f如数据完整性,数据源身份验证和防重放)的验证等方面也有待进一步深入研究。相信IPSec技术将会有更好、更广泛的应用前景。