基于Ipsec隧道协议的vpn解决方案研究7

计算机学院网络工程课程设计题目基于IPSEC的VPN解决方案研究学号000000姓名000000系部000000年级专业班级000000指导教师、职称000000基于Ipsec隧道协议的vpn解决方案研究摘要[摘要]目前,TCP/IP几乎是所有网络通信的基础,而IP本身是没有提供“安全”的,在传输过程中,IP包可以被伪造、篡改或者窥视。针对这些问题,IPSec可有效地保护IP数据报的安全,它提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。目前许多电信运营商采用IPSec隧道加密技术,在宽带业务的基础上推出主要针对商用客户的VPN新业务,为商用客户既提供了高带宽低资费的企业网络联网服务,又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务,赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术,分析了IPSecVPN的主要实现方式.[关键词]IPsecvpn加密隧道安全绪论 3第一章、vpn简介 51、定义 52、分类 5（1）按VPN的协议分类 5（2）按VPN的应用分类： 5（3）按所用的设备类型进行分类： 5第二章、ipsecvpn 61、简介 62、IPsecAH(认证头协议) 63、IPsecESP：封装安全负载 74、IPsecIKE(密钥交换协议) 85、IPsecISAKMP(安全连接和密钥管理协议) 96、优缺点： 106.1优点（1）IPSec是与应用无关的技术，因此IPSecVPN的客户端支持所有IP层协议;（2）IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的;（3）IPSecVPN网关一般整合了网络防火墙的功能;6.2不足（1）IPSecVPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSecVPN的客户端程序;（2）IPSecVPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响;（3）IPSecVPN需要先完成客户端配置才能建立通信信道，并且配置复杂。 107、IPSEC的运行模式 117.1隧道模式(TunnelingMode) 117.2传送模式(TransportMode) 11基本协议模块： 13第三章、ipsecvpn案例 14总结 15绪论随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。

第一章、vpn简介1、定义虚拟专用网络（VirtualPrivateNetwork，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。2、分类（1）按VPN的协议分类VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。（2）按VPN的应用分类：1）AccessVPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量；2）IntranetVPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源；3）ExtranetVPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接；（3）按所用的设备类型进行分类：网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；2）交换机式VPN：主要应用于连接用户较少的VPN网络；3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型图1虚拟专用网络模型：第二章、ipsecvpn1、简介Internet协议安全性(IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft®Windows®2000、WindowsXP和WindowsServer2003家族实施IPSec是基于“Internet工程任务组(IETF)”IPSec工作组开发的标准。2、IPsecAH(认证头协议)IPsecAH（IPsecAH：IPsecAuthenticationHeader）认证头协议是IPsec体系结构中的一种主要协议。（如图1-3所示）它为IP数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况。一旦建立安全连接，接收方就可能会选择后一种服务。AH尽可能为IP头和上层协议数据提供足够多的认证。但是，在传输过程中某些IP头字段会发生变化，且发送方无法预测当数据包到达接受端时此字段的值。AH并不能保护这种字段值。因此，AH提供给IP头的保护有些是零碎的。AH可被独立使用，或与IP封装安全负载（ESP）相结合使用，或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。ESP提供了相同的安全服务并提供了一种保密性（加密）服务，而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地，不是由ESP封装的IP头字段则不受ESP保护。通常，当用与IPv6时，AH出现在IPv6逐跳路由头之后IPv6目的选项之前。而用于IPv4时，AH跟随主IPv4头。图2认证头协议示意图：3、IPsecESP：封装安全负载PsecESP（IPsecEncapsulatingSecurityPayload）封装安全负载是IPsec体系结构中的一种主要协议，其主要设计来在IPv4和IPv6中提供安全服务的混合应用。IPsecESP通过加密需要保护的数据以及在IPsecESP的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的IP数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性ESP头可以放置在IP头之后、上层协议头之前（传送层），或者在被封装的IP头之前（隧道模式）。IANA分配给ESP一个协议数值50，在ESP头前的协议头总是在“nexthead”字段（IPv6）或“协议”（IPv4）字段里包含该值50。ESP包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据，这个用户数据可以是整个IP数据报，也可以是IP的上层协议帧（如：TCP或UDP）。ESP提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式）和有限信息流机密性。所提供服务集由安全连接（SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他服务相独立。但是，使用机密性服务而不带有完整性/认证服务（在ESP或者单独在AH中）可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性（可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。4、IPsecIKE(密钥交换协议)InternetIPsecIKE密钥交换（IPsecIKE:InternetKeyExchangeProtocol）是IPsec体系结构中的一种主要协议（如图1-4所示）。它是一种混合协议，使用部分Oakley和部分SKEME，并协同ISAKMP提供密钥生成材料和其它安全连系，比如用于IPsecDOI的AH和ESP。图3密钥交换机制：IKE是一系列密钥交换中的一种，称为“模式”。IKE可用于协商虚拟专用网（VPN），也可用于远程用户（其IP地址不需要事先知道）访问安全主机或网络，支持客户端协商。客户端模，式即为协商方不是安全连接发起的终端点。当使用客户模式时，端点处身份是隐藏的。IKE的实施必须支持以下的属性值：1.DES用在CBC模式，使用弱、半弱、密钥检查。2.MD5[MD5]和SHA[SHA]。3.通过预共享密钥进行认证。4.缺省的组1上的MODP。另外，IKE的实现也支持3DES加密；用Tiger[TIGER]作为hash；数字签名标准，RSA[RSA]，使用RSA公共密钥加密的签名和认证；以及使用组2进行MODP。IKE实现可以支持其它的加密算法，并且可以支持ECP和EC2N组。5、IPsecISAKMP(安全连接和密钥管理协议)Interne安全连接和密钥管理协议（ISAKMP）是IPsec体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。因特网安全联盟和密钥管理协议（ISAKMP）定义了程序和信息包格式来建立，协商，修改和删除安全连接（SA）。SA包括了各种网络安全服务执行所需的所有信息，这些安全服务包括IP层服务（如头认证和负载封装）、传输或应用层服务，以及协商流量的自我保护服务等。ISAKMP定义包括交换密钥生成和认证数据的有效载荷。这些格式为传输密钥和认证数据提供了统一框架，而它们与密钥产生技术，加密算法和认证机制相独立。ISAKMP区别于密钥交换协议是为了把安全连接管理的细节从密钥交换的细节中彻底的分离出来。不同的密钥交换协议中的安全属性也是不同的。然而，需要一个通用的框架用于支持SA属性格式，谈判，修改与删除SA，ISAKMP即可作为这种框架。把功能分离为三部分增加了一个完全的ISAKMP实施安全分析的复杂性。然而在有不同安全要求且需协同工作的系统之间这种分离是必需的，而且还应该对ISAKMP服务器更深层次发展的分析简单化。ISAKMP支持在所有网络层的安全协议（如：IPSEC、TLS、TLSP、OSPF等等）的SA协商。ISAKMP通过集中管理SA减少了在每个安全协议中重复功能的数量。ISAKMP还能通过一次对整个栈协议的协商来减少建立连接的时间。ISAKMP中，解释域（DOI）用来组合相关协议，通过使用ISAKMP协商安全连接。共享DOI的安全协议从公共的命名空间选择安全协议和加密转换方式，并共享密钥交换协议标识。同时它们还共享一个特定DOI的有效载荷数据目录解释，包括安全连接和有效载荷认证。IPSec的工作原理(如图1-2所示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。图4Ipsec原理示意图：图5Ipsec体系结构：6、优缺点：6.1优点

（1）IPSec是与应用无关的技术，因此IPSecVPN的客户端支持所有IP层协议;

（2）IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的;

（3）IPSecVPN网关一般整合了网络防火墙的功能;

6.2不足

（1）IPSecVPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSecVPN的客户端程序;

（2）IPSecVPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响;

（3）IPSecVPN需要先完成客户端配置才能建立通信信道，并且配置复杂。基于ipsec的vpn实现7、IPSEC的运行模式7.1隧道模式(TunnelingMode)隧道模式(TunnelingMode)(如图1-6所示)可以在两个SecurityGateway间建立一个安全"隧道"，经由这两个GatewayProxy的传送均在这个通道中进行。通道模式下的IPSec报文要进行分段和重组操作，并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。通道模式下，除了源主机和目的地主机之外，特殊的网关也将执行密码操作。在这种模式里，许多隧道在网关之间是以系列的形式生成的，从而可以实现网关对网关安全。通道模式可表示为：|新IP头|IPsec头|IP头|TCP头|数据|图6隧道模式示意图：7.2传送模式(TransportMode)传送模式(TransportMode)(如图1-7所示)加密的部份较少，没有额外的IP报头，工作效率相对更好，但安全性相对于隧道模式会有所降低。传送模式下，源主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP（第二层隧道协议）而生成的单一隧道来发送的。数据（密码文件）则是由源主机生成并由目的地主机检索的。传送模式可表示为：|IP头|IPsec头|TCP头|数据|图7传输模式示意图图6Ipsec总体设计框图：网关送出的包即进入隧道的包可能来自两个方向：来自网关保护的内部局域网的某台主机或来自网关的应用层。对于送出的数据，为了不改动其它层协议和不增加其它层协议的负担，即不让传输层和网络接口层区分这个包应该交给IP协议处理还是交给IPSec处理，我们都将这些数据交给IP层作预处理。预处理做的工作就是对这个包是否应实施IPSec作判断，需要IPSec处理的包交给IPSec基本协议模块，不需要的直接做IP层相应的工作。IP层判断数据是否要实施IPSec处理是通过与IPSec中SPD的接口进行的，它将数据包的特征提取出来与SPD中的选择符进行对比，找到相应的处理策略(丢弃、应用IPSec、绕过IPSec)，如果需要进行IPSec处理，在SPD中提取对应的SADB中的信息(SAID)，并将数据交给IPSec基本协议模块接口。IPSec基本协议模块通过SAID找到SADB中对这个数据包的具体处理方法(安全协议、加密／认证算法、密钥等)对其进行安全处理。对于需要加密或认证的数据则交由加密认证模块处理后交回IPSec基本协议模块对其添加外部IP头后交给IP的后续模块处理，而不是直接交给网络接口层传出。这样做有两个好处：1、网络接口层不必区分是IP协议传来的包还是IPSec传来的包；2、有一些IP与IPSec重叠的工作(如对数据包的分段)就只有一个实现模块，避免了重复。后网络接口层将输出的包传给与外部相连的网卡。对于进入的数据，链路层将它交给IP协议做进入的预处理(如数据包的重组)，同时查看IP头中下一协议头字段是否为50(ESP)或51(AH)，如果是，将其交给IPSec处理模块。当IPSec处理完后将没有出错的包交给IP协议做后续处理，IP层后续处理根据内部IP头中的目的地址将其交给传输层或将其交给网络接口层再转发给内部主机。基本协议模块：IPSec的基本协议模块主要实现AH和ESP的协议处理。由于网关上实现的隧道，隧道口的地址和真正通信的主机地址往往是不同的，因此我们需要添加一个外部IP头，外部IP头中的地址为网关的IP地址。因此系统必须采用隧道模式，即隧AH或隧道／E