朱海水 永城職業(yè)學院
基于IPSec的網絡安全系統(tǒng)設計與VPN構建實現
朱海水 永城職業(yè)學院
IPSec在IP層提供安全服務,使得一個系統(tǒng)可以選擇需要的協(xié)議,決定為這些服務而使用的算法,選擇提供要求的服務所需要的任何密鑰。IPSec可保障主機之間、網絡安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。因此,采用基于IPSec的網絡安全設備可為重要數據安全傳輸提供保障。
IPSec ESP VPN 網絡安全設備
在設計網絡安全設備時采用IPSec協(xié)議,使用ESP對傳輸的數據進行嚴格的保護,可大大增強IP站點間安全性。在傳輸重要數據的通信IP網中使用本文設計的基于IPSec的網絡安全設備構建VPN能很好地防止數據被更改或竊取,確保數據傳輸的安全性。
IPSec協(xié)議是IETF提供的在Internet上進行安全通信的一系列規(guī)范,提供了在局域網、專用和公用的廣域網和Internet上的安全通信的能力,保證了IP數據報的高質量性、保密性和可操作性,它為私有信息通過公用網提供了安全保障。通過IKE將IPSec協(xié)議簡化使用和管理,使IPSec協(xié)議自動協(xié)商交換密鑰、建立和維護安全聯(lián)盟服務。使用IPSec協(xié)議來設計實現的VPN網關具有數據安全性、完整性、成本低等幾方面的優(yōu)勢。
2.1 設備加解密原理
為確保重要數據傳輸安全可靠,需在通信IP網中增加保密措施,因此本文設計了基于IPSec的網絡安全設備。設備采用軟件和硬件相結合的方式實現IPSec協(xié)議體系。軟件模塊主要完成控制層面的功能,包括網絡管理、密鑰管理、策略管理、配置管理、設備管理、信道協(xié)商等功能;硬件模塊主要完成數據處理層面的功能,包括數據包的協(xié)議分析、保密策略和加解密密鑰的搜索、加解密處理、IPSec隧道頭的封裝和拆封裝等功能。
當設備收到用戶IP包時,先判斷其是否為保密數據,如果是,則在該IP數據前加入一個ESP頭,然后發(fā)送到公網。ESP頭緊跟在IP頭后面,ESP占用IP協(xié)議標識值為50。對IP包的處理遵守以下規(guī)則:對于要發(fā)送到公網的IP包,先加密,后驗證;對于從公網上收到的IP包,先驗證,后解密。
當設備要發(fā)送一個IP包時,它在原IP頭前面插入一個ESP頭,并將ESP頭中的下一個頭字段改為4,根據密鑰管理協(xié)議協(xié)商得到的SPI值填入到ESP頭中,并分配一個序列號,同時根據算法要求插入填充字段,并計算填充長度。在ESP頭的前面插入一個新的IP頭,源地址為設備的IP地址,目的地址為對端設備的IP地址,并對相應的字段賦值,在做完以上處理后,對IP包加密,并進行驗證,將驗證數據插入ESP尾部。最后計算最前面的IP頭的校驗和。
2.2 硬件結構設計
網絡安全設備采用模塊化的設計思路,各硬件功能模塊之間采用接插件方式連接,設備主板是數據處理核心模塊,其他各模塊通過接插件與其連接。承載了業(yè)務安全處理、加解密等設備的核心功能。其上的主控模塊運行Vxworks操作系統(tǒng),承載設備嵌入式軟件,全面管理設備軟硬件運行狀態(tài)。板載密碼模塊完成業(yè)務數據的高速加解密處理。
接口板包括用戶口和網絡口兩塊接口板,通過高速接插件插在設備主板上。接口板上的千兆MAC芯片通過業(yè)務和控制線纜連接到后接線板。
IC卡讀卡器通過RS232接口線纜與設備主板上的主控模塊相連。電源模塊使用電源接插件為各功能模塊提供相應的直流電源。后接線板提供千兆口、100/1000自適應電口的用戶業(yè)務接入,本地控制接入。
網絡安全設備專門用于在TCP/IP體系的網絡層提供鑒別、隧道傳輸和加解密功能。通過對IP層加解密,可以支持大多數用戶業(yè)務,對局域網重要數據進行加密保護,通過公共通信網絡構建自主安全可控的內部VPN,集成一定的包過濾功能,使各種重要數據安全、透明地通過公共通信環(huán)境,是信息系統(tǒng)安全保障體系的基礎平臺和重要組成部分。設備部署在局域網出口處,通過對IP數據的加解密,可以保證局域網數據在公共信道上傳輸的安全性。
與設備相連的內部網受到IPSec保護,這個內部網可連入不安全的公用或專用網絡,如衛(wèi)星通信、海事和專用光纖等。在一個具體的通信中,兩個設備建立起一個安全通道,通信就可通過這個通道從一個本地受保護內部網發(fā)送到另一個遠程保護內部網,就形成了一個安全虛擬網。當位于某個安全內部網的主機要向另一個位于安全內部網的主機發(fā)送數據包時,源端網絡安全設備通過IPSec對數據包進行封裝,封裝后的數據包通過隧道穿越公用網絡后到達對端網絡安全設備。由于事先已經經過協(xié)商,收端網絡安全設備知道發(fā)端所使用的加密算法及解密密鑰,因此可以對接收數據包進行封裝。解封裝后的數據包則轉發(fā)給真正的信宿主機,反之亦然。
TCP/IP協(xié)議的開放性、靈活性使得基于IP技術的通信系統(tǒng)成為各類通信網絡的主要構成部分,但網絡上的IP數據包幾乎都是用明文傳輸的,非常容易遭到竊聽、篡改等攻擊。特別是傳輸重要數據的通信IP網,網絡的安全性尤其重要。
[1]劉春艷.基于IPSec的VPN網關設計與實現[J].網絡安全技術與應用,2013,11
[2]王妍.基于IPSec的VPN系統(tǒng)設計與實現[D].電子科技大學,2013