张娜

    【摘要】 为了防止网络与互联网的攻击，IPSec通过端对端的方式提供了一种安全性的主动保护。本文在对IPSec协议进行简要阐述的基础上，提出了一种基于Linux操作系统构建IPSec安全网关和VPN系统的方案，并根据实际工程需求以及对信息安全的研究，建立了一种基于IPSec协议的VPN网络信息安全体系。

    【关键词】 IPSec协议 VPN 网络安全

    一、IPSec协议概述

    IPSec协议（Internet Protocol Security）是因特网工程任务组（IETF）制定的一套可以用在IPv4和IPv6上的安全协议，该协议基于密码学方法，支持机密性和认证服务等安全服务，具有互操作性[1]。IPSec协议主要用于确保互联网上的一系列IP（网际协议）协议能够进行安全有效的传输。IPSec协议包括一系列以编号排定的文件，为了确保不同方案之间能够实现互通，它定义了一套默认的、强制实施的算法[2]。

    认证头协议（AH）和封装安全协议（ESP）是IPSec协议的两个子协议。其中认证头协议（AH）的协议号为51，其主要目的是增加IP数据报的安全性，它能够提供无连接的完整性、防重放攻击保护以及数据源头认证服务，但它不为所保护的数据报加密，即不提供任何的保密性服务；封装安全协议（ESP）的协议号为50，是插在IP报文内的一个协议头，主要为IP提供数据机密性、数据源验证、数据完整性、抗重播等安全服务。AH和ESP两者之间的不同点在于认证头协议（AH）不包含机密过程，而封装安全协议（ESP）有加密措施；此外认证头协议（AH）的验证范围涵盖了整条报文，而封装安全协议（ESP）不需要验证外部的IP数据头。

    根据保护对象以及使用地点的不同，， IPSec协议分为隧道模式和传送模式。隧道模式主要用于在Internet中的路由，并对整个IP分组采取保护措施。主要做法是将IP分组加密，并将加密后的分组完全封装到另一个IP分组中；传送模式主要用于主机之间，负责对分组负载进行有效保护，但是不对原来的IP地址进行加密。

    二、安全协议IPSec的实现

    IPSec是一组开放安全协议的总称， VPN（虚拟局域网）网关支持同时使用IPSec中的ESP和AH协议，以及支持隧道和传送两种模式。现以AH协议处理为例，阐述IPSec模块在Linux下的实现方案。

    AH协议分为输入和输出两部分，主要负责报文完整性认证的工作。在AH协议中，驱动程序负责报文的接收，并将报文放入IP队列内。为了确保字段的完整性和正确性，AH协议会对输入的报文进行完整性校验。对于输入的AH报头各字段的合法性和长度值的检查，主要由AH协议的输入部分负责。AH协议报头内专门的序列号字段主要用于进行抗重放攻击服务。在方案中报文的输入过程是：维护一个序号滑动窗口，其主要负责对报文内序号字段进行检查，检查的内容包括：字段接收范围、接收字段号，最后根据检查内容判断是否接收报文。正确报文的接收工作包括：提取报文序列号、修改滑动窗口。确认接收报文后，删除封装的IP隧道头和AH头，还原内部IP报文并将其重新置入IP队列中。报文输出的工作过程包括：计算出完整性校验值，并放入新添加的AH协议头的指定字段位置，并从SA（安全关联）内取出相应的AH头信息填入AH头，添加封装外部隧道的IP头。

    三、系统模块的设计原则

    为了使基于IPSec的VPN网络系统能够更好地应用于大型局域网，在设计构建VPN网络系统的时候，还需要考虑以下设计原则：

    高效率管理：为了提高管理效率，同时降低管理成本，本方案采取中心式的管理方法，通过远端管理配置每一台网关，实现全局的策略配置。网关启动时会自动从中心管理处下载策略，当中心策略发生变动时，会及时通知各个网关进行策略的重新下载更新。除了中心管理外，方案还支持远程配置访问。系统的稳定性：中心网关一般处于24小时不停机的满负荷工作状态，非常忌讳死机现象的发生，对系统的稳定性要求特别高。因此系统的最大无故障工作时间以及平均无故障时间等参数就显得至关重要。 硬件设备的可靠性：安全网关对硬件设备的可靠性要求很高，其硬件设备应该满足速度快、散热快、稳定、可靠等高性能要求。便捷的升级方式：系统升级能够很好地解决系统的漏洞，保证系统的稳定性，并增加一定的功能。系统随时都需要进行更新升级，因此最便捷的升级方式就是能够实现在线升级。实时监控：要保证每个网关能够进行信息的统计，包括是否处于安全连接状态、是否正常工作等信息，此外对每个隧道通过的数据也要进行统计。而管理中心能够实时地从各个网关提取统计信息。 证书管理：全局应该设定一个CA中心，主要解决证书的产生、发放、签名、验证以及授权管理。

    四、结语

    利用 IPSec 组建的 VPN 已成为新一代网络安全服务的基础，基于IPSec的VPN网络安全的实现，不仅能对不同子网的数据通信进行身份验证，合理有效地进行访问控制，而且很好地隐藏了网络的结构，较好地克服了安全威胁。

    参 考 文 献

    [1] 刘景云. 活用IPSEC规则，打造安全网络环境[J]. 电脑知识与技术：经验技巧， 2015（9）：116-118.

    [2] 卢刚. 用于IPSec协议的AES-128-CBC算法高速硬件设计[D]. 东南大学， 2015.

• 加强设备维护修理的具体措施
• 高校图书馆电子阅览室的管理及服务
• 电力营销中远程用电检查技术的应用探讨
• 探索“监理+信息化”试点应用改变监理工作模式
• 风险管理在卷烟厂项目技术安全中的运用
• 浅谈压力表检定与企业生产的重要性
• 房屋建筑施工中绿色节能施工技术的应用
• 绿色建筑给排水技术及具体应用
• TLJ900t架桥机在非标准长度梁架设中的改造应用
• BIM技术在装配式建筑中的应用探究
• 再生混凝土配制与力学性能研究
• 格构铁塔装配式板索基础的研究分析
• 地铁施工过程中的防水关键技术探索
• 水利水电工程中的水闸施工技术研究
• 公路施工中同步沥青碎石封层技术的应用
• 公路施工中水稳基层裂缝的防治措施
• 某空箱小码头滑坡原因及处理
• 基于耐久性的混凝土桥梁结构设计分析
• 工民建施工中预应力混凝土技术的应用
• 新技术材料在公路施工中的应用
• 浅谈公路施工技术及路面施工质量控制
• 公路桥梁沉降段路基路面的施工技术
• 小型水库除险加固工程施工管理方案
• 35kV耐高温光伏发电用组合式变压器研制
• 浅析军代表与适航代表对试验质量监管的异同
• overplanted
• overplanting
• overplants
• overplausible
• overplausibleness
• overplausiblenesses
• overplausibly
• overpleased
• overpleases
• overpleasing
• overplenties
• overplentiful
• overplentifully
• overplentifulness
• overplentifulnesses
• overplenty
• overplot
• overplots
• overplotted
• overplotting
• overply
• overpole
• overpolemical
• overpolemically
• overpolice
• 交与；付给
• 交之道，犹素之白也，染之以朱则朱，染之以蓝则青
• 交九
• 交互
• 交互代词
• 交互式电视
• 交互错杂
• 交交
• 交交关
• 交交关关
• 交交牙牙
• 交亲
• 交亵
• 交人不疑，疑人不交
• 交人交到鬼，打酒打到水
• 交人交心，浇树浇根
• 交人交心，浇花浇根
• 交付
• 交付刊印
• 交付委托
• 交付款项等给对方
• 交付现金
• 交付给与
• 交付账款
• 交付驿使