基于Ipsec隧道协议的vpn解决方案研究7.doc

资源描述

1、计算机学院网络工程课程设计题目基于IPSEC的VPN解决方案研究学号000000姓名000000系部000000年级专业班级000000指导教师、职称000000基于Ipsec隧道协议的vpn解决方案研究摘要摘要目前,TCP/IP几乎是所有网络通信的基础,而IP本身是没有提供“安全”的,在传输过程中,IP包可以被伪造、篡改或者窥视。针对这些问题,IPSec可有效地保护IP数据报的安全,它提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层协议(如UDP和TCP)提供安全保证。目前许多电信运营商采用IPSec隧道加密技术,在宽带业务的基础上推出主要针对商用客户的VPN新业

2、务,为商用客户既提供了高带宽低资费的企业网络联网服务,又提供了在公用网络上拥有私有VPN网络的数据传输安全保障服务,赢得了广大商用客户的青睐。本文将研究IPSec体系结构、技术原理和VPN基本技术,分析了IPSec VPN的主要实现方式. 关键词 IPsec vpn 加密隧道安全绪论3第一章、vpn简介51、定义52、分类5（1）按VPN的协议分类5（2）按VPN的应用分类：5（3）按所用的设备类型进行分类：5第二章、ipsec vpn61、简介62、IPsec AH(认证头协议)63、IPsec ESP：封装安全负载74、 IPsec IKE( 密钥交换协议)85、IPsec IS

3、AKMP(安全连接和密钥管理协议)96、优缺点：106.1优点（1）IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议; （2）IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的; （3）IPSec VPN网关一般整合了网络防火墙的功能; 6.2不足（1） IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序; （2）IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关

4、代理设备（proxy）的影响; （3）IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂。107、IPSEC的运行模式117.1隧道模式(Tunneling Mode)117.2传送模式(Transport Mode)11基本协议模块：13第三章、ipsec vpn案例14总结15绪论随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强，计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大，网络结构日益复杂。计算机网络和计算机

5、应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事后的技术手段应当完备，安全管理应贯穿安全防范活动的始终。网络安全问题伴随着网络的产生而产生，可以说，有网络的地方就存在网络安全隐患。像病毒入侵和黑客攻击之类的网络安全事件，目前主要是通过网络进行的，而且几乎每时每刻都在发生，遍及全球。除此之外，像恶意软件入侵、攻击，用户的非法访问和操作，用户邮件的非法截取和更改等都是普遍存在的安全事实。网络安全事件所带来的危害，相信我们每个计算机用户都或多或少

6、地亲身体验过一些：轻则使电脑系统运行不正常，重则使整个计算机系统中的磁盘数据全部覆灭，甚至导致磁盘、计算机等硬件的损坏。为了防范这些网络安全事故的发生，每个计算机用户，特别是企业网络用户，必须采取足够的安全防范措施，甚至可以说要在利益均衡情况下不惜一切代价。但要注意，企业网络安全策略的实施是一项系统工程，它涉及许多方面。因此既要充分考虑到那些平时经常提及的外部网络威胁，又要对来自内部网络和网络管理本身所带来的安全隐患有足够的重视，不能孤立地看待任何一个安全隐患和安全措施。因为这些安全隐患爆发的途径可以是多方面的，而许多安全措施都是相辅相成的。第一章、vpn简介1、定义虚拟专用网络（Virtua

7、l Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。2、分类（1）按VPN的协议分类 VPN的隧道协议主要有三种，PPTP，L2TP和IPSec，

8、其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。（2）按VPN的应用分类： 1） Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN的数据流量； 2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自同公司的资源； 3） Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接；（3）按所用的设备类型进行分类：网络设备提供商

9、针对不同客户的需求，开发出不同的VPN网络设备，主要为交换机，路由器，和防火墙 1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可； 2）交换机式VPN：主要应用于连接用户较少的VPN网络； 3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型图1虚拟专用网络模型：第二章、ipsec vpn1、简介Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。Microsoft® Windows®2000、Windo

10、ws XP 和 Windows Server 2003家族实施 IPSec 是基于“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。2、IPsec AH(认证头协议)IPsec AH（IPsec AH：IPsec Authentication Header）认证头协议是 IPsec 体系结构中的一种主要协议。（如图1-3所示）它为IP数据报提供无连接完整性与数据源认证，并提供保护以避免重播情况。一旦建立安全连接，接收方就可能会选择后一种服务。 AH 尽可能为IP头和上层协议数据提供足够多的认证。但是，在传输过程中某些 IP 头字段会发生变化，且发送方无法预测当数据包到

11、达接受端时此字段的值。 AH 并不能保护这种字段值。因此，AH提供给IP头的保护有些是零碎的。 AH 可被独立使用，或与 IP 封装安全负载（ESP）相结合使用，或通过使用隧道模式的嵌套方式。在通信主机与通信主机之间、通信安全网关与通信安全网关之间或安全网关与主机之间可以提供安全服务。 ESP 提供了相同的安全服务并提供了一种保密性（加密）服务，而ESP与AH各自提供的认证其根本区别在于它们的覆盖范围。特别地，不是由 ESP 封装的IP头字段则不受ESP保护。通常，当用与 IPv6时，AH出现在IPv6逐跳路由头之后IPv6目的选项之前。而用于IPv4 时，AH跟随主IPv4头。图2认证头

12、协议示意图：3、IPsec ESP：封装安全负载Psec ESP（ IPsec Encapsulating Security Payload）封装安全负载是 IPsec 体系结构中的一种主要协议，其主要设计来在IPv4和IPv6中提供安全服务的混合应用。IPsec ESP通过加密需要保护的数据以及在 IPsec ESP 的数据部分放置这些加密的数据来提供机密性和完整性。根据用户安全要求，这个机制既可以用于加密一个传输层的段（如：TCP、UDP、ICMP、IGMP），也可以用于加密一整个的 IP 数据报。封装受保护数据是非常必要的，这样就可以为整个原始数据报提供机密性ESP头可以放置在IP头之后

13、、上层协议头之前（传送层），或者在被封装的IP头之前（隧道模式）。IANA分配给ESP一个协议数值 50，在ESP头前的协议头总是在“next head”字段（IPv6）或“协议”（IPv4）字段里包含该值50。ESP 包含一个非加密协议头，后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据，这个用户数据可以是整个IP数据报，也可以是IP的上层协议帧（如：TCP或UDP）。ESP 提供机密性、数据源认证、无连接的完整性、抗重播服务（一种部分序列完整性的形式）和有限信息流机密性。所提供服务集由安全连接（SA）建立时选择的选项和实施的布置来决定，机密性的选择与所有其他

14、服务相独立。但是，使用机密性服务而不带有完整性/认证服务（在ESP或者单独在AH中）可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务，它们作为一个选项与机密性（可选择的）结合提供给用户。只有选择数据源认证时才可以选择抗重播服务，由接收方单独决定抗重播服务的选择。4、 IPsec IKE( 密钥交换协议)Internet IPsec IKE 密钥交换（IPsec IKE: Internet Key Exchange Protocol）是IPsec体系结构中的一种主要协议（如图1-4所示）。它是一种混合协议，使用部分Oakley和部分 SKEME，并协同I

15、SAKMP 提供密钥生成材料和其它安全连系，比如用于IPsec DOI的AH和ESP。图3密钥交换机制：IKE 是一系列密钥交换中的一种，称为“模式”。IKE 可用于协商虚拟专用网（VPN），也可用于远程用户（其IP地址不需要事先知道）访问安全主机或网络，支持客户端协商。客户端模，式即为协商方不是安全连接发起的终端点。当使用客户模式时，端点处身份是隐藏的。IKE的实施必须支持以下的属性值：1.DES用在 CBC 模式，使用弱、半弱、密钥检查。2.MD5MD5和SHASHA。3.通过预共享密钥进行认证。4.缺省的组1上的 MODP。另外，IKE的实现也支持3DES加密；用TigerTIGER

16、作为hash；数字签名标准，RSARSA，使用RSA公共密钥加密的签名和认证；以及使用组2进行MODP。IKE 实现可以支持其它的加密算法，并且可以支持ECP和EC2N 组。5、IPsec ISAKMP(安全连接和密钥管理协议)Interne 安全连接和密钥管理协议（ISAKMP）是 IPsec 体系结构中的一种主要协议。该协议结合认证、密钥管理和安全连接等概念来建立政府、商家和因特网上的私有通信所需要的安全。因特网安全联盟和密钥管理协议（ISAKMP）定义了程序和信息包格式来建立，协商，修改和删除安全连接（SA）。SA包括了各种网络安全服务执行所需的所有信息，这些安全服务包括IP层服务（如

17、头认证和负载封装）、传输或应用层服务，以及协商流量的自我保护服务等。ISAKMP定义包括交换密钥生成和认证数据的有效载荷。这些格式为传输密钥和认证数据提供了统一框架，而它们与密钥产生技术，加密算法和认证机制相独立。ISAKMP 区别于密钥交换协议是为了把安全连接管理的细节从密钥交换的细节中彻底的分离出来。不同的密钥交换协议中的安全属性也是不同的。然而，需要一个通用的框架用于支持 SA 属性格式，谈判，修改与删除 SA ， ISAKMP 即可作为这种框架。把功能分离为三部分增加了一个完全的ISAKMP实施安全分析的复杂性。然而在有不同安全要求且需协同工作的系统之间这种分离是必需的，而且还应该对

18、 ISAKMP 服务器更深层次发展的分析简单化。 ISAKMP 支持在所有网络层的安全协议（如：IPSEC、TLS、TLSP、OSPF 等等）的 SA 协商。 ISAKMP 通过集中管理SA减少了在每个安全协议中重复功能的数量。 ISAKMP 还能通过一次对整个栈协议的协商来减少建立连接的时间。 ISAKMP 中，解释域（DOI）用来组合相关协议，通过使用ISAKMP 协商安全连接。共享 DOI 的安全协议从公共的命名空间选择安全协议和加密转换方式，并共享密钥交换协议标识。同时它们还共享一个特定 DOI 的有效载荷数据目录解释，包括安全连接和有效载荷认证。 IPSec的工作原理(如图1-2所

19、示)类似于包过滤防火墙，可以看作是对包过滤防火墙的一种扩展。当接收到一个IP数据包时，包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时，包过滤防火墙就按照该规则制定的方法对接收到的IP数据包进行处理。图4 Ipsec原理示意图：图5 Ipsec 体系结构：6、优缺点：6.1优点（1）IPSec是与应用无关的技术，因此IPSec VPN的客户端支持所有IP层协议; （2）IPSec技术中，客户端至站点（client-to-site）、站点对站点（site-to-site）、客户端至客户端（client-to-client）连接所使用的技术是完全相同的; （3）IPSec

20、VPN网关一般整合了网络防火墙的功能; 6.2不足（1） IPSec VPN需要安装客户端软件，但并非所有客户端操作系统均支持IPSec VPN的客户端程序; （2）IPSec VPN的连接性会受到网络地址转换（NAT）的影响，或受网关代理设备（proxy）的影响; （3）IPSec VPN需要先完成客户端配置才能建立通信信道，并且配置复杂。基于ipsec的vpn实现7、IPSEC的运行模式7.1隧道模式(Tunneling Mode)隧道模式(Tunneling Mode) (如图1-6所示)可以在两个Security Gateway间建立一个安全隧道，经由这两个Gateway Proxy

22、主机和目的地主机必须直接执行所有密码操作。加密数据是通过使用L2TP（第二层隧道协议）而生成的单一隧道来发送的。数据（密码文件）则是由源主机生成并由目的地主机检索的。传送模式可表示为：| IP头 | IPsec头 | TCP头 | 数据 | 图7传输模式示意图图6 Ipsec总体设计框图：网关送出的包即进入隧道的包可能来自两个方向：来自网关保护的内部局域网的某台主机或来自网关的应用层。对于送出的数据，为了不改动其它层协议和不增加其它层协议的负担，即不让传输层和网络接口层区分这个包应该交给 I P协议处理还是交给 IPSec处理，我们都将这些数据交给IP层作预处理。预处理做的工作就是

23、对这个包是否应实施IPSec作判断，需要IPSec处理的包交给IPSec基本协议模块，不需要的直接做IP层相应的工作。 IP层判断数据是否要实施IPSec处理是通过与IPSec中SPD的接口进行的，它将数据包的特征提取出来与SPD中的选择符进行对比，找到相应的处理策略(丢弃、应用IPSec、绕过IPSec)，如果需要进行IPSec处理，在SPD中提取对应的 SADB中的信息(SAID)，并将数据交给 IPSec基本协议模块接口。IPSec基本协议模块通过SAID找到SADB中对这个数据包的具体处理方法( 安全协议、加密认证算法、密钥等) 对其进行安全处理。对于需要加密或认证的数据则交由

24、加密认证模块处理后交回IPSec基本协议模块对其添加外部IP头后交给IP的后续模块处理，而不是直接交给网络接口层传出。这样做有两个好处：1、网络接口层不必区分是IP协议传来的包还是IPSec传来的包；2、有一些IP与IPSec重叠的工作( 如对数据包的分段)就只有一个实现模块，避免了重复。后网络接口层将输出的包传给与外部相连的网卡。对于进入的数据，链路层将它交给IP协议做进入的预处理(如数据包的重组) ，同时查看IP头中下一协议头字段是否为50(ESP)或51(AH)，如果是，将其交给IPSec处理模块。当IPSec处理完后将没有出错的包交给 IP协议做后续处理，IP层后续处理根据内

25、部IP头中的目的地址将其交给传输层或将其交给网络接口层再转发给内部主机。基本协议模块：IPSec的基本协议模块主要实现AH和ESP的协议处理。由于网关上实现的隧道，隧道口的地址和真正通信的主机地址往往是不同的，因此我们需要添加一个外部IP头，外部IP头中的地址为网关的IP地址。因此系统必须采用隧道模式，即隧AH或隧道ESP。如图从图中我们发现，在隧道模式下，在认证方面ESP与AH认证的唯一区别就是对外部IP头有无认证，AH对其进行了认证，而ESP没有。而实现VPN时最重要的是保护局域网内部主机的通信数据，即图 5中AH和ESP头后面的数据。由于对外部IP的攻击是很少的，所以在我们的实现

26、中就只采用“隧道AH和隧道ESP”这一种实现。第三章、ipsec vpn案例连锁行业企业集团ipsec vpn解决方案：用IPSEC VPN互联，总部与分支之间可互访，其安全性、稳定性、便捷性都比其他方案要好，采用实时联机，装好后不用任何操作即可互联，且每个分支可有多台电脑同时连接至总部，IPSEC隧道数量支持范围为5-1000个，此方案需要企业总部安装一台侠诺VPN服务端，每个分支安装一台侠诺客户端，用IPSEC VPN安全隧道连接，简化复杂的IPSEC VPN配置只需要三个步骤，1、填入对方设备公网IP或域名，2、填入对方设备网关，3、填入隧道共享密匙，三个步骤即可完成IPSEC VPN

27、隧道配置。对于外部出差人员、移动办公人员及老总，企业总部VPN服务端还支持SSL VPN，可通过SSL VPN进行远程联机，从而实现异地办公、资源共享等总结随着互联网的飞速发展，网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题，其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中，它主要关心的是确保无关人员不能读取，更不能修改传送给其他接收者的信息。此时，它关心的对象是那些无权使用，但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题，以及发送者是否曾发送过该条消息的问题。本论文从企业角度描述了网络安全的解决方案，目的在于为用户提供信息的保密，认证和完整性保护机制，使网络中的服务，数据以及系统免受侵扰和破坏。比如防火墙，认证，加密技术等都是当今常用的方法，本论文从这些方法入手深入研究各个方面的网络安全问题的解决，可以使读者有对网络安全技术的更深刻的了解。

展开阅读全文