IPSec安全(精选8篇)
IPSec安全 第1篇
一、IPsec的保护机制
IPSec是业界定义的一组标准, 用于在IP数据包层检验、身份验证。加密是通过数学密钥对消息或数据进行编码的过程, 这种编码过程对没有这个数学密钥的用户隐藏数据的内容。解密是加密的反方向过程。数据解密过程使用适当的数学密钥对消息或数据进行解码, 将其恢复为原来的内容[2]。
IPSec提供三种不同的形式[3]来保护通过公有或私有IP网络来传送的私有数据:
认证--可以确定所接受的数据与所发送的数据是一致的, 同时可以确定申请发送者在实际上是真实发送者, 而不是伪装的。
数据完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
机密性--使相应的接收者能获取发送的真正内容, 而无意获取数据的接收者无法获知数据的真正内容。
当前的I P S e c支持数据加密标准 (DES) , 但也可以使用其它多种加密算法。
IPsec的主要目的是保护IP包的。IPsec是基于端到端的安全的模型, 这意味着发送方和接收方都必须是知道IPsec保护的唯一的主机。
其中将web服务器置于防火墙外边, 方便访问, SQL-server服务器置于防火墙之内, 是要保护的数据库, 防止受到修改或其他的攻击。数据库服务器和SQL-server服务器使用IPSec协议, 通过关联协商, 两者之间建立一个安全的通道, 两者之间的数据是经过加密的, 加密的算法可以是DES (IPsec支持DES算法) , 也可以是其他的加密算法。
二、IPsec的实现
图1是网络应用程序服务器和数据库服务器实现IPsec的安全通信, 只开放1433端口。应用程序服务器 (web服务器) 使用推荐的TCP/IP客户端网络库连接到SQL server, 并且使用默认的TCP端口1433,
可以使用在IP安全策略管理的MMC管理单元中配置的策略来控制IPsec。用IP安全策略管理来集中管理AD的客户端的IPsec策略:或对运行控制台的计算机进行本地管理, 或远程管理某台计算机或某个域。
实现模式可以是IPSec隧道模式。
具体实现步骤:
2.1在web服务器上 (使用的操作系统是window2003) 添加IP安全管理控制台:
(1) 以非管理性的用户登录到window2003;
(2) 单击“开始”-“单击运行”, 输入“M M C”, 然后单击“确定”;
(3) 在添加删除管理单元中单击添加“IP安全策略管理”, 在选择计算机和域中选择本地计算机, 因为要保护的不是整个域, 是单个计算机;
(4) 在此控制台树中, 有IP安全策略, 默认有3个策略:客户端, 服务器, 安全服务器。
2.2指派IP安全策略
(1) IP安全策略:
客户端 (请求安全)
(2) IP安全规则:
所有的IP通信
(3) 预共享密钥:
预共享密钥mess8.pass
(4) 身份验证方法:
第一:kerberos协议作为默认的身份验证, 第二:预共享密钥
2.3在数据库服务器上实现IPsec
添加IP安全管理控制台实现方法同web服务器实现添加IP安全管理控制台的方法是一样的。
指派IP安全策略有所区别:
(1) I P安全策略:指派安全服务器 (需要安全) , 那么客户端一定要指派IPSec策略才能和服务器通信;
(2) IP安全规则:只允许使用TCP的应用程序服务器通过端口1 43 3和S Q Lserver通讯。丢弃其他所有的IP包, 包括ICMP包 (ping) ;
(3) 预共享密钥:预共享密钥mess8.pass;
(4) 身份验证方法:第一:kerberos协议作为默认的身份验证, 第二:预共享密钥。
三、实现IPsec的意义
两台计算机之间传输的所有的数据都具有数据保密性。
SQL server的受攻击面显著减少。剩下的攻击点有:交互登录到数据库服务器, 获得对应用程序服务器的控制权, 以及试图用TCP端口1433攻击SQL server。
IPsec策略实现起来简单方便。
参考文献
[1]范亚芹.IPSec技术在MPLS VPN安全保障中的应用[J].吉林大学学报 (信息科学版) .2008, 1:30-32
[2]孙宁.IPSec安全策略数据库研究及其硬件实现方案[j].电信科学.2008, 3:8-10
IPSec安全 第2篇
蔡晟
中国电信股份有限公司上海研究院
【摘要】随着IMS的商用部署,传统运营商需要考虑固定接入用户的信息加密保护需求。本文简要介绍IPsec的工作原理,分析ESP和AH协议的封装机制;研究在BAC设备上实现IPsec的功能要求;最后提出IPsec在IMS固定接入网的应用部署建议。
【关键词】IMS;固定接入;安全;IPsec;BAC 引言
固定与移动通信的融合(FMC)已成为通信行业的未来发展趋势之一,IMS(IP Multimedia Subsystem)为在网络和业务层面提供了融合技术的可能性,越来越多的电信运营商正在或者准备IMS网络的部署。3GPP R7 版本又加强了对固定、移动融合的标准化制定,要求 IMS 支持 xDSL、cable、FTTx等固定接入方式。
固网运营商部署IMS时,需要考虑IMS固定接入的安全问题。一方面,IMS终端和互联网直接互联,而互联网是不安全的网络,使得接入设备和 IMS 终端很容易地受到黑客的攻击;另一方面,IMS 是以IP 为承载的网络,只要基于 IP 技术,SIP 信令就可以很容易的传送到核心控制层,这样IMS 核心控制层就会很容易的受到来自互联网安全威胁。IMS的安全架构
IMS网络基于数据网上, 但是它的安全机制却和数据网不相关的,为此IMS提供了完整的安全机制,包括鉴权认证、信令一致性保护以及加密。具体结构可以参见下图:
图1.IMS安全结构
可以看出IMS的安全结构一共包括5个层面: 1.提供用户和IMS网络之间的双向认证.认证是基于存在于IMS用户和HSS的秘密数据和函数.HSS[3]向S-CSCF[2]分发认证向量.S-CSCF代表网络对用户进行认证.2.提供UE和P-CSCF[2]之间的空中接口之间的安全链接.其中包括加密和完整化保护.3.提供网络域内CSCF和HSS之间的安全.4.提供不同网络之间的CSCF网络实体之间的网络域安全.5.提供相同网络内的CSCF之间的安全.这当中, 1、2被称为IMS接入网的安全, 而3、4、5则是网络域内范围的安全。
虽然IMS安全架构定义了UE与P-CSCF之间通过IPsec实现信令/媒体的完整性和安全性保护机制,但是当引如BAC后,原有的端到端的机制无法直接在UE与P-CSCF之间实现,转而需要在UE与BAC之间实现IPsec。为此,需要研究BAC的工作机制和IPsec的特性,探讨IPsec在BAC上应用部署问题。BAC的工作机制
在软交换时代,为解决业务部署中遇到的NAT/FW穿越、安全、互通、QoS等问题,运营商大多在固定接入终端和软交换之间部署BAC(边界控制器)。在IMS架构中,也同样定义了BAC:BAC位于P-CSCF和UE之间,BAC与P-CSCF接口为Gm,与UE之间的接口为Gm’。BAC也可以与P-CSCF合设,此时,Gm成为内部接口。
图2.BAC 在IMS架构中的位置
当SIP终端向IMS注册时,BAC会给终端分配一个信令代理端口,所有消息都会经过这个端口转发给IMS,同时BAC会用自身地址和这个端口来替换消息体中终端的地址信息。因此,BAC对SIP终端来说可看作是IMS系统,BAC相对IMS又可看作是用户,IMS系统首先将呼叫被叫的请求发给BAC,经过信令处理后再转发给真正的被叫用户。IPsec协议分析
IPsec是IP网络的主要安全机制,可以直接在IP层引入安全。通常IPsec根据网络节点标识来提供安全服务,而且这可以由SIP体系独立完成。正因如此,IPsec主要用于SIP实体之间,这些SIP实体可以拥有预先配置而且相当静态的安全联系,如同一个IP电话提供商的服务器。TLS通过TCP来提供传输层的安全,它适于在有动态联系的主机间需要逐段转接安全的体系。
AH和ESP是IPsec的两个主要协议。Authentication Header(AH)协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免收篡改,但不能防止窃听,适合用于传输非机密数据。Encapsulating Security Payliad(ESP)为IP数据包提供完整性检查、认证和加密。AH认证强于ESP,AH可以对报头和有效载荷进行认证,ESP只对有效载荷进行认证。AH和ESP在完整性校验的主要区别在于覆盖的长度上,ESP不对IP头进行认证,除非IP头被封装在ESP内部(例如,隧道模式)。
传输模式和隧道模式是将AH和ESP应用到IP数据包中的两种不同的方法。在隧道模式下,原始IP分组被封装成一个新的IP数据包,并在内部报文和外部报文之间插入一个IPsec
报头(AH或ESP),原IP地址被当作有效载荷的一部分受到IPsec的安全保护,另外,通过对数据加密,还可以将数据包目的地址隐藏起来,有助于保护端隧道通信中的数据安全。
在传输模式下,在IP报头和高层协议报头之间插入一个IPsec报文(AH或ESP)。在该模式下,IP报头与原始IP分组中的IP报头相同,只是IP协议字段被改为AH(51)或ESP(50),并重新计算IP报头校验和。
传输模式保护数据包的有效载荷、高层协议,IPsec源端点不会修改IP报头中的目标IP地址,原来的IP地址保持明文。传输模式只是为高层协议提供安全。该模式常应用在需要保护的两台主机之间的端到端的连接,而不是有多台主机的两个网关之间的数据流。
4.1隧道模式中的AH 在隧道模式中,AH插入到原始IP头部之前,然后在AH之前再增加一个新的IP头部。AH验证的范围也是整个IP包,因此也存在AH和NAT、BAC的冲突。
新IP头部(含可选字段)AH头部IP头部(含可选字段)TCP头部(含可选字段)数据应用AH之前IP头部(含可选字段)TCP头部(含可选字段)数据应用AH之后图3.隧道模式中的AH
验证区域(可变字段除外)
4.2隧道模式的ESP ESP隧道模式对整个IP包进行加密保护,ESP插入到原始IP头部之前,然后在ESP之前再增加一个新的IP头部。
新IP头部(含可选字段)ESP头部IP头部(含可选字段)IP头部(含可选字段)TCP头部(含可选字段)数据加密区域TCP头部(含可选字段)验证区域数据ESP尾部ESP验证数据应用ESP之前应用ESP之后图4.隧道模式中的ESP
4.3传输模式中的AH AH插入到IP头部(包括IP选项字段)之后,传输层协议(如TCP、UDP)或者其他IPsec协议之前。
IP头部(含可选字段)ESP头部IP头部(含可选字段)TCP头部(含可选字段)数据加密区域TCP头部(含可选字段)验证区域数据ESP尾部ESP验证数据应用ESP之前应用ESP之后图5.传输模式中的AH
4.3传输模式中的ESP ESP插入到IP头部(包括IP可选字段)之后,任何被IP协议所封装的协议(如传输层协议TCP、UDP等)之前,保护IP包的载荷。传输模式的ESP不对SPI、序号字段和验证数据进行加密。不对IP头部进行验证,所以不存在NAT和BAC冲突的问题。ESP传输模式的验证服务比AH传输模式弱一些。
IP头部(含可选字段)IP头部(含可选字段)TCP头部(含可选字段)数据应用AH之前AH头部TCP头部(含可选字段)数据应用AH之后图6.传输模式中的ESP
验证区域(可变字段除外)IPsec在BAC上的应用
在隧道模式下,无论是AH还是ESP,如果该包经过BAC,其源/目的地址将被改变,将造成到达目的地址后的完整性验证失败。在传输模式下的AH,被验证的区域是整个IP包(可变字段除外),包括IP包头部,因此源IP地址、目的IP地址是不能修改的,否则会被检测出来。
由于BAC重新指定内网/外网用户信令/媒体流的接收地址和端口,因此IMS只能采用IPSec ESP为UE和BAC间所有SIP信令提供完整性保护,保护IP层的所有SIP信令,以传输模式提供完整性保护机制。
对于IMS固定接入网用户,由于UE与P-CSCF之间存在BAC,特别是在BAC的信令处理模块与P-CSCF未合设的情况下,无法实现从UE到P-CSCF的IPsec加密通道,因此为保证IMS的安全传输,可以部署从终端到BAC的IPsec安全隧道,为终端接入提供安全链接.包括加密和完整性保护。
下图以固定接入的UE初始注册为例,介绍UE与BAC之间建立SA的流程。
UE1Unprotectedport2REG4018UnprotectedportBACP-CSCFS-CSCF345910protectedClient port15protectedServer port11REG672001320014protectedServer portprotectedClient port
TCP/UDP12图7.UE与BAC之间建立SA
1、UE发送注册请求;
2、向BAC的服务端口(未受保护)发送该SIP注册消息;
3、该SIP注册消息传送至归属S-CSCF,进行用户身份验证;
4、S-CSCF从HSS取得用户安全信息;
5、S-CSCF返回401应答消息,该消息中包含了BAC侧用于IPsec的加密密钥和UE的验证信息;
6、BAC更改401消息,去除加密密钥,增加包含IPsec信息的Security-Server报头;
7、BAC为接收认证过的SIP注册消息准备IPsec通道;
8、由BAC修改的401消息发送至UE的服务端口(未受保护);
9、UE对S-CSCF进行验证,计算用于IPsec通道的加密密钥。UE建立IPsec通道,配置SA;
10、UE构建验证后的注册请求消息;
11、UE向BAC的端口(受保护)发送注册消息;
12、BAC转发SIP注册消息,S-CSCF对UE进行验证;HSS更新记录;S-CSCF返回200 OK;
13、若使用TCP协议,BAC向UE的端口(受保护)发送200 OK;
14、若使用UDP协议,BAC向UE的端口(受保护)发送200 OK;
15、会话建立。
根据上述流程可以看出,当BAC与P-CSCF功能实体分开设置的情况下,IPsec的建立需要由BAC代替P-CSCF完成。为了进一步提高BAC与P-CSCF之间SIP信令的完整性和机密性,可以在两者之间另外建立安全隧道,但是这样将加重BAC的处理负荷,并且BAC与P-CSCF之间已属于运营商内部核心网而不属于接入网,在安全防护上已有一定的保证。当BAC与P-CSCF功能实体合并设置的情况下,对BAC没有支持IPsec需求,接入网部分的信令加密仍可以由UE与P-CSCF之间建立安全隧道来完成。
6结束语
总之,为解决IMS终端与核心网络之间的安全问题,可以通过IPsec对信令、媒体流进行完整性保护和加密。而固定接入终端与移动终端的IPsec应用存在区别,主要是对于固定接入终端,需要在BAC上部署IPsec。因此,虽然目前IPsec的实际应用较少,但是运营商在建设IMS网络时,仍需要关注BAC对IPsec的功能支持,以便将来满足固定接入用户的安全需求。
参考文献
[1] IETF RFC2401 Security Architecture for the Internet Protocol.[2] IETF RFC2406 IP Encapsulating Security Payload(ESP).[3] 潘平,会话边界控制设备SBC应用的相关研究,广东通信技术,2010, 30(5).[4] 杨涛,面向用户的IMS媒体层统一安全框架,计算机工程,2009.[5] 宋建标,马跃,刘昶,IMS固定接入网安全问题分析,计算机科学技术,2010,10.作者简介
基于IPSec协议的网络安全技术 第3篇
众所周知, IP或TCP/IP协议是互联网Internet发展的基础。IP协议最可取的内涵与作用在于其充分的开放透明性与灵活有效的多业务增值能力。然而, 在开放透明的同时, 也往往更容易“充分暴露”, 自然也容易受到攻击。目前, 黑客、病毒似乎愈杀愈烈, 泛滥成灾, 已成为安全计算及IP网络安全运作的头等隐患。调查结果显示:2010年, 72.16%的被调查单位发生过信息网络安全事件, 与2009年相比有大幅上升, 计算机感染病毒的比例为60%[1]。虽然中国广大联网单位和计算机用户的网络安全防范意识明显增强, 联网单位网络安全管理水平也有所提高, 但由于新病毒层出不穷也令用户防不胜防。
2. IP协议的不安全性
当前的互联网是基于IP协议的网络, IP协议采用一种简单的定址方案, 并提供了“无连接”服务。但是由于IP协议在设计之初只注意了它的开放性而没有考虑安全方面的因素, 天生就不安全。目前在Internet上运行的IP均未对安全选项进行处理, 黑客可以通过信息包探测、IP电子欺骗、连接截获、rePlay攻击 (是一种不断发相同序列号的包, 使系统崩溃的攻击方法) 等方法来进行攻击, 这意味着黑客很容易便可伪造出IP包的地址修改其内容, 重播以前的包以及在传输途中拦截并查看包的内容。因此, 我们很难确信收到的IP数据报到底是不是真的来之于我们预期的发送方, 也很难确定到底有否被他人查看过或修改过[2]。为了构建安全的IP网络, 1995年8月Internet工程任务组IETF公布了一系列关于IPSec的建议标准, 其目标就是把安全集成到IP层, 以便对Internet的安全业务提供底层的支持。如今IPSec协议己成为新一代Internet的安全标准, 它可以“无缝”地为IP引入安全特性, 并对数据源提供身份验证、数据安全完整性检查以及机密性保证机制, 可以防范数据受到来路不明的攻击。由于是处于网络层的安全协议, IPSec协议可被上层的任何协议所使用, 如TCP、UDP、ICMP、BGP等等。IPSec的设计既适用于IPv4又适用于IPv6, 它在IPv4中作为一个建议的可选服务, 对于IPv6是一项必需支持的功能。
3. IPSec协议的安全性
IPSec协议可以说是IP协议的完美的安全补丁, IPSec协议所提供的安全扩展很好的修正了IP协议的安全缺陷。IPSec协议主要为IP网络提供了如下四方面的安全性:
1) 身份验证:即确保IP报文来源于合法的、安全的数据发送者, 以防止不合法身份的使用者通过伪造身份进入并劫持网络。
2) 保护数据的完整性:IPSec协议可以保证网络中的数据接受者收到的IP报文是未被截断或修改的。如若IP报文在数据的发送、传输过程中被篡改了, 则IPSec协议可以通过特定的完整性算法检测出来, 从而可以告知数据的接受者丢弃该不安全的IP报文。
3) 保证数据的保密性:保密性可确保只有预期的接收方才能读出数据。该特性是通过在传输前将数据加密实现的, 这样可确保即使数据报被监视或破解, 也无法在传输过程中读取数据, 只有具有预期的通讯计算机才能在解密后读取该数据。
4) 防止重放攻击:确保每个IP数据报的唯一性。反重播也称为防止重播。防重播可确保攻击者截获的数据无法重新使用或重播, 从而不能非法建立会话或获取信息。该属性可防止截取消息并可能在数月以后使用相同的消息来非法获取对资源的访问权。
4. IPSec协议的体系结构
IPsec是一种协议套件, 由两大部分组成: (1) 建立安全分组流的密钥交换协议; (2) 保护分组流的协议[3]。前者为互联网安全连接和密钥交换 (ISAKMP) 协议。后者包括加密分组流的封装安全载荷协议 (ESP协议) 或认证报头协议 (AH协议) 协议, 用于保证数据的机密性、来源可靠性 (认证) 、无连接的完整性并提供抗重播服务。IPsec的基本结构如下图1:
基于IPsec的IP网络在通信之前, 通信双方 (主机或路由器) 首先要验证对方的身份, 这个过程由ISAKMP协议 (安全连接与密匙管理协议) 来实现。ISAKMP协议首先根据保存在安全策略数据库 (SPD) 中安全策略使用预共享密匙或证书等方式验证对方的身份, 从而确定是否联机进行通信。如若通过身份验证要建立联机通信, 则通信双方进行协商安全通信所需的一些参数, 如认证使用的算法及key值、加密用的算法及key值等。安全协商成功则通信双方之间将建立安全连接 (SA) , 从确保通信双方的通信安全。SA是以SA记录的形式保存在SAD数据库中的, 一条SA记录代表的是一个单一方向通信, 若要进行双向的通信, 则需要建立两个SA。SPD和SAD中的记录是以特定的格式保存的, 并由解释域 (DOI) 负责解释其含义。
IPsec使用验证报头协议 (AH) 可对整个IP数据报 (IP报头与数据报中的数据) 提供身份验证、完整性与抗重播, 但是AH不提供保密性, 即它不对数据进行加密。封装安全有效负载协议 (ESP) 除了具有身份验证、完整性和抗重播功能外还可以为IP数据报中的数据 (不包括IP报头) 提供保密性。ESP可以独立使用, 也可与AH组合使用。
5. IPSec协议的实施
IPSec可在终端主机、网关/路由器或两者中同时进行实施和配置。至于IPSec到底在网络的什么地方配置, 则由用户对安全保密的要求来决定。如图2所示, 在主机实施可以保障端到端的安全性, 也能够实现所有的IPSec安全模式。
注:虚线框表示IPSec提供的安全保护区域
如图3所示, 在路由器中实施, 可在网络的一部分中对传输的数据报进行安全保护, 能对通过公用网络 (比如互联网) 在两个子网之间流动的数据提供安全保护, 能进行身份验证, 并授权用户进入私用网络。
IPSec协议通过为每个数据报添加其自己的安全协议报头, 为每个IP数据报提供数据与标识的保护。IPSec有两种工作模式:隧道模式和传输模式[4]。通常在主机实施IPSec时, IPSec工作在传输模式, 而在网关/路由器实施IPSec时, IPSec工作在隧道模式[5]。
6. 总结
在网络安全的重要性被提到一个新的高度的今天, IPSec安全协议在网络通信中的作用是不言而喻的。IPSec在IPv4中是作为一个建议的可选服务的, 对于工Pv6是一项必需支持的功能。新版IPsec协议在多个方面做了改进, 但IPsec的实施模式却是应用IPsec到实际网络的关键一环, 细分网络安全需求, 量身定制最为合适的IPsec实施模式是非常重要的。当然, 有效保护网络安全与信息安全, 必须依靠其他多种技术的有机配合, 比如认证体系、加密体系、密钥分发体系、可信计算体系等。
参考文献
[1]国家计算机病毒应急处理中心.2010年全国信息网络安全状况与计算机及移动终端病毒疫.http://www.antivirus-china.org.cn/
[2]王欲静.IP安全性与IPSec协议的研究[D].郑州大学, 2002
[3]陈庆章, 赵小敏.TCP/IP网络原理与技术[M].北京:高等教育出版社, 2008
[4]蹇成刚.IP分组网络安全分析及IPSec技术.计算机与网络[J].2010, (17) :42-44
IPsec在网络安全中的应用 第4篇
IPsec是以IP包为单位对信息进行暗号化的方式, 来对传输途中的信息包进行加密或者防止遭到篡改的一种协议, 是保护IP协议安全通信的标准, 它主要对IP协议分组进行加密和认证。IPSec协议给出了应用于IP层上网络数据安全的一整套体系结构, 包括网络认证协议、封装安全载荷协议、密钥管理协议和用于网络认证及加密的一些算法等。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换, 向上提供了访问控制、数据源认证、数据加密等网络安全服务。
IPSec在IP层上对数据包进行安全处理, 提供数据源的验证, 数据完整性, 数据机密性, 抗重放等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理, 而不必设计和实现自己的安全机制, 因而大大减少了密钥协商的开销, 也降低了生长安全漏洞的可能性。
1 IPSec协议
1.1 IPSec目标
IPSec定义了IP层使用的安全服务, 它面向IP层以上的数据保护, 主要有以下的安全目标:
1.1.1身份验证:能够可靠的确定接收到的数据与发送的数据一致, 并且确保发送该数据的实体与其所宣称的身份一致。
1.1.2完整性:能够可靠的确定数据在从源到目的地传送的过程中没有被修改。
1.1.3机密性:确保数据只能为预期的接收者使用, 而不能为其他任务实体使用或者读出。
1.1.4对包重放攻击的防范。重放攻击是指攻击者发送一个目的主机已接收过的包, 通过占用接收系统的资源, 这种攻击使系统的可用性受到损害, 作为无连接协议, IP很容易受到重放攻击的威胁。
1.2 IPSec基本特征
IPSec建立在两个基本概念之上:
1.2.1安全协议
安全协议提供了下列服务:原始认证、无连接完整性、加密、反重放, 并通过使用两种报头来实现这些服务:认证报头 (AH) 和封装安全荷载 (ESP) 。它们用于隧道模式或传输模式。隧道模式封装整个IP报文, 而传输模式只封装上层信息。在路由器中, IP报头中的部分是不会变化的, 比如, 源和目的IP地址在隧道模式中, AH认证数据是基于整个原始IP报文的内容计算的, 新IP头中的选定部分在整个路由器中不发生变化。当报文路由时, 发生变化的IP报头并不用来计算认证数据。
1.2.2密钥管理
密钥协商时发生在两个进行IPSec通信的路由器之间。密钥协商线程通过IKE协议, 定期的在不安全的网络上实现安全的密钥交换。密钥管理模块的工作就是:密钥的产生、销毁和密钥协商过程, 它的焦点在于如何在非安全的网络上交换IPSec算法使用的秘密密钥, 诸如认证数据的MAC算法和产生荷载数据的ESP加密密钥等。我们可以采用手工的方式或者自动的过程来通知IPSec设备它们的密钥。手工方式需要为每台IPSec主机配置每一条SA所需的密钥, 因而很少使用。自动过程则使用名为IKE的密钥管理协议。IKE充分考虑了IPSec使用的所有算法交换密钥的复杂性, 通过将密钥管理函数替代普通的密钥管理协议简化了将新算法添加进IPSec协议套的过程, 实现了在非安全网络上安全的交换秘密密钥。
2 IPSec的实现
在理解了IPSec的基本概念和原则之后, 在路由器上配置IPSec的只需要两个基本步骤:
2.1 使用ISAKMP进行密钥交换
第一步是在每个IPSec对等端上建立一个ISAKMP的策略, 它定义了与每个IPSec对等端协商的参数。ISAKMP策略的参数有:
加密算法DES, 3DES;
Hash算法SHA, MD5;
认证方式RSA数字签名, RSA临时预共享密钥。
2.2 使用IPSec
在配置完ISAKMP之后, 配置IPSec需要以下步骤:
创建一个定义IPSec处理流量的访问表;
创建一个定义用于所创建的访问表上的安全策略的交换;
创建一个匹配访问表和交换集的Crypto映射给IPSec对等端;
将Crypto映射应用到具体的接口上。
3 IPSec典型应用
3.1 体系设计
本例中, 有2个通过低速128Kbps链路和低端2600系列路由器连到Internet的结点。在这两个结点之间建立使用标准加密的安全连接。并希望尽可能减少额外的工作。同时要求加密telnet会话来保证他们的密钥被安全地传送, 但同时又希望结点之间所有的流量被认证。两个路由器的以太口地址分别为172.50.1.0/24和150.100.1.0/24, 串口地址段为205.15.1.0/24.拓扑结构如下:
3.2 配置清单
Router A和B的配置:
3.3 分析
根据需求, 采用IPSec完全能满足加密需求。首先, 定义一个ISAKMP密钥交换策略, 它会定义允许ISAKMP与每一对等路由器协商密钥交换的参数, 这些参数在路由器上匹配。然后定义每一IPSec对等端使用的共享密钥, 这里使用itsasecret, 它在每个IPSec路由器上都是相同的。然后定义IPSec用来创建一个或多个交换集的算法。设置用于分类使用不同变换集流量的访问表。本例中创建了101和102两条访问表来匹配网段之间的流量。在设置完访问表之后, 创建一个crypto map, 并应用到对应的路由器接口上, 完成整个路由器的数据加密配置过程。
4 结束语
作为网络基本节点的路由器, 使用安全协议为周边的数据通信提供强大的安全保障是IP网络的发展趋势, 而IPSec协议经过实践证明是IP安全协议中最为成熟和可靠的, 在路由器中集中IPSec协议已成为重要的部分。
摘要:本文针对IP网络固有的安全特点, 分析了IPSec协议的安全体系以及原理, 详细介绍了在路由器上配置IPSec的格式、关键字的使用、创建方法及在接口上的应用, 并实例说明了cisco加密技术在IP网络安全中的应用。
关键词:IPSec,协议,网络安全
参考文献
[1]merike kaeo.潇湘工作室译.网络安全性设计[M].北京:人民邮电出版社, 2000.
[2]谢希仁, 鸣, 张兴元.计算机网络[M].北京:电子工业出版社, 2003.
IPSec安全 第5篇
IPSec协议(Internet Protocol Security)是因特网工程任务组(IETF)制定的一套可以用在IPv4和IPv6上的安全协议,该协议基于密码学方法,支持机密性和认证服务等安全服务,具有互操作性[1]。IPSec协议主要用于确保互联网上的一系列IP(网际协议)协议能够进行安全有效的传输。IPSec协议包括一系列以编号排定的文件,为了确保不同方案之间能够实现互通,它定义了一套默认的、强制实施的算法[2]。
认证头协议(AH)和封装安全协议(ESP)是IPSec协议的两个子协议。其中认证头协议(AH)的协议号为51,其主要目的是增加IP数据报的安全性,它能够提供无连接的完整性、防重放攻击保护以及数据源头认证服务,但它不为所保护的数据报加密,即不提供任何的保密性服务;封装安全协议(ESP)的协议号为50,是插在IP报文内的一个协议头,主要为IP提供数据机密性、数据源验证、数据完整性、抗重播等安全服务。AH和ESP两者之间的不同点在于认证头协议(AH)不包含机密过程,而封装安全协议(ESP)有加密措施;此外认证头协议(AH)的验证范围涵盖了整条报文,而封装安全协议(ESP)不需要验证外部的IP数据头。
根据保护对象以及使用地点的不同,,IPSec协议分为隧道模式和传送模式。隧道模式主要用于在Internet中的路由,并对整个IP分组采取保护措施。主要做法是将IP分组加密,并将加密后的分组完全封装到另一个IP分组中;传送模式主要用于主机之间,负责对分组负载进行有效保护,但是不对原来的IP地址进行加密。
二、安全协议IPSec的实现
IPSec是一组开放安全协议的总称,VPN(虚拟局域网)网关支持同时使用IPSec中的ESP和AH协议,以及支持隧道和传送两种模式。现以AH协议处理为例,阐述IPSec模块在Linux下的实现方案。
AH协议分为输入和输出两部分,主要负责报文完整性认证的工作。在AH协议中,驱动程序负责报文的接收,并将报文放入IP队列内。为了确保字段的完整性和正确性,AH协议会对输入的报文进行完整性校验。对于输入的AH报头各字段的合法性和长度值的检查,主要由AH协议的输入部分负责。AH协议报头内专门的序列号字段主要用于进行抗重放攻击服务。在方案中报文的输入过程是:维护一个序号滑动窗口,其主要负责对报文内序号字段进行检查,检查的内容包括:字段接收范围、接收字段号,最后根据检查内容判断是否接收报文。正确报文的接收工作包括:提取报文序列号、修改滑动窗口。确认接收报文后,删除封装的IP隧道头和AH头,还原内部IP报文并将其重新置入IP队列中。报文输出的工作过程包括:计算出完整性校验值,并放入新添加的AH协议头的指定字段位置,并从SA(安全关联)内取出相应的AH头信息填入AH头,添加封装外部隧道的IP头。
三、系统模块的设计原则
为了使基于IPSec的VPN网络系统能够更好地应用于大型局域网,在设计构建VPN网络系统的时候,还需要考虑以下设计原则:
高效率管理:为了提高管理效率,同时降低管理成本,本方案采取中心式的管理方法,通过远端管理配置每一台网关,实现全局的策略配置。网关启动时会自动从中心管理处下载策略,当中心策略发生变动时,会及时通知各个网关进行策略的重新下载更新。除了中心管理外,方案还支持远程配置访问。系统的稳定性:中心网关一般处于24小时不停机的满负荷工作状态,非常忌讳死机现象的发生,对系统的稳定性要求特别高。因此系统的最大无故障工作时间以及平均无故障时间等参数就显得至关重要。硬件设备的可靠性:安全网关对硬件设备的可靠性要求很高,其硬件设备应该满足速度快、散热快、稳定、可靠等高性能要求。便捷的升级方式:系统升级能够很好地解决系统的漏洞,保证系统的稳定性,并增加一定的功能。系统随时都需要进行更新升级,因此最便捷的升级方式就是能够实现在线升级。实时监控:要保证每个网关能够进行信息的统计,包括是否处于安全连接状态、是否正常工作等信息,此外对每个隧道通过的数据也要进行统计。而管理中心能够实时地从各个网关提取统计信息。证书管理:全局应该设定一个CA中心,主要解决证书的产生、发放、签名、验证以及授权管理。
四、结语
利用IPSec组建的VPN已成为新一代网络安全服务的基础,基于IPSec的VPN网络安全的实现,不仅能对不同子网的数据通信进行身份验证,合理有效地进行访问控制,而且很好地隐藏了网络的结构,较好地克服了安全威胁。
参考文献
[1]刘景云.活用IPSEC规则,打造安全网络环境[J].电脑知识与技术:经验技巧,2015(9):116-118.
IPSec安全 第6篇
Internet的开放性使得网络安全问题日渐突出, 一直饱受诟病。虽然IPv4协议中已经作为可选项引入了IPsec (Internet Protocol Security) , 但效果并不显著。IPv6协议在设计之初就充分考虑到了安全问题, 并引入了全新的IPSec机制保证网络层数据包的安全。
2 IPsec体系
IPsec是负责网络安全的一套协议体系, 是网络安全的长期发展方向。协议通过对IP数据包进行加密和认证来保护网络层数据的安全。IPSec是由一系列协议组成的协议簇, 主要包括:认证头协议AH (Authentication Header) , 封装安全载荷协议ESP (Encapsulating Security Payload) , Internet密钥交换协议IKE (Internet Key Exchange) 协议以及一些加密及认证算法等组件。
3 AH
AH协议为IP数据包提供数据源认证、数据完整性检验和反重播攻击的服务, 它能保护数据包内容不被篡改, 但不能防止对数据的窃听, 适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个AH报头, 报头包含一个带密钥的hash散列, hash散列在整个数据包中计算, 因此对数据包进行任何修改后, 将导致此hash散列无效。
在IPv6协议中, AH分配的协议号是51, 由IPv6的基本报头或者是AH报头前面的扩展报头的“下一头部”字段表明是否携带有AH报头。AH报头的格式如图1所示。
Next Header:指明本报头后紧跟的另一个扩展头部;
Length:本报头的长度;
Reserved:保留字段, 为以后的扩展使用;
Security Parameters Index:与IP地址一起来标识安全参数, 为当前数据包识别安全关联的32位随机值, 全零则表示没有安全关联存在;
Sequence Number:是一个单项递增的计数器, 标识每一个数据包, 用于反重播保护;
Authentication Data:可变长度, 具体的长度取决于所选用的认证算法;存放对于受保护字段的数据进行计算后得出的认证数据。
AH的认证可以覆盖IPv6的基本报头和其他扩展报头, 甚至保护整个IP数据包的所有字段, 但是在传输过程中会发生变化的字段是被排除在外的。AH的算法是独立的, 所以并没有文档对AH所使用的认证算法进行详细定义;但在RFC2303和RFC2403中定义了两个需要强制实施的认证算法:HMAC-HD5、HHAC-SHA1。
4 ESP
ESP协议提供对数据包内容的加密和认证, 与AH相比, ESP不仅提供了认证, 而且提供加密功能, 防止数据包被篡改。ESP的报头格式如图2所示。
Security Parameters Index:作用与AH首部中的SPI相同;用来指定所采用的加密算法和密钥。本字段不被加密, 否则接收方无法确定一个SA;
Sequence Index:与AH中的作用相同, 用于抵抗重播的攻击不加密;在解密前即可判断一个包是否重复;
Payload Data:长度不确定, 该字段存放上层协议数据或者被保护的IPv6数据包;
Padding:ESP要求密文必须死32bits的整数倍, 此字段用于对齐;如果算法要求明文是某些字节的整数倍, 此字段用于扩展到需要的长度;
Padding Length:指明填充字段的长度, 方便接收方能顺利恢复出有效载荷的真实长度;
Next Header:指明下一个首部的类型;
Authentication Data:存放根据ESP分组计算出的认证完整性检查值, 根据所选用的算法不同, 长度可变。
ESP首部将Payload Data、Padding、Padding Length以及Next Header字段加密后, 将密文与其他部分重新组成IPv6的数据包进行发送。
ESP首部的加密功能和认证功能都是可选择的, ESP首部协议定义了零加密和零认证方式, 即可以只选择加密功能或者只选择认证功能, 但是不能同时选择零加密和零认证方式, 加密和认证功能二者至少选择其一。同时进行加密和认证时, 先加密, 后认证。
以上介绍的AH协议和ESP协议都可以使用在传输模式下或者隧道模式下, 两种模式下的工作方法略有不同。
5 IKE
IKE为端点间的认证提供方法, 负责建立一个新的IPsec连接, 并且负责管理已建立的连接。IKE属于应用层协议, 使用UDP端口500;而AH和ESP属于网络层协议。一般提到IPsec的时候, 只是指AH协议和ESP协议。
摘要:网络安全问题一直备受关注, IPsec是基于网络层的安全机制, 但是在IPv4中并没有得到很好的应用。IPv6把IPsec中的两种安全协议以扩展报头的形式引入数据分组中, 解决了IPv4中网络层的安全性问题。本文介绍了IPv6中IPsec的两种安全协议AH和ESP, 分析了两种安全协议的作用与实现机制。
关键词:IPv6,IPsec,AH,ESP
参考文献
[1]谢希仁.计算机网络[M].电子工业出版社, 2008.
[2]李向丽.高级计算机网络[M].清华大学出版社, 2010.
[3]S.Kent, K.Seo.Security Architecture for the Internet Protocol[S].RFC 4301, IETF 2005.
[4]S.Kent.IP Authentication Header[S].RFC 4302, IETF 2005.
[5]S.Kent.IP Encapsulating Security Payload[S].RFC 4303, IETF2005.
IPSec安全 第7篇
网际密钥交换协议(Internet Key Exchange,IKE)是一种密钥交换、管理协议,用于为互联网协议安全(Internet Protocol Security,IPSec)提供密钥服务,即交换和管理在虚拟专用网(Virtual Private Network,VPN)中使用的加密密钥。IKE活动在用户数据报协议(User Datagram Protocol,UDP)层上,提供安全的密钥交换和管理机制。虽然IPSec可以单独使用,但IKE能使IPSec更灵活、易于配置,且有更高的安全性。IPSec中的安全协议在处理数据前必须先要和通信对方建立安全联盟(Security Association,SA)。SA是两个通信实体经协商建立起来的一种协定,它决定了用来保护数据包安全的IPSec协议、密钥以及密钥的有效存在时间等。
1 IPSec工作过程
IPSec为两个IPSec同位体(例如两台路由器)提供安全通道。用户定义哪些是需要保护的敏感数据流,并将由安全通道进行传送,并且通过指定这些通道的参数来定义用于保护这些敏感包的参数,当IPSec看到这样的一个敏感包时,它将建立起相应的安全通道,通过这条安全通道将这份数据报传送到远端同位体。定义敏感数据流的工作可以由配置访问列表的方式来实现,基于访问列表中的源目的地址和协议以及端口来描述要保护的敏感数据流。配置好访问列表,使用加密映射集将这些访问列表应用到接口上,可以使接口对进出的特定数据流进行保护。
一个加密映射集合可以有多个条目,每一个对应一个不同的访问列表,路由器按顺序查找与当前通讯流匹配的条目。当某个包匹配特定访问列表中的一个permit项时,如果加密映射条目被标记为ipsec-manual,则IPSec直接被触发,对数据流进行安全处理;如果加密映射条目标记为ipsecisakmp,如IPSec安全联盟已经建立,则直接对数据进行IPSec保护,否则会自动触发IKE协商产生IPSec的安全联盟。如果用户没有正确配置IPSec或IKE参数,导致安全联盟无法建立,数据包将丢失。
安全联盟一旦建立,外出数据包被IPSec加密或填写验证信息后送出,被传递到同位体;对于同位体该数据包为进入包,查找对应的安全联盟,并对此包实施相应解密、验证后还原。加密映射条目还指定了变换集,变换集中定义了IPSec采用的算法、协议模式等的组合。两个IPSec同位体必须最终采用一致的转换集,才能进行有效的通讯。
2 IKE配置应用
IPSec配置任务的最终目的是为了建立IPSec安全联盟,IPSec支持两种方式的SA建立和密钥管理。一种是手工方式:所有的信息需要手工配置,参数的拟定均是人工进行的,这样做既容易出错,又很不安全,而且手工建立的SA使用时间较长,不方便更新,增加了不安全因素,适用于结构简单的网络。另一种是自动方式(IKE协商):SA可以通过协商方式产生,SA过期以后自动重新协商,提高了安全性,适用于较复杂拓扑和较高安性的网络。
位于广东省的某高校校园网由两个校区构成,在主校区采用了Cisco路由器作为网关,在分校区采用锐捷路由器作为网关,为了保护两个校区子网之间的IP数据通信安全,在IPSec中采用IKE方式进行SA建立和密钥管理配置,两个校区的拓扑图如图1所示。
为了实现IPSec的在校园网中的安全服务,采用IKE方式的配置如下。
2.1 使用IKE建立安全联盟的配置
2.1.1 分校区路由器的配置
进入分校区的路由器管理界面,进行如下配置:
ra(config)#crypto isakmp enable//打开IKE功能
ra(config)#crypto isakmp key 0 perword address 10.1.1.1//指定与特定远程IKE同位体一起使用的共享密钥。
ra(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac//定义变换集合。transform参数是系统所支持的算法,算法可以进行一定规则的组合。
ra(cfg-crypto-trans)#exit//退回到全局配置模式继续配置。
ra(config)#crypto map mymap 5 ipsec-isakmp//指定要创建或修改的加密映射条目,执行此命令将进入加密映射配置模式。
ra(config-crypto-map)#match address 101//为加密映射列表指定一个访问列表。这个访问列表决定了哪些通信应该受到IPSec的保护,哪些通信不应该受到此加密映射条目中定义的IPSec安全性的保护。
ra(config-crypto-map)#set peer 10.1.1.1//指定远端IPSec同位体。受到IPSec保护的通信将被发往这个同位体。
ra(config-crypto-map)#set transform-set myset//指定使用哪个变换集合,这个变换集合必须和远端同位体相应加密映射条目中所指定的一样。
ra(config-crypto-map)#exit//退回到全局配置模式
ra(config)#interface fa 1/0//指定路由器内网连接口Ip地址及子网掩码
ra(config-if)#ip address 192.168.10.1 255.255.255.0
ra(config)#interface serial 1/2//指定路由器外网连接口IP地址及子网掩码
ra(config-if)#ip address 10.1.1.2 255.255.255.0
ra(config-if)#encapsulation ppp//设置接口的链路层协议封装为ppp
ra(config-if)#crypto map mymap//将加密映射集合应用于接口。一个接口只能同时应用一个加密映射集合,加密映射集合不能同时应用到多个接口上。
ra(config-if)#exit//退回到全局配置模式
ra(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2//添加路由信息
ra(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255192.168.11.0 0.0.255//定义加密访问列表,对192.168.10.0/24和192.168.11.0/24子网之间的IP通信进行保护
ra(config)#end//结束配置
2.1.2 主校区路由器的配置
IKE协商开始时,IKE试图去寻找在两个同位体上一致的策略。发起协商的一方将策略全部发送给远程响应方,响应方在接收到的另一端同位体的策略中按优先顺序寻找与本地匹配的策略。进入主校区的路由器管理界面,配置如下:
Ca(config)#crypto isakmp policy 1//标识要创建的策略,每条策略由优先级惟一标识,范围是从1到10000,1为最高优先级。
Ca(isakmp-policy)#authentication pre-share//指定验证方法Ca(isakmp-policy)#exit//退回到全局配置模式
Ca(config)#crypto isakmp key 0 preword address 10.1.1.2//配置预共享密钥
Ca(config)#crypto ipsec transform-set myset esp-des esp-md5-hmac//定义变换集合
Ca(cfg-crypto-trans)#exit//退回到全局配置模式
Ca(config)#crypto map mymap 5 ipsec-isakmp//定义加密映射
Ca(config-crypto-map)#set peer 10.1.1.2//指定远端IPSec同位体。受到IPSec保护的通信将被发往这个同位体。
Ca(config-crypto-map)#set transform-set myset//指定使用哪个变换集合,这个变换集合必须和远端同位体相应加密映射条目中所指定的一样。
Ca(config-crypto-map)#match address 101//为加密映射列表指定一个访问列表。Ca(config-crypto-map)#exit//退回到全局配置模式
Ca(config)#interface fa 0/0//指定路由器内网连接口IP地址及子网掩码
Ca(config-if)#ip address 192.168.11.1 255.255.255.0Ca(config-if)#exit//退回到全局配置模式
Ca(config)#interface Serial0//指定路由器外网连接口IP地址
Ca(config-if)#ip address 10.1.1.1 255.255.255.0
Ca(config-if)#encapsulation ppp//设置接口的链路层协议封装为ppp
Ca(config-if)#crypto map mymap//将加密映射应用到接口上
Ca(config-if)#exit//退回到全局配置模式
Ca(config)#ip route 192.168.10.0 255.255.255.0 Serial0//添加路由信息
Ca(config)#access-list 101 permit ip 192.168.11.00.0.0.255 192.168.10.0 0.0.0.255//定义加密访问列表,对192.168.11.0/24和192.168.10.0/24子网之间的IP通信进行保护
Ca(config)#end//结束配置
2.2 监控和调试
在分校区的任一台主机上,发一个数据报文到主校区主机中,IKE协商被触发,最后,成功建立IPSEC安全联盟。打开IKE和IPSEC的调试开关命令如下:
RouterA#debug crypto ipsec
RouterA#debug crypto isakmp//显示关于IKE事件的debug消息
为了查看并确认IKE和IPSEC的安全联盟是否已经建立,通过以下命令查看相关信息:
Router A#show crypto isakmp sa//浏览所有当前IKE安全联盟
RouterA#show crypto ipsec sa//查看SA信息
3 总结
IKE是一种密钥管理协议标准,与IPSec标准一起使用。IPSec是提供稳健认证及IP包加密的一种IP安全功能。IPSec虽然可以不用IKE进行配置,但是通过IKE提供额外功能及灵活性使得IPSec标准更易于配置,从而增强了IPSec的功能。
IKE协议是一个经过精心设计的协议,借鉴了许多其它协议的经验和优点,充分考虑到了协议的安全性和灵活性,对通信给予了很高的安全保障;但由于要依赖其它方面的使用,如证书发布机制,所以实用性方面有一定缺憾,普遍使用的时机还尚未成熟,相信最终IPSec将成为安全的首选解决方案。
参考文献
[1]郭成芳.Internet密钥交换协议(IKE)的安全性研究[J].电脑与电信.2008.
[2]冀强.IPSec VPN技术研究及应用[D].北京邮电大学.2009.
[3]贺建伟.因特网密钥交换协议的应用研究[J].电脑编程技巧与维护.
[4]杨明.基于IPSec体系结构的VPN网络系统的研究与实现[D].吉林大学.2010.
[5]蒋家棠.应用IPSec的软交换网络安全性研究[D].中国优秀硕士学位论文全文数据库.2010.
IPSec安全 第8篇
1 运用IPSec技术构建MPLS VPN安全保障体系
1.1 转发层面设计
图1为基于IPSec技术MPLS VPN安全保障体系的通信模型, 在处理PE处数据资源的过程中, 要从入口PE与出口PE两方面入手, 在实际通信中, 其系统通信属性具有双向性, 同一个PE带有入口与出口两种属性。对于入口PE而言, 入口PE会从紧邻的CE上进行IP报文接收, 接收报文后会经由查询VRF、封装VPN标签、查询IPSec安全连接数据库、ESP封装、取出骨干网标签、封装骨干网标签, 最后进行MPLS分组, 进而进入骨干网下一环节操作。在IP报文处于PEI时, PEI要按照IP报文AC明确VPN地址。在出口PE中, 分组到达骨干网进行数据传输的过程中, PE2接收到IP报文是已经封装后的, IPSse要对IP报文进行解封装处理, 针对移动用户VPN标签的验证结果进行数据处理, 同时根据VPN进行VRF查询, 再次明确报文归属地attachment circuit, 进而为MPLS VPN系统运行提供重要的安全保障。
1.2 控制层面
为了实现控制层面的功能, 首先要构建核心路由表, 其工作流程为PE-P-PE, 针对系统骨干网运行的核心路由器, 要遵循传统路由形式, 利用IGP协议进行路由通告, 进而实现核心路由表的构建, 其结构形式如图2所示。在执行LDP的过程中, 要对现有的各个转发等价类进行标签分配, 将其储存在标签信息库中。标签信息库中的所有标签都要利用LDP会话进行数据传输, 以达到通告所有路由器的目的。设计人员可以借助LDP/CD-LDP的形式, 采用下游自主的手法分发标签, 利用这样的方式不仅可以使得路由器报文成功通过标签交换, 进入到下一跳, 同时无需进行IP层信息检索, 进而达到路由查询的目的。其次, 决定VRF转发。在VRF转发过程也是系统完成路由学习的过程, 为了确定VPN路由属性与资源量, 要先从路由目标RT方面着手, 一般情况下, 一个PE路由器只能安装一条VPN路由, 其中包含多个VRF, VRF和VPN路由的路由目标属性、输入目标等方面大致相同。对此, 在实际模型构建的过程中, 要在PE入口处将不满足条件的路由进行过滤。
1.3 VRF系统构建
VRF即为虚拟路由器转发实例, 在实际应用的过程中, VRF是site在PE上的主要代表, 同时作为系统运行实体, 在接口管理与用户命令中进行事件接收。在VRF系统设计中, 创建VRF的同时要为其拟定名字, 配置RD、import Targets等基本设置功能, 将这些系统程序纳入到VRF链表中, 并根据对拟定的题目进行系统排序, 以便于对其应用程序的查询, 防止出现由于名字重复而出现查询失败的情况。同时, 在实际设计的过程中, VRF要和RD始终保持一一对应的状态, 其中RD可以接受两种传输格式, 分别是形为AA:NNNN的自治系统+4字节编号、形为A.B.C.D:NN的IP地址+2字节编号。
2 IPSce加密系统在MPLS VPN安全保障中的应用
2.1 加密算法
在MPLS VPN运行中, IP本身没有任何的安全保护, 网络入侵者会利用数据包嗅探、会话截获以及IP电子欺骗的方式对系统进行攻击, 使得数据包在实际传输的过程中被篡改或者是被偷窥, 进而引发数据传输安全问题。对此, IPSec协议很好地解决这一问题, 内设三层加密结构可以有效保证数据包传输过程中的安全性。对于加密算法而言, 主要包括对称型加密、不对称型加密以及单向散列算法。对称型加密主要通过单个密钥进行传输数据的加密工作与解密工作, 由于计算量相对较小, 在实际应用中具有极高的效率性。但要求数据传输双方要同时使用统一的密钥, 这就弱化密钥传播与分发中安全程度。不对称型加密包括公用密钥与私有密钥两种, 在实际使用的过程中, 只有二者相互搭配进而实现加密、解密功能。公开密钥可以进行公开发布, 只有私有密钥可以对公开密钥中的数据进行解密、加密处理, 除此之外别无他法, 进而具有极高的安全性。单向散列算法建立在单向函数的基础上, 在实际使用的过程中单向散列算法具有单向函数的特性, 只能针对一个方向进行加密计算, 从变性长度输入发展为固定长度输出。也正是这一特性, 若只运用单向散列算法会导致系统运行出现安全问题。对此, 可以加入其他加密算法进行公共运行, 对散列值加密处理, 进而保证数据包传输中的高效加密。
2.2 密钥交换技术
在加密系统运行的过程中, 对称算法与对称MAC要有统一的共享密钥, 除了实验阶段与系统调试阶段之外, 设计人员不能手工进行网络隧道密钥配置, 这样很容易会形成加密安全漏洞。对此, 设计人员可以利用Diffie-Helllman密钥交换技术, 以离散对数问题为基础, 构建公共密钥加密系统。这种方式可以在极不安全的环境下, 为数据交换双方拓展一条安全的传输共享通道, 防止交换信息被第三方盗取, 提高密钥管理的自动化水平, 进而保证IPSce加密系统运行质量。
3 结语
本文通过对IPSec技术运用在MPLS VPN安全保障中的研究, 让我们知道了IPSec具有极高的隧道加密功能, 为网络数据传输提供了高质量、客户操作、基于密码学的安全保证, 有效提高数据资源传输的效率和质量。本文在分析运用IPSec技术构建MPLS VPN安全保障体系的基础上, 从IPSce加密系统中的加密算法、密钥交换技术等方面入手, 不断优化和完善IPSec技术, 进而为MPLS VPN系统运行提供重要的安全保障。
摘要:IPSec技术对MPLS VPN系统运行具有非常重要的意义和作用, 能够高MPLS VPN的运行安全性。基于此, 主要以IPSec技术为核心, 探究IPSec技术在MPLS VPN安全保障中的运用, 为相关研究人员提供一定的实践依据。
关键词:IPSec技术,MPLS VPN,安全保障
参考文献
[1]范亚芹, 张丽翠, 马强.IPSec技术在MPLS VPN安全保障中的应用[J].吉林大学学报:信息科学版, 2012 (1) :6-9.
[2]罗刚.MPLS VPN安全性及其在贵州电力调度数据网中的应用研究[D].贵阳:贵州大学, 2014.
[3]王向明.IPSec接入路由型MPLS VPN业务开放技术方案及建议[D].北京:北京邮电大学, 2015.
[4]刘婷.MPLS VPN在IP承载网中的应用及安全策略研究[D].杭州:杭州电子科技大学, 2016.
