基于IPSec的网络安全系统设计与VPN构建实现

朱海水 永城职业学院

基于IPSec的网络安全系统设计与VPN构建实现

朱海水 永城职业学院

IPSec在IP层提供安全服务，使得一个系统可以选择需要的协议，决定为这些服务而使用的算法，选择提供要求的服务所需要的任何密钥。IPSec可保障主机之间、网络安全网关（如路由器或防火墙）之间或主机与安全网关之间的数据包的安全。因此，采用基于IPSec的网络安全设备可为重要数据安全传输提供保障。

IPSec ESP VPN 网络安全设备

在设计网络安全设备时采用IPSec协议，使用ESP对传输的数据进行严格的保护，可大大增强IP站点间安全性。在传输重要数据的通信IP网中使用本文设计的基于IPSec的网络安全设备构建VPN能很好地防止数据被更改或窃取，确保数据传输的安全性。

1 IPSec概述

IPSec协议是IETF提供的在Internet上进行安全通信的一系列规范，提供了在局域网、专用和公用的广域网和Internet上的安全通信的能力，保证了IP数据报的高质量性、保密性和可操作性，它为私有信息通过公用网提供了安全保障。通过IKE将IPSec协议简化使用和管理，使IPSec协议自动协商交换密钥、建立和维护安全联盟服务。使用IPSec协议来设计实现的VPN网关具有数据安全性、完整性、成本低等几方面的优势。

2 网络安全设备设计

2.1 设备加解密原理

为确保重要数据传输安全可靠，需在通信IP网中增加保密措施，因此本文设计了基于IPSec的网络安全设备。设备采用软件和硬件相结合的方式实现IPSec协议体系。软件模块主要完成控制层面的功能，包括网络管理、密钥管理、策略管理、配置管理、设备管理、信道协商等功能；硬件模块主要完成数据处理层面的功能，包括数据包的协议分析、保密策略和加解密密钥的搜索、加解密处理、IPSec隧道头的封装和拆封装等功能。

当设备收到用户IP包时，先判断其是否为保密数据，如果是，则在该IP数据前加入一个ESP头，然后发送到公网。ESP头紧跟在IP头后面，ESP占用IP协议标识值为50。对IP包的处理遵守以下规则：对于要发送到公网的IP包，先加密，后验证；对于从公网上收到的IP包，先验证，后解密。

当设备要发送一个IP包时，它在原IP头前面插入一个ESP头，并将ESP头中的下一个头字段改为4，根据密钥管理协议协商得到的SPI值填入到ESP头中，并分配一个序列号，同时根据算法要求插入填充字段，并计算填充长度。在ESP头的前面插入一个新的IP头，源地址为设备的IP地址，目的地址为对端设备的IP地址，并对相应的字段赋值，在做完以上处理后，对IP包加密，并进行验证，将验证数据插入ESP尾部。最后计算最前面的IP头的校验和。

2.2 硬件结构设计

网络安全设备采用模块化的设计思路，各硬件功能模块之间采用接插件方式连接，设备主板是数据处理核心模块，其他各模块通过接插件与其连接。承载了业务安全处理、加解密等设备的核心功能。其上的主控模块运行Vxworks操作系统，承载设备嵌入式软件，全面管理设备软硬件运行状态。板载密码模块完成业务数据的高速加解密处理。

接口板包括用户口和网络口两块接口板，通过高速接插件插在设备主板上。接口板上的千兆MAC芯片通过业务和控制线缆连接到后接线板。

IC卡读卡器通过RS232接口线缆与设备主板上的主控模块相连。电源模块使用电源接插件为各功能模块提供相应的直流电源。后接线板提供千兆口、100/1000自适应电口的用户业务接入，本地控制接入。

3 VPN构建

网络安全设备专门用于在TCP/IP体系的网络层提供鉴别、隧道传输和加解密功能。通过对IP层加解密，可以支持大多数用户业务，对局域网重要数据进行加密保护，通过公共通信网络构建自主安全可控的内部VPN，集成一定的包过滤功能，使各种重要数据安全、透明地通过公共通信环境，是信息系统安全保障体系的基础平台和重要组成部分。设备部署在局域网出口处，通过对IP数据的加解密，可以保证局域网数据在公共信道上传输的安全性。

与设备相连的内部网受到IPSec保护，这个内部网可连入不安全的公用或专用网络，如卫星通信、海事和专用光纤等。在一个具体的通信中，两个设备建立起一个安全通道，通信就可通过这个通道从一个本地受保护内部网发送到另一个远程保护内部网，就形成了一个安全虚拟网。当位于某个安全内部网的主机要向另一个位于安全内部网的主机发送数据包时，源端网络安全设备通过IPSec对数据包进行封装，封装后的数据包通过隧道穿越公用网络后到达对端网络安全设备。由于事先已经经过协商，收端网络安全设备知道发端所使用的加密算法及解密密钥，因此可以对接收数据包进行封装。解封装后的数据包则转发给真正的信宿主机，反之亦然。

TCP/IP协议的开放性、灵活性使得基于IP技术的通信系统成为各类通信网络的主要构成部分，但网络上的IP数据包几乎都是用明文传输的，非常容易遭到窃听、篡改等攻击。特别是传输重要数据的通信IP网，网络的安全性尤其重要。

[1]刘春艳.基于IPSec的VPN网关设计与实现[J].网络安全技术与应用，2013，11

[2]王妍.基于IPSec的VPN系统设计与实现[D].电子科技大学，2013