(呼伦贝尔学院 信息科学学院，内蒙古 呼伦贝尔 021008)
摘 要：文章通过对ip安全体系结构(ipsec)的关键技术 进行研究，提出了建立基于ipsec的虚拟专用网的设计原则，并在此基础上给出了一个用于 连接企业分支机构的虚拟专用网的设计实例与工作流程分析，指出利用ipsec实现虚拟专用 网具有灵活、有效和易于实现的优点。
关键词：ipsec；vpn；网络安全；防火墙
中图分类号：tp89308  文献标识码：a  文章编号 ：1007—6921(2009)03—0316—02

随着internet技术的迅猛发展，开放的互联网络已经成为社会生活中不可或缺的一部分。因 而，如何保证网络中传输的敏感信息的安全成了迫在眉睫的问题。 许多大公司和政府机构 出于安全考虑不得不用物理的办法将专用网络和internet隔离，这种分割阻碍了internet全 球化的实现。为此 ietf(internet engineering task force)定义了ipsec协议簇，为ip协 议引入了安全特性， 同时也是目前适用于所有internet通信的惟一一种安全技术。

目前，组建大型信息网络的关键技术是tcp/ip网络互联和路由技术，特别在internet中 ，路由器起着重要的作用。这里所指的安全路由器是在完成普通路由器功能的基础上实现了 ipsec协议簇的路由设备，是保证互联网(同时也包括intranet和extranet)信息安全的关键 设备之一，它可以防止虚假路由信息的接收；防止路由器的非法接入；对路由信息和ip数据 包进行加密保护；对复杂网络加密的正确性和系统的可用性进行检查。
1 ip安全体系结构的研究

ip安全体系结构由ietf的ipsec工作组制订，是一个开放性的标准框架。它不仅可以使用现 今的密码学算法，而且将来出现更新更强大的密码算法，同样也可以用于该体系结构。ipse c不仅为因特网提供了基本的安全功能，而且为创建健壮安全的虚拟专用网络也提供了灵活 的手段。
1.1 安全服务和安全协议

ipsec工作组制订的协议主要是为了解决以下几个领域的问题：①数据源身份认证证实数据 报文是所声称的发送者发出的。②数据完整性证实数据报文的内容在传输过程中没有被修改 过，无论是被故意改动或是由于发生了随机的传输错误。③数据保密隐藏明文的消息，通常 靠加密来实现。④重放攻击保护攻击者不能截获数据报文，且稍后某个时间再发放数据报文 ，而不会被检测到。⑤自动密钥管理和安全关联管理保证只需少量或根本不需要手工配置 就可以在扩展的网络上方便并精确地实现公司的虚拟专用网络。这样，虚拟专用网的规模就 可以根据业务的需要任意调整。

ipsec定义了两种类型的安全协议：ip认证报头(ah)和ip负载安全封装(esp)。其中ah采用md 5(message digest 5)和sha1(secure hash algorithm)算法，ah为ip数据报文提供无连接的 数据完整性校验和数据源身份认证，同时可以防止重放攻击。数据完整性校验通过有消息认 证代码(如md5)产生的校验来保证；数据源身份认证通过在待认证数据中加入一个共享密钥 来实现；而ah报头中的序列号则是为了防止重放攻击而加入的。

esp采用des (data encryption standard) 和3des等算法，esp提供的功能包括数据加 密、无连接的数据完整性、数据源身份认证和重放攻击保护。其中数据加密是esp的基本功 能，而数据源身份认证、数据完整性校验和重放攻击保护则是可供选择的。虽然加密可以独 立于其他服务单独选择，但强烈推荐在使用加密的同时使用完整性校验和身份认证。如果只 选了加密服务，攻击者就可以通过伪数据报文来实施密码分析攻击。而当选择了完整性校验 和身份认证服务时,上述攻击方法就是无效的，此外，如果采用了非对称的加密算法，还能 提供数字签名服务。

ah和esp协议都具有两种使用模式：传输模式和通道模式(或叫隧道模式).传输模式仅适用于 主机之间的通信，该模式中，ah或esp报头被插入到ip分组的ip报头之后、上层协议或其他i psec报头之前。通道模式可用于主机或安全网关之间的通信，在该模式下，源ip分组作为被 鉴别或加密的数据，在ah或esp报头之前再增加一新的ip报头。
1.2 安全关联

ike(internet key exchange，因特网密钥交换协议)为ipsec提供了自动协商交换密钥、建 立安全联盟的服务。

安全关联(sa)是实现安全服务的基础。一个sa就是两个ipsec系统之间的一个单向逻辑连接 ，它详细定义了用于保密通信的一组安全参数，包括加密p鉴别算法、加密密钥、协议模式 、sa的生存期等，通常用一个三元组惟一地表示，即：<安全参数索引spi,目的ip地址,安全 协议>。

对应于ah和esp的模式，sa也可分为两种类型：传输模式和通道模式。因为sa是单工的，所 以两个ipsec系统之间的双向通信需要两个sa。一个sa不能同时使用ah和esp保护，如果希望 一个连接上的数据通信同时使用ah和esp保护，就需在每个方向上分别定义两个sa。这时， 一个连接上的所有sa被叫做一个sa束。属于同一个束的不同sa可能有不同的端点。在本文的 实例中，就是同时使用ah和esp保护的情况，工作过程如图1所示。

740)this.width=740" border=undefined> 
2 vpn的应用

最适合使用vpn应用场合的有：连