寬帶上網(wǎng)應(yīng)用之IPsec專用網(wǎng)絡(luò)

2019-11-03 09:00:19

字體：大中小

供稿：網(wǎng)友

廣州電信數(shù)據(jù)分局黃崢嶸

　　隨著許多企業(yè)業(yè)務(wù)的擴(kuò)展，企業(yè)分支也在不斷擴(kuò)展，從同一個(gè)城市到遍布全國(guó)各地，甚至向全球發(fā)展。廣泛的分支，也為企業(yè)的部門領(lǐng)導(dǎo)帶來了新問題，如何將各分支與中心實(shí)現(xiàn)數(shù)據(jù)、話音、視頻業(yè)務(wù)互通呢？一種方便、經(jīng)濟(jì)、靈活、安全的方式隨著Ｉｎｔｅｒｎｅｔ的發(fā)展應(yīng)運(yùn)而生，這就是企業(yè)的ＩＰＳｅｃＶＰＮ。

　?。桑校樱澹悖郑校尉褪窃冢桑袀鬏斏贤ㄟ^加密隧道的方式，用公網(wǎng)傳送內(nèi)部專網(wǎng)的內(nèi)容，傳輸時(shí)保證內(nèi)部數(shù)據(jù)的安全性。

　?。桑校樱澹?是ＩＥＴＦ（因特網(wǎng)工程任務(wù)組）于１９９８年１１月公布的ＩＰ安全標(biāo)準(zhǔn)，目標(biāo)是為ＩＰｖ４和ＩＰｖ６提供具有較強(qiáng)的互操作能力、高質(zhì)量和基于密碼的安全。ＩＰＳｅｃ對(duì)于ＩＰｖ４是可選的，對(duì)于ＩＰｖ６是強(qiáng)制性的。

　　ＩＰＳｅｃ在ＩＰ層上對(duì)數(shù)據(jù)包進(jìn)行高強(qiáng)度的安全處理，提供數(shù)據(jù)源地驗(yàn)證、無連接數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、抗重播和有限業(yè)務(wù)流機(jī)密性等安全服務(wù)。各種應(yīng)用程序可以享用ＩＰ層提供的安全服務(wù)和密鑰管理，而不必設(shè)計(jì)和實(shí)現(xiàn)自己的安全機(jī)制，因此減少密鑰協(xié)商的開銷，也降低了產(chǎn)生安全漏洞的可能性。ＩＰＳｅｃ可連續(xù)或遞歸應(yīng)用，在路由器、防火墻、主機(jī)和通信鏈路上配置，實(shí)現(xiàn)端到端安全、虛擬專用網(wǎng)絡(luò)（ＶＰＮ）和安全隧道技術(shù)。

　　當(dāng)ＩＰｓｅｃ用于路由器時(shí)，就可以建立虛擬專用網(wǎng)。在路由器的連內(nèi)部網(wǎng)的一端，如圖所示，是一個(gè)受保護(hù)的網(wǎng)絡(luò)，另一端則是不安全的公共網(wǎng)絡(luò)。兩個(gè)這樣的路由器建立起一個(gè)安全通道，通信就可以通過這個(gè)通道從一個(gè)本地的保護(hù)子網(wǎng)發(fā)送到一個(gè)遠(yuǎn)程的保護(hù)子網(wǎng)，這就形成了一個(gè)ＶＰＮ。

　　在這個(gè)ＶＰＮ中，每一個(gè)具有ＩＰｓｅｃ的路由器都是一個(gè)網(wǎng)絡(luò)聚合點(diǎn)，試圖對(duì)ＶＰＮ進(jìn)行通信分析將會(huì)失敗。目的地是ＶＰＮ的所有通信都經(jīng)過路由器上的ＳＡ來定義加密或認(rèn)證的算法和密鑰等參數(shù)，即從ＶＰＮ的一個(gè)路由器出來的數(shù)據(jù)包只要符合安全策略，就會(huì)用相應(yīng)的ＳＡ來加密或認(rèn)證加上ＡＨ或ＥＳＰ報(bào)頭。整個(gè)安全傳輸過程由ＩＫＥ控制，密鑰自動(dòng)生成，保護(hù)子網(wǎng)內(nèi)的用戶根本不需要考慮安全，所有的加密和解密由兩端的路由器全權(quán)代理。

　　基于ＩＰｓｅｃ的ＶＰＮ實(shí)現(xiàn)有以下優(yōu)點(diǎn)：

　?。保牎⒃冢桑袑釉黾樱粒然颍牛樱蓄^實(shí)現(xiàn)網(wǎng)絡(luò)安全使得通信安全可靠。

　?。玻?、ＩＫＥ協(xié)議可以自動(dòng)產(chǎn)生需要的ＳＡ，并且ＳＡ的生存期非常短，使得破譯更加困難。

　?。常?、定義安全策略方便靈活，只需要在配置文件里進(jìn)行編輯，就可以實(shí)現(xiàn)安全策略。例如如果一種算法被破解，立刻換另一種算法。目前ＡＨ支持ＨＡＭＣ－ＭＤ５、ＨＡＭＣ－ＳＨＡ１，ＥＳＰ支持ＤＥＳ－ＣＢＣ、ＴＲＩ－ＤＥＳ－ＣＢＣ、ＢＬＯＷＦＩＳＨ－ＣＢＣ、ＣＡＳＴ１２８－ＣＢＣ。

　　ＩＰｓｅｃ的提出使得ＶＰＮ有了更好的解決方案，這是因?yàn)樵诰W(wǎng)絡(luò)層就進(jìn)行安全服務(wù)，使得密鑰協(xié)商的開銷被大大削減了，這是由于多種傳送協(xié)議和應(yīng)用程序可共享由網(wǎng)絡(luò)層提供的密鑰管理結(jié)構(gòu)ＩＫＥ。其次，假如網(wǎng)絡(luò)安全服務(wù)在較低層實(shí)現(xiàn)，那么需要改動(dòng)的應(yīng)用程序就要少得多。ＩＰｓｅｃ是目前惟一一種能為任何形式的Ｉｎｔｅｒｎｅｔ通信提供安全保護(hù)的協(xié)議，因此，可以預(yù)見，未來的ＶＰＮ實(shí)現(xiàn)方案將會(huì)更多地利用ＩＰｓｅｃ。

----《通信信息報(bào)》