IPSec协议

IPSec协议（精选7篇）

IPSec协议 第1篇

众所周知, IP或TCP/IP协议是互联网Internet发展的基础。IP协议最可取的内涵与作用在于其充分的开放透明性与灵活有效的多业务增值能力。然而, 在开放透明的同时, 也往往更容易“充分暴露”, 自然也容易受到攻击。目前, 黑客、病毒似乎愈杀愈烈, 泛滥成灾, 已成为安全计算及IP网络安全运作的头等隐患。调查结果显示:2010年, 72.16%的被调查单位发生过信息网络安全事件, 与2009年相比有大幅上升, 计算机感染病毒的比例为60%[1]。虽然中国广大联网单位和计算机用户的网络安全防范意识明显增强, 联网单位网络安全管理水平也有所提高, 但由于新病毒层出不穷也令用户防不胜防。

2. IP协议的不安全性

当前的互联网是基于IP协议的网络, IP协议采用一种简单的定址方案, 并提供了“无连接”服务。但是由于IP协议在设计之初只注意了它的开放性而没有考虑安全方面的因素, 天生就不安全。目前在Internet上运行的IP均未对安全选项进行处理, 黑客可以通过信息包探测、IP电子欺骗、连接截获、rePlay攻击 (是一种不断发相同序列号的包, 使系统崩溃的攻击方法) 等方法来进行攻击, 这意味着黑客很容易便可伪造出IP包的地址修改其内容, 重播以前的包以及在传输途中拦截并查看包的内容。因此, 我们很难确信收到的IP数据报到底是不是真的来之于我们预期的发送方, 也很难确定到底有否被他人查看过或修改过[2]。为了构建安全的IP网络, 1995年8月Internet工程任务组IETF公布了一系列关于IPSec的建议标准, 其目标就是把安全集成到IP层, 以便对Internet的安全业务提供底层的支持。如今IPSec协议己成为新一代Internet的安全标准, 它可以“无缝”地为IP引入安全特性, 并对数据源提供身份验证、数据安全完整性检查以及机密性保证机制, 可以防范数据受到来路不明的攻击。由于是处于网络层的安全协议, IPSec协议可被上层的任何协议所使用, 如TCP、UDP、ICMP、BGP等等。IPSec的设计既适用于IPv4又适用于IPv6, 它在IPv4中作为一个建议的可选服务, 对于IPv6是一项必需支持的功能。

3. IPSec协议的安全性

IPSec协议可以说是IP协议的完美的安全补丁, IPSec协议所提供的安全扩展很好的修正了IP协议的安全缺陷。IPSec协议主要为IP网络提供了如下四方面的安全性:

1) 身份验证:即确保IP报文来源于合法的、安全的数据发送者, 以防止不合法身份的使用者通过伪造身份进入并劫持网络。

2) 保护数据的完整性:IPSec协议可以保证网络中的数据接受者收到的IP报文是未被截断或修改的。如若IP报文在数据的发送、传输过程中被篡改了, 则IPSec协议可以通过特定的完整性算法检测出来, 从而可以告知数据的接受者丢弃该不安全的IP报文。

3) 保证数据的保密性:保密性可确保只有预期的接收方才能读出数据。该特性是通过在传输前将数据加密实现的, 这样可确保即使数据报被监视或破解, 也无法在传输过程中读取数据, 只有具有预期的通讯计算机才能在解密后读取该数据。

4) 防止重放攻击:确保每个IP数据报的唯一性。反重播也称为防止重播。防重播可确保攻击者截获的数据无法重新使用或重播, 从而不能非法建立会话或获取信息。该属性可防止截取消息并可能在数月以后使用相同的消息来非法获取对资源的访问权。

4. IPSec协议的体系结构

IPsec是一种协议套件, 由两大部分组成: (1) 建立安全分组流的密钥交换协议; (2) 保护分组流的协议[3]。前者为互联网安全连接和密钥交换 (ISAKMP) 协议。后者包括加密分组流的封装安全载荷协议 (ESP协议) 或认证报头协议 (AH协议) 协议, 用于保证数据的机密性、来源可靠性 (认证) 、无连接的完整性并提供抗重播服务。IPsec的基本结构如下图1:

基于IPsec的IP网络在通信之前, 通信双方 (主机或路由器) 首先要验证对方的身份, 这个过程由ISAKMP协议 (安全连接与密匙管理协议) 来实现。ISAKMP协议首先根据保存在安全策略数据库 (SPD) 中安全策略使用预共享密匙或证书等方式验证对方的身份, 从而确定是否联机进行通信。如若通过身份验证要建立联机通信, 则通信双方进行协商安全通信所需的一些参数, 如认证使用的算法及key值、加密用的算法及key值等。安全协商成功则通信双方之间将建立安全连接 (SA) , 从确保通信双方的通信安全。SA是以SA记录的形式保存在SAD数据库中的, 一条SA记录代表的是一个单一方向通信, 若要进行双向的通信, 则需要建立两个SA。SPD和SAD中的记录是以特定的格式保存的, 并由解释域 (DOI) 负责解释其含义。

IPsec使用验证报头协议 (AH) 可对整个IP数据报 (IP报头与数据报中的数据) 提供身份验证、完整性与抗重播, 但是AH不提供保密性, 即它不对数据进行加密。封装安全有效负载协议 (ESP) 除了具有身份验证、完整性和抗重播功能外还可以为IP数据报中的数据 (不包括IP报头) 提供保密性。ESP可以独立使用, 也可与AH组合使用。

5. IPSec协议的实施

IPSec可在终端主机、网关/路由器或两者中同时进行实施和配置。至于IPSec到底在网络的什么地方配置, 则由用户对安全保密的要求来决定。如图2所示, 在主机实施可以保障端到端的安全性, 也能够实现所有的IPSec安全模式。

注:虚线框表示IPSec提供的安全保护区域

如图3所示, 在路由器中实施, 可在网络的一部分中对传输的数据报进行安全保护, 能对通过公用网络 (比如互联网) 在两个子网之间流动的数据提供安全保护, 能进行身份验证, 并授权用户进入私用网络。

IPSec协议通过为每个数据报添加其自己的安全协议报头, 为每个IP数据报提供数据与标识的保护。IPSec有两种工作模式:隧道模式和传输模式[4]。通常在主机实施IPSec时, IPSec工作在传输模式, 而在网关/路由器实施IPSec时, IPSec工作在隧道模式[5]。

6. 总结

在网络安全的重要性被提到一个新的高度的今天, IPSec安全协议在网络通信中的作用是不言而喻的。IPSec在IPv4中是作为一个建议的可选服务的, 对于工Pv6是一项必需支持的功能。新版IPsec协议在多个方面做了改进, 但IPsec的实施模式却是应用IPsec到实际网络的关键一环, 细分网络安全需求, 量身定制最为合适的IPsec实施模式是非常重要的。当然, 有效保护网络安全与信息安全, 必须依靠其他多种技术的有机配合, 比如认证体系、加密体系、密钥分发体系、可信计算体系等。

参考文献

[1]国家计算机病毒应急处理中心.2010年全国信息网络安全状况与计算机及移动终端病毒疫.http://www.antivirus-china.org.cn/

[2]王欲静.IP安全性与IPSec协议的研究[D].郑州大学, 2002

[3]陈庆章, 赵小敏.TCP/IP网络原理与技术[M].北京:高等教育出版社, 2008

[4]蹇成刚.IP分组网络安全分析及IPSec技术.计算机与网络[J].2010, (17) :42-44

IPSec协议 第2篇

在计算机与通信技术不断发展的今天, 互联网已经成为社会民众日常工作、学习和生活的重要组成部分。随着网络用户对信息服务需求的不断增加, 互联网的移动性和安全性越来越受到移动通信领域研究学者的垂青与关注。但是在移动通信技术不断推陈出新、移动网络接入方式风靡全球的今天, 当前移动IP协议的安全问题正在成为阻碍移动通信技术进一步发展的症结所在。移动IP协议安全隐患一方面是由于无线网络环境的特殊性, 导致普通网络攻击行为能轻易在无线网络中实施;另一方面则是由于协议部分控制信令存在安全漏洞可以直接被网络攻击者利用[1]。

IPSec协议[2]是Internet工程任务组 (IETF) 正式发布的IP安全标准, 其面向IPv4和IPv6提供具有强互操作能力、高质量和基于密码的网络通信安全规范, 实现IP数据源身份验证、数据完整性检查和机密性保证机制。考虑到IPSec协议对上层应用透明, 并且协议灵活开放、易于配置, 研究人员正在向移动IP应用场合引入IPSec安全关联机制, 用于保证移动接入方式的通信安全。鉴于现行IPSec协议存在身份认证、协商机制性能有限, IPSec密钥交换方式无法向频繁变更网络地址的接入点维护预共享密钥等应用薄弱环节, 本文着手改进IPSec默认密钥交换协议IKE, 从而形成IPSec协议安全关联增强方案。基于改进IKE的IPSec协议安全关联增强能够完善移动IP协议在身份认证、密钥维护和信令协商方面的不足, 切实提高无线通信、移动通信的安全性。

1 IPSec安全关联与密钥交换方式

IPSec协议基于安全关联机制开展IP数据源身份认证, 实现通信数据的保密性, 同时确保通信数据的完整性。IPSec协议安全关联协商需要依赖于协议密钥交换与密钥管理, 尽管IPSec定义了多种密钥交换方式, 但Internet密钥交换IKE (Internet Key Exchange) 始终是其默认密钥交换方式。

1.1 IPSec协议安全关联

IPSec协议策略是协议实现的基础, 它是由安全关联SA (Security Association) 、安全策略数据库SPD (Security Policy Database) 以及安全关联数据库SAD (Security Association Database) 三部分组成。安全关联规定策略实施的具体细节, 安全策略数据库决定网络整体安全需求, 安全关联数据库用于向流入/流出数据包维持动态安全关联列表, 三者共同决定各个网络节点间的具体通信方式[3]。

安全关联SA是通信对等双方对关键通信要素的协商结果, 具体包含IPSec协议操作模式、密码算法与密钥生存周期等。在某个具体的安全关联协商完成后, 对等通信实体都在自身安全关联数据库SAD中存储对应安全关联参数。一旦某个数据包头部设定的通信要素与SAD中的安全关联参数记录一致, 通信终端就将接收并处理该数据包。对于不存在安全关联参数与其通信要素相匹配的输入数据包, 通信终端将直接予以丢弃。而对无安全关联参数记录的输出数据包, 通信终端则在其SAD中新增与其对应的SA记录。

与此同时, IPSec协议要求所有通信处理过程都必须查询安全策略数据库SPD, 不论当前通信数据流是输入还是输出。SPD是包含安全策略条目的有序列表, 每个条目都包含一个或多个选择符/标志对, 用于表明与选择符匹配的数据包是否应当进行IPSec协议处理。在需要开展IPSec协议处理时, 该SPD安全策略条目必须包含指向安全关联内容的指针, 详细说明作用于对应数据包的IPSec协议操作模式、密码算法, 以及密钥生存周期。与数据通信流相匹配的首个条目将会直接应用到对应的数据通信过程中, 如果不存在与其相匹配的安全策略条目, 当前的通信数据包将直接被丢弃。

1.2 Internet密钥交换

作为IPSec协议默认密钥交换方式, Internet密钥交换方式融合了ISAKMP、Oakley和SKEME三种密码相关协议[4]。在实际网络应用中, IKE分两个阶段进行Internet安全关联密钥管理, 其中第一阶段建立IKE安全关联, 第二阶段利用已建立的IKE SA为整个IPSec网络协商安全关联。

IKE允许两个通信实体经过系列信令交换, 确立用于安全通信的会话密钥。在安全关联协商方面, IKE定义了主动模式、野蛮模式和快速模式作为三种可能的密钥交换模式。其中主动模式用于协商第一阶段的IKE SA, 它设计成密钥交换信息与身份认证信息分离;在不需要单独保护身份认证信息时, 野蛮模式也能用于协商第一阶段的IKE SA, 野蛮模式允许同时传送与安全关联、身份认证和密钥交换相关的通信数据, 快速模式则是用于第二阶段的安全关联, 具体协商过程受到在第一阶段生成的IKE SA的保护。

2基于IKE在移动网络中建立IPSec安全关联

目前IKE经过两个独立阶段完成全网IPSec安全关联, 在第二阶段IKE只能选择快速模式作为全网安全关联协议操作模式, 同时第二阶段协商过程受到第一阶段生成的IKE SA保护。因此, 只要第一阶段IKE SA协商过程安全性有所保证, 全网IPSec安全关联可靠性就能够得到充分保证。

在IKE SA协商过程中, 可选的协议操作模式包含主动模式和野蛮模式, 可选的身份认证方案包含预共享密钥认证、数字签名认证和公钥加密认证。本文首先探讨在移动IP环境中IKE可以选择的身份认证方案, 进而分析身份认证方案与协议操作模式组合的安全性, 力图从中寻找可行的IKE改进方案, 增强基于IKE建立IPSec安全关联的可靠性。

2.1 IKE SA协商过程身份认证方式选择

在IKE SA协商过程中, 可选的身份认证方案包括预共享密钥认证、数字签名认证和公钥加密认证。其中预共享密钥认证是指通信双方利用非密码学途径创立共享密钥, 并在身份认证时使用该共享密钥;数字签名认证是指通信双方利用自己的私钥加密身份认证信息, 使用对方事先设定的公钥解密, 进而向对方证实自己的身份;公钥加密认证是指通信双方利用对方公钥加密身份认证信息, 同时根据对方响应信息确认对方的身份。

在移动IP应用场合为IKE SA协商过程选择身份认证方案, 首先可以摒弃需要多次加解密运算、计算复杂度偏高的公钥加密认证[5]。相对于公钥加密认证, 数字签名认证的运算量要小得多。但是数字签名认证的实现涉及数字证书, 而基于数字证书的认证需要公钥基础设施 (PKI) 的部署, 或者至少需要一个认证中心CA (Certificate Authority) 来实现对证书的认证。这无疑会带来附加的复杂度与成本开销, 而且通过认证中心建立信任关系, 使得身份认证环节过分依赖于可信第三方。因此当前移动节点身份认证通常使用预共享密钥认证方式, 这是由于预共享密钥认证计算复杂度低, 主密钥SKEYID生成简单。正是由于上述原因, 论文后续将分别进行预共享密钥和主动模式, 以及预共享密钥和野蛮模式两种组合在建立移动网络IKE SA过程中的安全性能分析, 寻找其中可以进行安全增强的协议操作环节。

2.2 预共享密钥和主动模式安全性能分析

采用预共享密钥和主动模式组合建立IKE SA的信令交换过程如图1所示, 图中HDR是数据包头部信息, HDR*表明数据包信息已加密, KEY是加密算法, N是随机数, ID是信息标识, HASH是身份信息散列值。在首次信令交互过程中, 通信双方需要对于IKE SA各项参数进行协商。在第二次信令交互过程中, 通信双方交换随机数N, 并且计算用于加密信息的SKEYID_e, 用于后续通信数据加密。

利用预共享密钥和主动模式组合建立IKE SA, 在通信发起方传送报文IDii前, 通信双方需要首先计算主密钥SKEYID, 并由SKEYID计算得到SKEYID_e用于加密报文IDii。SKEYID计算方法由式 (1) 所示, 计算过程需要使用预共享密钥preshared-key, 这就要求通信双方分别利用对方身份标识信息来查找与其对应的预共享密钥preshared-key。

SKEYID=prf (preshared-key, Ni_b|Nr_b) (1)

可是此时通信双方并未进行身份标识信息交互, 因此通信双方只能以对方先前发送报文中含有的源IP地址作为查找所需预共享密钥的身份标识信息。换言之, 预共享密钥与主动模式组合建立IKE SA, 需要事先维护通信节点IP地址与预共享密钥的一一对应库。但在移动通信中各个节点的转交地址在其微移动后就会发生变更, 仍然使用节点IP地址与其预共享密钥一一对应, 就会对节点所属域核心路由设备 (代理) 的存储空间提出严格要求, 这严重限制了预共享密钥和主动模式组合建立IKE SA方案在移动网络的适用范围。

2.3 预共享密钥的野蛮模式的安全性分析

由于在利用预共享密钥和主动模式组合建立IKE SA过程中, 只能把IP地址作为通信双方身份标识。因此在移动IP应用场合, 通常选择预共享密钥和野蛮模式组合建立IKE SA, 具体信令交换过程如图2所示。相对于预共享密钥和主动模式组合, 预共享密钥和野蛮模式组合计算复杂度更低, 整个IKE SA建立过程只需要三条信令交互。但是该组合并不对通信数据加密, 同时缺乏通信双方身份认证过程, 通信保密性和安全性差。

考虑到预共享密钥和野蛮模式组合并不对通信数据加密, 同时该组合缺乏通信实体身份认证过程。因此本文将变更预共享密钥和主动模式组合中的身份标识信息作为改进IKE方案研究工作的切入点, 从而利用该组合提供的身份认证环节与通信数据加密, 在移动通信网络中实现IPSec安全关联性能增强。

3采用改进IKE方案实现移动网络IPSec安全关联增强

在移动网络试图建立IKE SA的通信发起方与响应方, 分别对应普通移动节点与节点所属域核心路由器 (代理) , 普通节点间通常无需直接建立安全关联。考虑到域核心路由器身份标识信息, 可在移动节点进入该域接收域代理广播后直接得到[6]。改进IKE方案身份标识交互所需解决的重点问题是, 移动节点的身份信息如何及时告知域核心路由器。

3.1 现有IKE方案的改进

改进IKE方案的重点是为预共享密钥和主动模式组合寻找IP地址以外的身份标识信息, 因此采用该组合改进方案建立IKE SA同样需要经过六次信令交换完成IKE SA的建立, 具体信令交换过程如图3所示。

在改进IKE方案中, 第一、二条信令仍然用于协商SA的特征。信令以明文传输, 此时通信双方尚未实现身份认证, 经协商确立的IKE SA使用< Ck-I, Ck-R>参数对予以标识。

原IKE方案的第三、四条信令主要用于交换随机数和加密算法, 并由通信双方分别利用对方IP地址查找对应预共享密钥, 通过式 (1) 进行主密钥SKEYID运算。由于移动网络中各个节点转发地址容易发生变化, 不适于标识节点身份。因此在改进方案的第三条信令中, 移动节点以IDii (D_KEY_ID) 方式将其节点名信息向所属域核心路由器传递。考虑到节点可以通过域代理广播直接获得域核心路由器 (不会频繁变更) 身份标识信息, 此时通信双方可以分别使用对方身份标识信息查找对应预共享密钥preshared-key, 进行主密钥SKEYID的运算。

在完成主密钥SKEID的运算后, 通信双方继续生成如下三项密钥。

SKEYID_d=prf (SKEYID, Ck-I|Ck-R|0) (2)

SKEYID_a=prf (SKEYID, SKEYID_d|Ck-I|Ck-R|1) (3)

SKEYID_e=prf (SKEYID, SKEYID_a|Ck-I|Ck-R|2) (4)

其中, SKEYID_e和SKEYID_a分别用于加/解密IKE SA协商阶段传送的数据。SKEYID_d则是用于第二阶段IPSec SA协商过程中的数据加密。此时通信双方已为建立全网IPSec SA的两个节点都生成了数据密钥, 但是双方身份标识信息仍未得到认证。

改进方案第五、六条信令主要用于通信双方身份标识信息认证, 两条信令均使用已经生成的SKEYID_e进行数据加密。在信令五中, 移动节点通过ID_USER_FQDN将完整节点信息 (含节点名信息) 向域核心路由器传送, 域核心路由器则将解密后数据与先前获得的节点名信息进行比对, 完成对于移动节点身份认证的具体操作过程。

至此, 在移动网络建立全网IPSec安全关联第一阶段操作IKE SA加密协商过程结束, 通信双方已经实现身份认证, 并且生成了用于第二阶段全网IPSec安全关联协商所需的密钥素材。

3.2 IPSec协议安全关联增强性能分析

IPSec协议安全关联性能增强主要体现于对现有IKE方案的改进, 即在移动节点主动传递身份信息的基础上, 向原有IKE方案增加节点身份加密验证环节, 进而满足移动通信对于通信实体身份认证、通信数据加密保护的实际需求。

IPSec协议安全关联增强方案不再用通信节点IP地址表征节点身份信息, 与预共享密钥一一对应, 进而作为全网IPSec安全关联构建工作的基础。增强方案转而将移动节点名与其预共享密钥相对应, 作为IKE SA协商环节的基础, 有效缓解域核心路由器存储空间压力, 可扩展性好、成本费用低。

在IPSec协议安全关联增强方案中, 移动节点身份标识信息加密传输, 即增强方案仍然保证数据密钥信息与身份认证信息处于分离状态, 从而有效防范基于身份认证过程重放的移动网络攻击行为。

4 结束语

在移动通信逐渐普及的今天, 社会民众对于网络通信的移动性, 以及移动通信的安全性需求日益提升。新一代网络安全标准IPSec协议旨在面向IPv4和IPv6提供具有强互操作能力、高质量和基于密码的网络通信安全规范, 但是现行IPSec标准存在身份认证、通信协商性能有限, 安全关联建立机制在向频繁变更网络地址的接入点维护预共享密钥时对于核心路由设备存储能力要求严格。

本文着眼于移动IP移动应用场合全网IPSec安全关联构建, 研究工作的重点位于IPSec安全关联构建的第一阶段IKE SA协商。通过移动节点主动向所属域核心路由器传送节点身份信息, 同时向原有IKE方案增加移动节点身份加密认证环节, 论文最终完成对预共享密钥和主动模式组合建立IKE SA的改进, 并使其能够应用于移动通信网络中的IKE SA协商, 实现移动网络中IPSec安全关联性能增强的研究目标。

摘要：在移动通信安全性日益凸显其重要性的今天, IPSec协议以面向IPv4和IPv6提供具有强互操作能力和高质量、基于密码的网络通信安全规范这一特性, 成为增强移动网络安全的首选协议。着眼于现有IPSec协议安全关联机制的薄弱环节, 重点改进IPSec安全关联中的IKE SA协商环节, 形成移动网络全网安全关联性能增强方案, 确保移动通信的保密性和安全性。

关键词：移动IP,IPSec协议,改进IKE,安全关联增强

参考文献

[1]Perkins C, et al.IP Mobility Support.IETF RFC 2002, October 1996.

[2]Noble B, et al.Mobile Network Tracing.IETF RFC 2041, October 1996.

[3]Carlton R Davis.IPSec:VPN的安全实施.周永彬, 冯登国, 徐震, 等译.清华大学出版社, 2002.

[4]Jalel Rejeb, Meenakshi Vohra, Thuy Tle, “IKE-based Secure Wirelessand Mobile Networks”, IEEE6th CAS Symp.on Emerging:Mobile andWireless Comm, 2004.

[5]Zao, J., et al.A Public-Key Based Secure Mobile IP.MOBICOM97, September 1997.

IPSec协议 第3篇

一、IPSEC协议工作原理分析

IPSEC协议工作原理与包过滤防火墙运行相似, 在获得一个IP数据包以后, 利用包过滤防火墙头部实施匹配处理, 将此数据包放置在规格表内。再次找到一个规则且可以与该数据包进行匹配, 则以制定规则的基本原则为依据, 对前面获得数据包进行丢弃或转发操作。对于IPSEC协议来说, 运行时主要是通过查询SD相关信息, 并将查询到的结果作为处理数据包的依据, 与包过滤防火墙处理相比, IPSEC对数据包的处理, 除了丢弃与转发两种操作外, 还具有第三种处理方式, 即IPSEC操作[2]。

二、基于IPSEC协议安全技术应用分析

2.1 系统设计目标

系统内要保证数据加、解密流程以及算法的独立性, 且可以实现用户自己对加密、认证算法的扩展。对于AH协议与ESP协议间要保持相互独立, 可以结合实际需求选择独立或者联合运行方式。还需要保证加密流程与解密流程的独立性、秘钥管理流程以及IPSEC流程的独立性。同时, 系统应同时支持软件与硬件加密技术要求, 且预留出扩展加密/ 认证算法阿玉硬件加密方式接口。为提高数据传输效率, 应支持对报文先进行压缩后加密传输方式。用户在实际应用中, 能够根据自身需求来选择是否选择应用安全访问服务, 以及安全协议与加密/ 认证算法等。

2.2 系统结构框架

IPSEC安全系统主要包括IEK模块、接口模块、用户配置管理模块、ASD数据库、SA管理模块、IPSEC处理模块等, 对于不同模块其所具有的功能不同。其中, IPSEC处理模块主要完成ESP协议与AH协议的实施, 可以对外出包增加一个或者多个IPSEC头, 且对于隧道模式与传送模式下的数据包进行有效处理, 且可以根据IPSEC包荷载类型, 将其传送到与操作系统相对应的内核处理程序。

2.3 系统模块功能

1、IKE模块。此模块主要负责通信双方间SA的建立, 确保能够实现与SADB和IPSEC基本协议的交互, 且用户可以手动启动IKE协商。IKE模块为用户级进程, 其与内核空间交互较少, 只需要在IPSEC SA建立时启动, 且作为后台守护程序运行。

2、接口模块。用户管理配置模块与IKE模块为系统应用层, SA管理模块在系统核心层, 且通过接口模块来实现之间的交互, 采用IPSEC协议规定的PE-KEY协议接口通信, 其为PF-ROUTE协议衍生而来的Socket协议, 进程只需要调用接口建立一个Socket即收发消息, 并不使用任何Socket地址。

3、用户配置管理模块。此模块可以显示系统运行状态, 且为用户提供状态设置服务, 为IKE模块守护进程的正常运行提供所有所需参数。其中, 状态设置服务包括协商隧道的启闭, 以及协商和删除SA, 系统运行所需参数包括用户自身以及对方身份信息、协商策略、秘钥信息、协商时机等。在用户实际应用中可以通过此模块来传达各项指令

4、SAD模块。主机系统进入或外出的数据包, 均需要搜索相应的SAD, 查询数据包头中解析出相匹配的条目, 查询到后对该SA参数与AH或者ESP头中相关参数进行对比, 如果对比结果一致, 选择处理操作, 否则丢弃该数据包。如果未从SAD中查询到相匹配条目, 如果进入的为数据包, 则将其丢弃;如果输出的为数据包, 则由IKE模块来创建SA, 且将其输入到SAD内。

2.4 实现驱动引擎

一方面, 接受包进行处理, 如果链路层数据达到网卡, 将其传输给内核标准IP处理程序, 通过IP分片重组处理, 调用IPSEC进入到处理模块。经过IPSEC处理后, 对IP包进行重新组装, 并将其发送到内核标准IP处理入口。再次IP处理后, 最终到达传输层进行处理。另一方面, 发送包处理。在接收到传输层数据后, 首先将其传输给内核标准IP处理程序, 经过IP分片外出包处理后, 调用IPSEC外出处理模块。然后经过IPSEC外出处理, 将数据包发送到内核标准IP层外出处理入口。最后进行IP分片以及层外处理, 重新路由后将其发送到链路层并进入网卡。此种处理方式中, IPSEC处理模块于内核处理来说为一个完全独立的部分, IPSEC处理程序在运行时基本上不会对内核内容进行修改。

结束语:IPSEC协议为安全协议的集合, 对提高数据包传输安全性具有重要意义。将其应用到安全技术中, 在研究时需要基于其所具有的技术特点, 以满足实际运行需求为目的, 详细分析不同模块功能, 建立安全运行系统。

摘要：IPSEC协议为一组网络安全协议集合, 具有更高灵活性、透明性以及安全性特点, 能够为网络上所传输的各项信息提供保护, 实现IP数据运行使用的安全性。本文对IPSEC协议在网络安全技术中的应用进行了简要分析。

关键词：IPSEC协议,网络安全,密钥

参考文献

[1]王妍.基于IPSec的VPN系统设计与实现[D].电子科技大学, 2013.

IPSec协议 第4篇

由于因特网技术的快速发展, 越来越多的商家企业开始着眼于这个公共的网络, 然而为了保障信息能够在Internet上安全的传输, 就要采取各种可靠的安全措施。IETF制定的IPSec协议标准可以提供传送、接收端作数据的认证、完整性、存取控制以及机密性等安全服务, 近些年便得到了广泛的发展与应用, 其中已有基于Net filter和IXP400的实现方案等, 但是处理效率都不够理想。鉴于现有Intel网络处理器的高速的数据报转发功能及多线程、多微引擎并发分布式处理的高性能高效率的特点, 特别是性价比比较适宜的Intel IXP2350这款网络处理器板上的NPE1 (网络处理器引擎) 硬件单元支持经典的加密/解密算法, 比如DES、3-DES和AES等, 散列算法MD5和SHA-1, 而这些算法正是实现IPSec所需的。本文将以Intel IXP2350硬件板开发CDMA通信BSS系统以太网安全接入平台, 根据数据报的特点要分为媒体流处理和控制流处理, 整个开发过程分为微码开发和XScale内核开发, 由于篇幅所限这里将主要详细介绍微码软件开发流程, 即微引擎M E微码开发。

1 软件模块划分

根据IXP2350的硬件结构, 设计主要分为微码部分和ARM部分, 后者主要的功能有微码维护进程、表维护、初始化工作和IKE协商等, 微码部分的功能有IP数据包的过滤、转发、封装/解封装处理、安全策略的检索及和NPE1的交互等。软件模块根据功能划分成四个模块:IPSec处理模块、IKE模块、SAD/SPD管理模块和IPSec驱动模块。其中IPSec处理模块和IPSec驱动模块是微码开发部分, IKE模块和SAD/SPD管理模块是ARM开发部分。图1为软件模块划分及关系图。

2 模块实现设计

本设计根据IXP2350的NPE1的功能需要实现基本的IPSec协议中的DES (64bits密钥) 、3DES (128bits和192bits密钥) 和AES (128bits、192bits和256bits密钥) 标准加密/解密算法;HMAC-MD5-96和HMAC-SHA-1-96鉴别 (认证) 算法;ECB、CBC和CRT加密/解密模式。

2.1 IPSec驱动模块设计

IPSec驱动模块作为协议栈进程的一个子模块运行, 用来实现加密、解密、匹配策略、触发协商等。所有的传输 (输入或者输出) 处理都必须先查阅SPD (安全策略数据库) , 包括非IPSec的传输。如果SPD中找不到相应策略来处理该包, 则必须丢弃该包。图2为DSMC接口板处理IP数据报文的整个流程。微引擎的分配是将接收/发送模块在IXP2350的第一个微引擎ME0实现, 报文重组模块在ME1中实现, 报文解密/加

密模块、封装/解封装处理模块和报文拆包模块在ME2中实现, 最后一个微引擎ME3用作UCOM处理和流量控制, 并且每个模块的实现都是用单线程实现, 子模块间的通信是通过Scratch Ring和信号量。

IP输出处理流程, 在出向处理过程中, 传送层的数据包流进IP层。IP层根据选择符源地址, 目的地址, 源端口, 目的端口和上层协议这五元组来检索SPD数据库, 可能有多个SP被匹配, 由于SP是按照优先级排序的, 因此确定第一个合适的策略, 判断应为这个包提供哪些安全服务。检索SPD数据库的任务交给SPD管理模块进行, SPD管理模块查询接口。则可能有下面这几种情况:

(1) 丢弃这个包。此时包不会得以处理, 只是简单地丢掉, 不过要做审核记录。

(2) 绕过安全服务。在这种情况下, IP层继续后续处理。

(3) 应用安全服务。在这种情况下, 做如下处理:

(1) 假如已建立了一个SA (安全联盟) , 就会返回指向这个SA的指针。

(2) SPD内会便会包含指向SA或SA集束的一个指针 (具体由策略决定) 。如果策略的输出规定强行将IPSec应用于数据包, 那么在SA正式建立起来之前, 包是不会传送出去的。除非建好用于这个包的SA, 否则IPSec实施方案就会一直守候下去。SA建好之后, SA含有所有必要的信息, 并已排好顺序。

(3) 循环从SA队列中取出SA, 如果SA是隧道模式的, 则先进行隧道封装, 新增一个外部IP头。

(4) 然后根据SA的协议类型进入ESP或者AH的出向处理流程 (将报文送入NPE1) , 对包进行加密和认证处理, 最后再经过MAC头封装发送到以太网 (BSC侧) 。

(5) 假如尚未建立SA, 就会调用IKE模块的接口出发IKE协商, 建立SA, 并丢弃报文。

IP输入处理有别于外出处理, 收到IP包后, 有这样两种可能:

(1) 包内根本没有包含IPSec头, 那么安全层就会对策略进行检查, 判断该如何对这个包进行处理。它会用选择符字段来检索SPD数据库。如果策略的输出是丢弃, 那么数据包就会被放弃;如果是应用, 但SA有建立, 包同样会被丢弃。否则, 就将包传递给下一层, 作进一步的处理。

(2) 如果IP包中包含了IPSec头, 就会由IPSec层对这个包进行处理。IPSec层会从IP数据报中提取出下一个IP选项头类型, 如果是AH则进入AH处理流程, 如果是ESP则进入ESP处理流程。

IP输入处理流程, 在IP分段重组之后才能完成AH或者ESP处理。每个将进行IPSec处理的输入IP数据报由其IP头协议域的AH或者ESP值 (或者IPv6环境中作为扩展头的AH或ESP) 标识。使用包的目的地址 (外部IP头) 、IPSec协议和SPI在SPD中搜索SA。确定需要解密认证的参数, 然后将报文送入NPE1进行解密和认证, 之后再封装MAC头送入网元内。

2.2 IPSec处理模块

IXP2350的IPSec模块 (微码) 位于接口板 (BSS系统的BTS侧DSMC板和BSC侧Abes板) 的微码子系统内, 完成IPSec的数据存储、策略匹配和报文处理功能。这两个接口板仅支持隧道模式, 支持AH和ESP的嵌套封装。

IXP2350的IPSec模块的功能是完成IPSec报文处理, 也就是完成IPSec的协议 (ESP/AH) 的封装和解封装处理的过程。决定报文处理流程的是SP/SA表项的数据, 这些数据从IP协议栈获得, 微码的处理方式和通用处理器的方式有很大的不同, 追求的是处理的性能, 需要有效的存储和索引这些数据, 才能获得比较高的处理性能。此外, ESP/AH处理过程中涉及的加解密和认证的计算微码自身无法完成, 需要借助于固件 (NPE1) 来实现。微码MCS与NPE的通信分为控制面和数据面。控制接口调用Intel的Crypto Access Component库函数实现, 用户完成NPE的初始化。数据接口采用CryptoReq和Crypto Done环完成报文的传递, 报文的处理参数通过共享内存的方式实现。图3和图4分别为微码实现IPSec功能的入向和出向处理流程。

2.3 IKE模块设计

IKE模块在IPSec整个软件构架中完成安全联盟 (SA) 的协商, 让通信的双方得到相同的密钥, 算法及安全策略;IKE在UDP之上, 通过UDP来收发报文, 在进行IKE交互中需要对报文进行加解密, 所以IKE需要引用加密/认证模块的功能, 在IKE协商成功后会生成相应的SA策略, 需要把这些SA交给SA管理模块进行管理, 同时在IP收发的过程中如果没有找到相应的SA, 就需要触发IKE模块进行SA协商。

IKE报文接收:IKE引擎在打开时调用udp_listen () 函数, 开始接收发送到UDP 500端口的报文。收到报文后首先从packet结构中获得本端和对端的IP地址, 因为需要这些参数来区分不同的IKE协商, 然后验证报文的格式是否是有效的ISAKMP报文, 如果报文无效就丢弃释放。有效的IKE报文按照交换类型交给主模式交换、野蛮模式交换、快速模式交换或信息交换等协议处理模块。

IKE报文发送:IKE引擎为主模式交换、野蛮模式交换、快速模式交换或信息交换等协议处理模块提供了统一的IKE报文发送服务。首先分配一个合适长度的packet结构, 然后将IKE报文内容复制到其中, 接着设置UDP连接的源地址、目的地址、源端口和目的端口, 最后调用udp_send_conn () 发送IKE报文。

2.4 SAD/SPD管理模块设计

SP/SA管理部分完成配置或协商后的策略的管理维护功能。SA与SP可以通过配置处理模块从后台静态配置生成, 同时如果在接口板上需要接受同步消息, 如果有IKE模块, 则SP/SA也可以通过IKE的接口动态生成, 最终生成的SP/SA条目需要提供给IPSec驱动进行IP收发, 这些条目需要同步给微码。这个模块包括ACL表、SP表和SA表的初始化、同步、添加和删除等设计, 对于表的匹配查找是由微码M C S来实现。图5是三个表的关系图。

3 结论

传统的IPSec协议采用集中式结构, 将所有的软件模块都集成到协议栈中实现, 所有模块都使用高级语言 (C) 实现, 这种结构无法利用网络处理器特有的资源优势, 难以保证高性能的报文转发。根据实测数据完全采用高级语言实现的IPSec协议在报文处理时报文的转发性能下降30%。本文给出的实现方案针对Intel IXP2350网络处理器的体系结构特点采用分布式结构实现IPSec协议, 将协议的各部分分布在ARM和ME上, 分别使用高级语言 (C) 和网络处理器编程语言 (微码) 实现, 利用网络处理器上的NPE1单元实现加/解密处理, 与传统的实现方式相比, 这种方式处理性能更高, 开发周期更短。经过实验环境测试实现上的吞吐量已达到几十兆, 可以满足现有的BSS系统的性能需求。对于将来也可能会出现大话务吞吐量瓶颈的问题, 可以采用专用的FPGA硬件子卡来处理。

参考文献

[1]孙彭, 孟晓景.基于Net filter的IPSec实现方案[D].信息技术.2006.

[2]文成玉, 杨槐.基于网络处理器的IPSec的实现方案研究.成都信息工程学院学报.2005.

[3]张宏科, 苏伟, 武勇著.网络处理器原理与技术[M].北京邮电学院出版社.2004.11.

[4]Intel.Intel IXP23XX Product Line Hardware Reference Manual[Z].www.intel.com.August2005.

[5]Network Working Group, D.Harkins, D.Carrel.RFC2409:The Internet Key Exchange (IKE) [S].http://tools.ietf.org/html/rfc2409.November1998.

[6]Network Working Group, C.Madson, R.Glenn.RFC2403:The Use of HMAC-MD5-96within ESP and AH[S].http://tools.ietf.org/html/rfc2403.November1998.

[7]Network Working Group, C.Madson, R.Glenn.RFC2404:The Use of HMAC-SHA-1-96within ESP and AH[S].http://tools.ietf.org/html/rfc2404.November1998.

[8]Intel.Intel IXP23XX Product Line NPE Crypto Interface Pre-liminary API Reference Manual Supplement[Z].www.intel.com.July.2005.

[9]Network Working Group, S.Kent, BBN Corp, R.Atkinson.RFC2406:IP Encapsulating Security Payload (ESP) [S].http://tools.ietf.org/html/rfc2406.November1998.

IPSec协议 第5篇

L2L (站点到站点) VPN是实现企业间数据加密传输最常用的方式, 采用IPSEC协议是实现L2L VPN较为经典的VPN技术。通过在企业路由器或防火墙上配置IPSEC, 加密站点间的流量, 实现在网络层对数据的加密。然而, IPSEC VPN实际应用时也存在问题:如不支持组播协议, 站点身后网络数多造成感兴趣流增加等, 为了解决IPSEC VPN的缺陷, cisco提出通过GRE技术, 按封装包顺序不同, 出现了GRE over IPSEC或IPSEC over GRE两种方式, 本文将通过一个实例分析、比较两种技术。

1 GRE技术

GRE (通用路由封装) 定义了在任意一种网络层协议上封装任意一个其它网络层协议的隧道协议。它能够将各种网络协议 (IP协议与非IP协议) 封装到IP隧道内, 并通过IP网络在站点间建立起一个虚拟的隧道连接。

GRE是一种典型的三层隧道封装技术, 封装后的数据包主要有4个部分组成。其中内层IP头部和内层实际传递数据为封装负载。在内层IP头部之前添加一个GRE头部, 再在GRE头部之前, 添加一个全新的外层IP头部, 从而实现对原始数据包的封装, GRE封装结构图如图1所示。

GRE头部较小, 采用4个字节, 封装效率高, 但对封装的负载不提供任何安全措施, 以明文传输。采用GRE over IPSEC或IPSEC over GRE建立VPN时, GRE隧道的作用就是虚拟地把两个站点连接起来, 可以在隧道上运行动态路由协议, 支持组播的封装。而IPSEC的作用是实现数据加密、身份认证等。

2 两种技术对比

GRE over IPSEC或IPSEC over GRE哪个好呢?两种技术有什么异同点, 下面通过实例从封包方式、感兴趣流以及加密映射图配置等方面进行比较。实例网络结构图如图2所示。

2.1 封包方式

GRE over IPSEC是先把数据封装成GRE包, 然后再封装成IPSEC包。做法是在物理接口上监控, 是否有需要加密的GRE流量, 所有这两个站点间的GRE数据流将被加密封装为IPSEC包进行传递, 这样所有的数据包都会被加密, 包括隧道的建立和路由的建立和传递。

假设Site1的网络1需要与Site2的网络4通信, 那么先进行GRE封装, 然后再进行IPSEC封装, 推荐使用传输模式, 这样可以节约一个IP头部字节 (20个字节) 。GRE over IPSEC封包结构图如图3所示。

IPSEC over GRE是把需要加密的数据包先封装成IPSEC包, 然后再扔到GRE隧道里。做法是在隧道接口上监控是否有需要加密的数据流, 有则先加密封装为IPSEC包, 然后封装成GRE包进入隧道。而其他数据将不加密直接走GRE隧道, 即存在数据可能以明文方式传输。

假设Site1的网络1需要与Site2的网络4通信, 采用IPSEC over GRE, 封包结构图如图4所示。在封包结构中, 并没有出现GRE头部, 原因后续将进行说明。

2.2 感兴趣流

感兴趣流就是需要被加密传输的数据, 即需要进行保护的流量。通常用ACL (访问控制列表) 来定义感兴趣流。

对于GRE over IPSEC来说, 定义的感兴趣流是所有被GRE封装的流量, 这样做的优点就是可以减少感兴趣流的定义, 本例中ACL语句定义如下:

ip access-list extended vpn

permit gre host 202.100.1.1 host 61.128.1.1

将两个站点间被GRE封装的流量定义为感兴趣流, 包括组播流量, 如ospf路由, 这样所有的内部网络数据和组播数据都将被IPSEC封装, 实现加密传输。

而IPSEC over GRE, 定义的感兴趣流是IPSEC封装的数据, 如Site1的网络1与Site2的网络4通信, 则ACL语句定义如下:

ip access-list extended vpn

permit ip 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255

实例中, 如所有网络间都要加密传输, 则最多需要定义9条感兴趣流。

2.3 加密映射图配置

加密映射图配置主要是匹配感兴趣流, 设置对方的Peer以及作用接口。

对于GRE over IPSEC来说, Peer通常设置为对方物理口公网地址, 本例Site1设置为61.128.1.1, Site2设置为202.100.1.1, 映射图的作用接口也为物理接口, 本例为Site1、Site2公网接口。

而IPSEC over GRE, Peer可以设置为对方物理口公网地址, 即Site1设置为61.128.1.1, Site2设置为202.100.1.1, 如图4所示。Peer也可以设置为对方的Loopback口, 那样封包中将出现GRE头部, IPSEC over GRE封包结构图, 如图5所示。假设将Peer分别设置为对方的Loopback口, 地址分别是Site1:lo11:11.11.11.1/24, Site2:lo22:22.22.22.1/24。

映射图的作用接口必须为GRE隧道接口, 本例为Site1、Site2的Tunnel 0接口。

在图5中, 由于Peer设置为对方Loopback口, 所以二次封包时外层地址为Loopback口地址, 此时由于已经不匹配感兴趣流, 故由隧道直接传输。

3 结论

不管是GRE over IPSEC或IPSEC over GRE, GRE的主要作用是实现组播数据的传输。GRE over IPSec是先GRE后IPSEC, IPSEC是最后的承载方式, 解决了IPSEC不支持组播的问题, 此方法实现了对所有GRE流量的加密传输, 减少了感兴趣流的定义, 工程应用较多, 安全性高。IPSec over GRE是先IPSEC后GRE, 此方法同样解决了IPSEC不支持组播的问题, 但感兴趣流需定义多条, 且路由流量是明文传输, 故安全性一般, 工程应用较少。

对于两种技术的应用, 可根据实际网络情况综合考虑选择。

摘要：通过一个实例对比分析两种L2L VPN技术在封包方式、感兴趣流以及加密映射图配置方面的异同点。

关键词：L2L VPN,IPSEC,GRE,对比

参考文献

[1]王隆杰, 梁广民.思科网络实验室CCNP (交换技术) 实验指南[M].北京:电子工业出版社, 2012.

IPsec的安全保护机制及其实现 第6篇

一、IPsec的保护机制

IPSec是业界定义的一组标准, 用于在IP数据包层检验、身份验证。加密是通过数学密钥对消息或数据进行编码的过程, 这种编码过程对没有这个数学密钥的用户隐藏数据的内容。解密是加密的反方向过程。数据解密过程使用适当的数学密钥对消息或数据进行解码, 将其恢复为原来的内容[2]。

IPSec提供三种不同的形式[3]来保护通过公有或私有IP网络来传送的私有数据:

认证--可以确定所接受的数据与所发送的数据是一致的, 同时可以确定申请发送者在实际上是真实发送者, 而不是伪装的。

数据完整--保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。

机密性--使相应的接收者能获取发送的真正内容, 而无意获取数据的接收者无法获知数据的真正内容。

当前的I P S e c支持数据加密标准 (DES) , 但也可以使用其它多种加密算法。

IPsec的主要目的是保护IP包的。IPsec是基于端到端的安全的模型, 这意味着发送方和接收方都必须是知道IPsec保护的唯一的主机。

其中将web服务器置于防火墙外边, 方便访问, SQL-server服务器置于防火墙之内, 是要保护的数据库, 防止受到修改或其他的攻击。数据库服务器和SQL-server服务器使用IPSec协议, 通过关联协商, 两者之间建立一个安全的通道, 两者之间的数据是经过加密的, 加密的算法可以是DES (IPsec支持DES算法) , 也可以是其他的加密算法。

二、IPsec的实现

图1是网络应用程序服务器和数据库服务器实现IPsec的安全通信, 只开放1433端口。应用程序服务器 (web服务器) 使用推荐的TCP/IP客户端网络库连接到SQL server, 并且使用默认的TCP端口1433,

可以使用在IP安全策略管理的MMC管理单元中配置的策略来控制IPsec。用IP安全策略管理来集中管理AD的客户端的IPsec策略:或对运行控制台的计算机进行本地管理, 或远程管理某台计算机或某个域。

实现模式可以是IPSec隧道模式。

具体实现步骤:

2.1在web服务器上 (使用的操作系统是window2003) 添加IP安全管理控制台:

(1) 以非管理性的用户登录到window2003;

(2) 单击“开始”-“单击运行”, 输入“M M C”, 然后单击“确定”;

(3) 在添加删除管理单元中单击添加“IP安全策略管理”, 在选择计算机和域中选择本地计算机, 因为要保护的不是整个域, 是单个计算机;

(4) 在此控制台树中, 有IP安全策略, 默认有3个策略:客户端, 服务器, 安全服务器。

2.2指派IP安全策略

(1) IP安全策略:

客户端 (请求安全)

(2) IP安全规则:

所有的IP通信

(3) 预共享密钥:

预共享密钥mess8.pass

(4) 身份验证方法:

第一:kerberos协议作为默认的身份验证, 第二:预共享密钥

2.3在数据库服务器上实现IPsec

添加IP安全管理控制台实现方法同web服务器实现添加IP安全管理控制台的方法是一样的。

指派IP安全策略有所区别:

(1) I P安全策略:指派安全服务器 (需要安全) , 那么客户端一定要指派IPSec策略才能和服务器通信;

(2) IP安全规则:只允许使用TCP的应用程序服务器通过端口1 43 3和S Q Lserver通讯。丢弃其他所有的IP包, 包括ICMP包 (ping) ;

(3) 预共享密钥:预共享密钥mess8.pass;

(4) 身份验证方法:第一:kerberos协议作为默认的身份验证, 第二:预共享密钥。

三、实现IPsec的意义

两台计算机之间传输的所有的数据都具有数据保密性。

SQL server的受攻击面显著减少。剩下的攻击点有:交互登录到数据库服务器, 获得对应用程序服务器的控制权, 以及试图用TCP端口1433攻击SQL server。

IPsec策略实现起来简单方便。

参考文献

[1]范亚芹.IPSec技术在MPLS VPN安全保障中的应用[J].吉林大学学报 (信息科学版) .2008, 1:30-32

[2]孙宁.IPSec安全策略数据库研究及其硬件实现方案[j].电信科学.2008, 3:8-10

IPSec协议 第7篇

当前营业厅存在前台服务限时考核压力、客户因等候时间过长而影响满意度, 新业务销售任务重, 以及BOSS1.5系统、各新业务体验营销平台、自助服务网站分布在不同物理网络, 造成一线营业员无法方便使用等许多问题。在这服务和营销双重考核压力下, 营业厅的运营管理难以突破“瓶颈”, 在一定程度上影响了营业厅运营模式的战略转型, 影响移动信息专家形象。

目前较多集成商都能够单点登录, 实现统一门户、统一认证, 但是这种单点登录一般都是基于单一的有线网络。为了解决营业厅台席不足, 前台压力大的问题, 迫切需要采用流动式走动服务进行业务受理。走动服务显而易见就是要求通过无线网络, 而不是固定的有线网络, 为此需要解决如下几个问题。

(1) 无线网络的IP地址是动态分配的, 不存在固定IP。

(2) 需要访问安全性要求非常高的BOSS网络, 由于没有手机二次验证码的存在, 也存在一定的安全风险。

(3) WLAN无线使传统物理安全控制措施失去效力, 因为无线频率范围内的所有人都能看到传输的内容, 因此需要采用安全的IPSEC技术。

(4) 需要访问BOSS网络的同时能够访问公司部分互联网网站和平台, 如:网上营业厅、彩铃自助网站、新业务体验营销平台、积分网上商城等。

2 网络拓扑图

因此, 通过开发“流动业务统一门户”, 基于安全IPSEC技术实现无线单点登录, 从而解决了跨平台跨网络访问问题, 下面结合网络拓扑图, 对该系统作详细的阐述。

如图1所示。

图1给出了基于安全IPSEC技术实现无线单点登录的示意图, 主要涉及到CISCO VPN服务器、BOSS网内侧系统、BOSS网外侧互联网平台、BOSS网络代理服务器、流动业务统一门户五个部分。

具体功能说明如下。

(1) CISCO VPN网关: (1) 采用IPSEC协议, 引进了完整的安全机制, 包括加密、认证和数据防篡改功能, 通过包封装技术, 封装内部网络的IP地址, 实现异地网络的互通。 (2) 建立VPN通道时采用双重身份验证方式。第一重验证组认证信息:连接VPN需要的组名、组密码, 一般固定且可以进行密码可保存;第二重验证VPN用户认证:采用动态用户密码, 用户名是BOSS工号, 密码是BOSS的密码和二次验证码组合, 验证密码通过手机发送工号获取, 有效期为6分钟, 如果发送短信的手机和BOSS工号没有得到VPN访问的授权, 是无法得到验证密码的。通过以上解决安全性、可管理性等问题。

(2) BOSS网内侧系统:主要是在BOSS网络内侧安全性非常高的承载生产、分析、服务与营销登记的BOSS1.5、经分、数据集市等系统, 这些系统直接通过建立的VPN通道可以直接访问。

(3) BOSS网外侧系统:主要是在互联网公司平台和系统, 包括网上营业厅、彩铃自助网站、新业务体验营销平台、积分网上商城等, 这些系统必须通过代理服务器, 不能够直接通过建立的VPN通道访问。

(4) BOSS网络代理服务器:代理服务器是一个位于客户端 (即终端电脑) 和原始服务器 (即BOSS外侧互联网平台) 之间的服务器, 为了从原始服务器取得内容, 代理服务器采用正向代理技术, 客户端向代理发送一个请求并指定目标 (原始服务器) , 然后代理向原始服务器转交请求并将获得的内容返回给客户端, 从而实现访问指定网站并且隐藏客户端自身, 从而确保内网BOSS网络安全。

(5) 流动业务统一门户:该系统是基于IPSEC而实现BOSS网内、外侧系统安全、无缝的单点登录访问, 实现多个系统自由切换。

3 系统流程

结合图1, 下面将说明系统访问的具体流程。

(1) 终端电脑通过无线AP, 通过WLAN连接到互联网上。

(2) 手机发送BOSS工号到10658452接入号获取二次验证密码, 将BOSS密码和二次验证密码进行组合形成新密码, 通过CISCO VPN认证, 并成功建立VPN通道, 以后所有的数据通信都通过该IPSEC进行, 为了确保安全性, 在IPSEC建立的同时, 也禁止直接互联网访问。

(3) 在流动业务统一门户上, 通过BOSS工号进行登录, 登录成功后, 读取每个系统的工号, 记录登录日志。

(4) 当访问BOSS网内侧系统时候, 流动业务统一门户直接打开映射的地址, 进行系统登录。并记录访问日志。

(5) 当访问BOSS网外侧系统时候, 流动业务统一门户将请求地址提交到代理服务器, 代理服务器进行判断访问地址是否在运行访问的几个网站、平台, 如果不是允许访问的地址, 则返回默认禁止访问的页面, 否则代理服务器访问指定的互联网地址并进行密码的验证, 并将数据包返回给终端电脑, 从而实现登录, 并记录访问日志。

(6) 当流动业务统一门户退出时, 分别提交注销的数据包给各个已登录的平台, 从而实现从所有平台的退出, 并记录注销日志。

4 系统运用

通过该系统解决了传统通过有线方式因网线限制难以走动服务的问题, 同时通过CISCO VPN网关以及代理服务器组成的设备以及IPSEC技术, 确保能够同时访问两种不同安全等级不同的网络, 具有3大特点。

一是具有“营销、服务、体验”一体化支撑特点, 方便、实用、易用、好用, 真正实现一线面向客户全职能包括服务、体验、销售在内的一台清。如营业前台为客户推荐开通彩铃后马上可以通过彩铃自助网站教会客户下载彩铃、设置彩铃。为满足客户经理、营业员、片区营销人员等一线人员业务支撑需求。推动营业厅从“服务型”向“销售服务型”功能转变, 满足客户经理、营业员、片区营销人员等一线人员“营销、服务、体验”一体化业务支撑需求。

二是通过“五统一”方式即统一终端、统一时间、统一路由、统一门户、统一认证, 解决了跨平台跨网络访问问题, 即同时能够访问BOSS系统、经分系统、网上营业厅、彩铃自助网站、新业务体验营销平台、积分网上商城、I-Home等, 通过单点登录解决了使用者需要频繁登录多个系统或、切换各个网络、经常忘记密码等实际问题, 真正为一线人员实现面向客户从服务到销售、体验全方位、一体化的支撑, 一线人员使用系统的满意度大大提高。

三是能够根据场景条件情况灵活选择WLAN、EDGE无线任一方式接入使用流动业务统一门户, 有效支撑公司由坐商向行商转变, 使BOSS系统、经分系统、各种用户自助平台有效延伸到客户经理上门服务、营业导购走动服务营销、片区进社区或下乡促销等生产环境下应用, 流动业务统一门户大大提高了客户对业务支撑的满意度和美誉度。

通过使用, 每月平均访问登录人数80个, 登录次数2800余次, 通过走动营销, 受理业务达到74942次。

参考文献

[1]卢建刚.基于IP技术的VPN网关设计与实现[D].浙江:浙江大学, 2005.

[2]Carlton R.Davis.IPSec VPN的安全实施[M].北京:清华大学出版社, 2002:46～47.

[3]戴宗坤, 唐三平.VPN与网络安全[M].北京:电子工业出版社, 2002.

[4]王学庆.Delphi6数据库设计实例导航[M].北京:科学出版社, 2003.

[5]Marty Hall.Servlet与JSP核心技术[M].人民邮电出版社, 2001, 10.

[6]Karl Avedal[著], 黎文, 等[译].JSP编程指南[M].电子工业出版社, 2001, 4.

[7]武延军, 黄飞跃.精通JS编程技术 (网络技术精通系列) [M].人民邮电出版社, 2001, 8.

[8]张强.IPSec协议在VPN中的研究与应用[D].江苏:南京工业大学, 2006.

[9]姜正强.一个改进的IPSec协议及其实现研究[D].湖北:华中科技大学, 2006.