年月 第35卷第17期计算机工程20099 September2009 Vol.35No.17ComputerEngineering ·安全技术·文章编号：1000—3428(2009)17—0146—03文献标识码：A中图分类号：TP309 基于IPSec协议的VPN安全网关设计 王志刚，石颖 (海军计算技术研究所，北京100841) 摘要：随着Internet技术在各行业信息系统中的广泛应用，企业内部网络和应用系统的安全保密问题日益突出。在研究IP安全协议和虚 拟专用网(VPN)技术的基础上，提出一种集防火墙技术和网络加密技术于一体的VPN安全网关的设计方案，给出主要软件模块的设计，对 安全网关在实际应用系统中的应用模式进行了分析。 关键词：虚拟专用网；IP安全协议；隧道技术；加解密技术 DesignofVPNSecurityGatewayBasedonIPSecProtocol WANGZhi-gang,SHIYing (NavyComputingTechnologyResearchInstitute,Beijing100841) 【Abstract】AsaresultofextensiveapplicationofInternet/Intranettechnologyintheinformationsystemoftheenterprise,theinformationofsocial andmoreandmoresharpeningproblemsofnetworksecurityandinformationsecrecy.ThispapergivesaresolvingschemeofVirtualPrivate Network(VPN)securitygatewaywithfirewallandnetworkencryptiontechnology,basedonIPSecurity(IPSec)protocolandVPNtechnology,it givesadesignofmainsoftwaremodule,andadeepanalysisismadeintotheapplicationofthescheme. 【Keywords】VirtualPrivateNetwork(VPN);IPsecurityprotocol;tunnelingtechnology;encryptionanddecryptiontechnology Internet技术提供的互联性和开放性使信息的交换与共Payload)协议[3]，IKE(InternetKeyExchange)协议和用于网络 享成为现实，保护网络安全、保证信息安全成为人们日益关验证和加密的一些算法等。IPSec规定了如何在对等层之间选 注的问题。防火墙和信息加密是最行之有效的2种技术，VPN择安全协议、确保安全算法和密钥交换，向上层提供了访问 安全网关则是综合这2种技术的网络安全设备。控制、数据源验证、数据加密等网络安全服务。 1VPN简介IPSec定义的相关概念和术语如下： 1.1VPN概念及作用(1)安全联盟(SecurityAssociation,SA)。SA构成IPSec的 VPN技术是指采用隧道技术、加密和身份认证等方法，基础，它是2个通信实体经协商确定的一种协定。它们确定 在公众网络上构建专用网络的技术，数据通过安全的“加密了用来保护数据包安全的IPSec协议、加密方式和密钥信息 管道”在公众网络中传播。等。SADB是一个SA数据库。 VPN技术实现了内部网络信息在公众信息网上的安全(2)安全策略数据库(SecurityPoliceDatabase,SPD)。安全 保密传输，就如同在广域网中为用户拉出一条专线。对于用策略决定了为一个数据包提供的安全服务，而对所有的IPSec 户来讲，公众网络起到了“虚拟专用”的效果。通过VPN，方案来说，都将策略保存在一个数据库中，即SPD。 网络对每个使用者也是专用的，不同的用户组可以建立自己(3)选择符。外出的数据包需要用选择符在SPD中检索相 的“专用网”。应的安全策略，它包括源地址、目标地址、名字、协议、上 1.2VPN的关键技术及协议层端口。 实现VPN的关键技术和协议主要包括：(4)安全参数索引(SecurityParameterIndex,SPI)。SPI用 (1)安全隧道技术(securetunnelingtechnology)。将待传输于独一无二的标识出接收端的SA。由于包接收端在IP层不 的原始信息经过加密和协议封装处理后再嵌套装入另一种协一定能访问到选择符内的所有字段，因此需要用〈SPI，目标 议的数据包送入网络中，像普通数据包一样进行传输。地址，协议〉元组对SADB进行检索。