基于IPSec的VPN技術(shù)

摘　要　隨著網(wǎng)絡技術(shù)的飛速發(fā)展，VPN作為一種新型的遠程網(wǎng)絡訪問技術(shù)，在近兩年內(nèi)受到企業(yè)用戶的廣泛關(guān)注。而作為VPN技術(shù)中最為重要的隧道技術(shù)，IPSec協(xié)議目前還是被公認為最安全，應用最為廣泛的隧道技術(shù)。

關(guān)鍵詞　VPN　IPSec　MPLS　SSL　AH　ESP　IKE

隨著Internet的快速發(fā)展，人們逐漸把技術(shù)的焦點從網(wǎng)絡的可用性、信息的獲取性轉(zhuǎn)移到網(wǎng)絡的安全性、應用的簡易性上來。建立在IP技術(shù)基礎(chǔ)上的虛擬專用網(wǎng)（Virtual Private Network，VPN）正快速成為新一代網(wǎng)絡服務的基礎(chǔ)，許多服務供應商推出了基于VPN的各種業(yè)務。與此相應，Internet的安全問題也日益受到重視。Internet 是一個建立在TCP/IP協(xié)議基礎(chǔ)上的開放的分組交換網(wǎng)，由于其在最初設計時缺乏安全考慮，導致目前Internet的安全性能嚴重不足。網(wǎng)絡上的IP數(shù)據(jù)包幾乎都是用明文傳輸?shù)模�非常容易遭到竊聽、篡改等攻擊。在各種網(wǎng)絡安全的解決方案中，IETF于1998年推出的IPSec協(xié)議有著獨特的優(yōu)勢，占據(jù)著重要的基礎(chǔ)地位。IPSec協(xié)議是現(xiàn)在VPN開發(fā)中使用的最廣泛的一種協(xié)議，它有可能在將來成為IPVPN的標準。但是IPSec協(xié)議是一個比較新的安全協(xié)議，而且非常復雜，作為一個還沒有完全成熟的協(xié)議，IPSec 在理論上和實踐上都有一些問題有待改進。鑒于它的重要作用，很有必要對IPSec協(xié)議及其VPN做相關(guān)的探討及研究。

1　VPN虛擬專用網(wǎng)

1.1　VPN的定義

VPN（Virtual Private Network），即虛擬專用網(wǎng)，是利用開放的公眾網(wǎng)絡資源建立私有數(shù)據(jù)傳輸通道，將遠程的分支機構(gòu)、商業(yè)伙伴、移動辦公人員等連接起來，并且提供安全的端到端的數(shù)據(jù)通信的一種廣域網(wǎng)技術(shù)。VPN有兩層含義：它是“虛擬的”，即建立隧道或虛電路把不同的物理網(wǎng)絡或設備連接起來，不再使用物理的專線建立專用網(wǎng)，而是將其建立在分布廣泛的公共網(wǎng)絡上，如Internet；它是“專用的”，對基于IPSec的VPN而言，是一組連接的閉合用戶群（CVC），它不僅具有服務質(zhì)量（QoS）的保證，而且更多地強調(diào)安全服務。VPN是企業(yè)網(wǎng)在公共網(wǎng)絡上的無縫延伸，VPN可將位于不同地點的遠程用戶、分支機構(gòu)和合作伙伴等連接起來。

1.2　VPN的應用

VPN按照應用大致可分為Intranet VPN及Extranet VPN以及Remote accessVPN三種。其基本用途就是提供企業(yè)分支機構(gòu)和企業(yè)，企業(yè)客戶和企業(yè)以及企業(yè)內(nèi)部的，遠端企業(yè)員工與企業(yè)安全的點對點通信。

· Intranet VPN是指在一個組織內(nèi)部如何安全地連接兩個相互信任的內(nèi)聯(lián)網(wǎng)，要求在公司與分支機構(gòu)之間建立安全的通信連接。這種應用模式需要做的不僅是要防范外部入侵者對企業(yè)內(nèi)聯(lián)網(wǎng)的攻擊，還要保護在因特網(wǎng)上傳送的敏感數(shù)據(jù)。

· Extranet VPN是基于Internet的VPN，虛擬專用網(wǎng)絡支持遠程訪問客戶以安全的方式通過公共互聯(lián)網(wǎng)絡遠程訪問企業(yè)資源。Extranet VPN是Intranet VPN的一個擴展，即通過因特網(wǎng)連接兩臺分別屬于兩個互不信任的內(nèi)部網(wǎng)絡的主機。它要求一個開放的基于標準的解決方案，以便解決企業(yè)與各種合作伙伴和客戶網(wǎng)絡的協(xié)同工作問題。

· Remote  Access  VPN是指企業(yè)員工通過因特網(wǎng)遠程撥號的方式訪問企業(yè)內(nèi)聯(lián)網(wǎng)而構(gòu)筑的VPN，通常也叫做遠程撥號VPN。VPN技術(shù)的這種應用代替了傳統(tǒng)的直接撥入內(nèi)聯(lián)網(wǎng)的遠程訪問方式，這樣可以大大降低遠程訪問的費用。

1.3　目前幾種主要的VPN技術(shù)及其比較

目前已經(jīng)投入實際當中使用的VPN技術(shù)包括IPSec VPN、SSL VPN、MPLS VPN。這三種VPN技術(shù)各有特色、各有所長。目前國外主要廠商對SSL VPN技術(shù)、MPLS VPN技術(shù)發(fā)展相對比較重視發(fā)展較快，但是目前應用最為廣泛，技術(shù)最為成熟的仍然是IPSec VPN技術(shù)。

· IPSec協(xié)議是網(wǎng)絡層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。SSL是套接層協(xié)議，它是保障在Internet上基于Web的通信的安全而提供的協(xié)議。以標簽交換是作為底層轉(zhuǎn)發(fā)機制的MPLS（MultiProtocol Label Switching，多協(xié)議標記交換）VPN。

· IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡時的數(shù)據(jù)完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網(wǎng)絡提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務。

· SSL用公鑰加密通過SSL連接傳輸?shù)臄?shù)據(jù)來工作。SSL是一種高層安全協(xié)議，建立在應用層上。SSL VPN使用SSL協(xié)議和代理為終端用戶提供HrrP、客戶機/服務器和共享的文件資源的訪問認證和訪問安全SSL VPN傳遞用戶層的認證。確保只有通過安全策略認證的用戶可以訪問指定的資源。

· MPLS是一個可以在多種第二層媒質(zhì)上進行標記交換的網(wǎng)絡技術(shù)。不論什么格式的數(shù)據(jù)均可以第三層的路由在網(wǎng)絡的邊緣實施，而在MPLS的網(wǎng)絡核心采用第二層交換，因此可以用一句話概括MPLS的特點：“邊緣路由，核心交換”。

2　IPSec的應用研究

2.1　IPSec的定義

IPSec（Internet Protocol Security）即Intenet安全協(xié)議，是IETF提供Internet安全通信的一系列規(guī)范，它提供私有信息通過公用網(wǎng)的安全保障。IPSec適用于目前的版本IPv4和下一代IPv6。IPSec規(guī)范相當復雜，規(guī)范中包含大量的文檔。由于IPSec在TCP/IP協(xié)議的核心層——IP層實現(xiàn)，因此可以有效地保護各種上層協(xié)議，并為各種安全服務提供一個統(tǒng)一的平臺。IPSec 也是被下一代Internet 所采用的網(wǎng)絡安全協(xié)議。IPSec協(xié)議是現(xiàn)在VPN開發(fā)中使用的最廣泛的一種協(xié)議，它有可能在將來成為IPVPN的標準。

IPSec的基本目的是把密碼學的安全機制引入 IP協(xié)議，通過使用現(xiàn)代密碼學方法支持保密和認證服務，使用戶能有選擇地使用，并得到所期望的安全服務。IPSec是隨著IPv6的制定而產(chǎn)生的，鑒于IPv4的應用仍然很廣泛，所以后來在IPSec的制定中也增加了對IPv4的支持。IPSec在IPv6中是必須支持的。

2.2　IPSec協(xié)議體系結(jié)構(gòu)

IPSec將幾種安全技術(shù)結(jié)合形成一個完整的安全體系，它包括安全協(xié)議部分和密鑰協(xié)商部分�？捎脠D1進行表示。

（1）安全關(guān)聯(lián)和安全策略：安全關(guān)聯(lián)（Security Association，SA）是構(gòu)成IPSec的基礎(chǔ)，是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，它們決定了用來保護數(shù)據(jù)包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時間等。

（2）IPSec 協(xié)議的運行模式：IPSec協(xié)議的運行模式有兩種，IPSec隧道模式及IPSec傳輸模式。隧道模式的特點是數(shù)據(jù)包最終目的地不是安全終點。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。傳輸模式下，IPSec 主要對上層協(xié)議即IP包的載荷進行封裝保護，通常情況下，傳輸模式只用于兩臺主機之間的安全通信。

（3）AH（Authentication Header，認證頭）協(xié)議：設計AH認證協(xié)議的目的是用來增加IP數(shù)據(jù)報的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重放保護服務，但是AH不提供任何保密性服務。IPSec驗證報頭AH是個用于提供IP數(shù)據(jù)報完整性、身份認證和可選的抗重傳攻擊的機制，但是不提供數(shù)據(jù)機密性保護。 驗證報頭的認證算法有兩種： 一種是基于對稱加密算法（如DES），另一種是基于單向哈希算法（如MD5或SHA-1）。 驗證報頭的工作方式有傳輸模式和隧道模式。傳輸模式只對上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認證保護，把AH插在IP報頭的后面，主要適合于主機實現(xiàn)。隧道模式把需要保護的IP包封裝在新的IP包中，作為新報文的載荷， 然后把AH插在新的IP報頭的后面。隧道模式對整個IP數(shù)據(jù)報提供認證保護。

（4）ESP（Encapsulate Security Payload，封裝安全載荷）協(xié)議：封裝安全載荷（ESP）用于提高Internet協(xié)議（IP）協(xié)議的安全性。它可為IP提供機密性、數(shù)據(jù)源驗證、抗重放以及數(shù)據(jù)完整性等安全服務。ESP屬于IPSec的機密性服務。其中，數(shù)據(jù)機密性是ESP的基本功能，而數(shù)據(jù)源身份認證、數(shù)據(jù)完整性檢驗以及抗重傳保護都是可選的。ESP主要支持IP數(shù)據(jù)包的機密性，它將需要保護的用戶數(shù)據(jù)進行加密后再重新封裝到新的IP數(shù)據(jù)包中。

（5）Internet 密鑰交換協(xié)議（IKE）：Internet密鑰交換協(xié)議（IKE）是IPSec默認的安全密鑰協(xié)商方法。IKE通過一系列報文交換為兩個實體（如網(wǎng)絡終端或網(wǎng)關(guān)）進行安全通信派生會話密鑰。IKE建立在Internet安全關(guān)聯(lián)和密鑰管理協(xié)議（ISAKMP）定義的一個框架之上。IKE是IPSec目前正式確定的密鑰交換協(xié)議，IKE為IPSec的AH和ESP協(xié)議提供密鑰交換管理和SA管理，同時也為ISAKMP提供密鑰管理和安全管理。IKE具有兩種密鑰管理協(xié)議（Oakley和SKEME安全密鑰交換機制）的一部分功能，并綜合了Oakley和SKEME的密鑰交換方案，形成了自己獨一無二的受鑒別保護的加密材料生成技術(shù)。

3　結(jié)束語

雖然IPSec協(xié)議目前應用比較廣泛，性能比較穩(wěn)定。但是IPSec協(xié)議是一個比較新的安全協(xié)議，而且非常復雜，作為一個還沒有完全成熟的協(xié)議，IPSec 在理論上和實踐上都有一些問題有待改進。其不足之處主要是由其復雜性和靈活性引起的，IPSec 包括了太多的選項，提供了過多可以變通的地方。相信隨著IP技術(shù)的發(fā)展，IPSec協(xié)議會日臻完善！

由于本網(wǎng)頁不支持圖片與公式效果，如有需要請參閱雜志。