□ 丁望
VPN與IPsec
1. VPN概述
近年來,隨著Internet的快速增長,Internet的傳輸速率越來越高,接入費用日益降低,這使得越來越多的企業(yè)開始采用Internet作為企業(yè)內(nèi)聯(lián)網(wǎng)的傳輸平臺,特別是在一些跨地區(qū)跨國性的大中企業(yè)里正得到廣泛應(yīng)用。VPN技術(shù)為Intranet、Extranet的建設(shè),同時亦為電子商務(wù)的發(fā)展提供了有力的技術(shù)支撐,并向傳統(tǒng)的DDN專線甚至幀中繼網(wǎng)提出了嚴(yán)峻的挑戰(zhàn)。
2. VPN的實現(xiàn)方法
VPN的定義非常廣泛,因此,目前市場上出現(xiàn)了很多的VPN產(chǎn)品,實現(xiàn)VPN的方法也有很多種。但就計算機網(wǎng)絡(luò)來說,其實現(xiàn)VPN所選用的層次,可以有網(wǎng)絡(luò)層VPN、數(shù)據(jù)鏈路層VPN等。網(wǎng)絡(luò)層VPN多采用IP協(xié)議,而數(shù)據(jù)鏈路層VPN則由ATM或幀中繼虛電路來實現(xiàn)。隨著技術(shù)的發(fā)展,通過IP層實現(xiàn)VPN已成為目前業(yè)界主流。
IP層VPN的實現(xiàn)方法包括: 控制路由選擇、隧道和網(wǎng)絡(luò)層封裝等。
所謂控制路由選擇也就是路由過濾,通過控制路由的傳遞,來限制對內(nèi)部信息的訪問。這種方法實際上屬于訪問控制一類,并由此實現(xiàn)公共網(wǎng)絡(luò)上的專有服務(wù)。
隧道技術(shù)在VPN的實現(xiàn)上得到了比較廣泛的應(yīng)用。首先,一個IP隧道可以調(diào)整為多種形式的有效負載。遠程用戶能夠透明地撥號上網(wǎng)來訪問企業(yè)的IP、IPX或AppleTalk網(wǎng)絡(luò)。第二,隧道能夠同時調(diào)整多個用戶或多個不同形式的有效負載。這可以利用封裝技術(shù)來實現(xiàn)。第三,使用隧道技術(shù)訪問企業(yè)內(nèi)聯(lián)網(wǎng)時,企業(yè)內(nèi)聯(lián)網(wǎng)不會向Internet報告它的IP網(wǎng)絡(luò)地址。
目前,伴隨技術(shù)的發(fā)展,網(wǎng)絡(luò)層封裝正在成為VPN實現(xiàn)技術(shù)的主流。其事實標(biāo)準(zhǔn)IPsec已由IETF在1998年正式制定發(fā)布,并成為了開放性IP安全標(biāo)準(zhǔn),是當(dāng)前實現(xiàn)VPN的基礎(chǔ),已經(jīng)相當(dāng)成熟可靠。
IPsec標(biāo)準(zhǔn)概述
實際上IPsec是一整套協(xié)議包而不只是一個單獨的協(xié)議, 這一點對于我們認識IPSec是很重要的。IPsec協(xié)議把多種安全技術(shù)集合到一起,從而建立起一個安全、可靠的隧道。在IPsec安全體系結(jié)構(gòu)中包括了3個最基本的協(xié)議:AH(Authentication Header)協(xié)議為IP包提供信息源驗證和完整性保證;ESP(Encapsulating Security Payload)協(xié)議提供加密保證;密鑰管理協(xié)議(ISAKMP)提供雙方交流時的共享安全信息。ESP和AH協(xié)議都有相關(guān)的一系列支持文件,規(guī)定了加密和認證的算法。
1. IPsec的作用
IPsec通過激活系統(tǒng)所需要的安全協(xié)議、確定用于服務(wù)的算法及所要求的密鑰來提供安全服務(wù)。IPsec可用來保護一條或多條介于主機之間、安全網(wǎng)關(guān)之間或主機和安全網(wǎng)關(guān)之間的數(shù)據(jù)通道。
IPsec所能提供的安全服務(wù)集包括訪問控制、無連接完整性、數(shù)據(jù)源認證、重播保護(各部分的序列完整)、機密性(加密)以及有限傳輸流量的機密性。由于這些服務(wù)在IP層提供,能被更高層次的協(xié)議所利用(如:TCP、UDP、ICMP、BGP等),并且對于應(yīng)用程序和終端用戶來說是透明的,所以,應(yīng)用和終端用戶不需要更改程序和進行安全方面的專門培訓(xùn)。
2. IPsec實現(xiàn)機制
IPsec通過提供下列服務(wù)來保護通過公共IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù):
● 訪問控制 訪問控制是指防止未經(jīng)授權(quán)對資源進行訪問。IPsec中,需要進行訪問控制的資源通常指主機中的數(shù)據(jù)和計算能力、安全網(wǎng)關(guān)內(nèi)的本地網(wǎng)及其帶寬。IPsec使用身份認證機制進行訪問控制。
● 數(shù)據(jù)源認證 數(shù)據(jù)源認證對數(shù)據(jù)來源所聲明的身份進行驗證,通常與無連接數(shù)據(jù)完整性相結(jié)合。IPsec使用消息鑒別機制實現(xiàn)數(shù)據(jù)源認證服務(wù)。
● 機密性和有限傳輸流量的機密性 相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容,而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。有限傳輸流量的機密性服務(wù)是指防止對通信的外部屬性(源地址、目的地址、消息長度和通信頻率等)的泄露,從而使攻擊者無法對網(wǎng)絡(luò)流量進行分析,推導(dǎo)其中的傳輸頻率、通信者身份、數(shù)據(jù)包大小、數(shù)據(jù)流標(biāo)識符等信息。
● 無連接完整性和抗重播 無連接完整性服務(wù)對單份數(shù)據(jù)包是否被修改進行檢查,而對數(shù)據(jù)包的到達順序不作要求。IPsec使用數(shù)據(jù)源認證機制實現(xiàn)無連接完整性服務(wù)。IPsec的抗重播服務(wù),亦稱為部分序號完整性服務(wù),是指防止攻擊者截取和復(fù)制IP包,然后發(fā)送到目的地。IPsec根據(jù)IPsec頭中的序號字段,使用滑動窗口原理,實現(xiàn)抗重播服務(wù)。
上面的服務(wù)都在IP層上實現(xiàn)。IPsec采用了以下兩個協(xié)議提供傳輸安全: AH和ESP。IP AH提供無連接完整性、數(shù)據(jù)源認證和可選的防重播服務(wù)。ESP協(xié)議可提供機密性和受限傳輸流機密性;還可提供無連接完整性、數(shù)據(jù)源認證和防重播服務(wù)。這些協(xié)議可單獨使用或組合使用,以提供所希望的安全服務(wù)。
IPsec允許用戶(或系統(tǒng)管理員)控制安全服務(wù)的粒度。如: 單個加密隧道用于兩個安全網(wǎng)關(guān)間所有的傳輸或在通過網(wǎng)關(guān)的兩臺主機間為每個TCP連接建立獨立的加密隧道。IPsec管理在下列方面體現(xiàn)了很大的靈活性:使用何種安全服務(wù)和何種組合; 給定的安全保護采用何種粒度;用于加密的算法。
由于這些安全服務(wù)使用共享的安全值(加密密鑰),因此IPsec必須依賴于一套獨立的密鑰管理機制。IPsec提供了一個基于公鑰體系的實現(xiàn)方法IKE,并要求支持手工和自動密鑰分發(fā)。在IPsec中采用了多種密碼技術(shù)。同時,也可以采用其他自動密鑰分發(fā)技術(shù),如:基于KDC的系統(tǒng)(Kerberos)和其他公鑰系統(tǒng)。
IPsec較好地融合了加密技術(shù)和訪問控制技術(shù),實現(xiàn)了在主機或安全網(wǎng)關(guān)環(huán)境中對IP傳輸?shù)谋Wo。這種保護或者基于安全策略數(shù)據(jù)庫(SPD)中定義的需求,或者基于由應(yīng)用定義的需求。通常,報文按SPD數(shù)據(jù)庫中匹配的情況,根據(jù)IP和傳輸層的頭信息選擇提供IPsec安全服務(wù)、丟棄或允許旁路(bypass),這是根據(jù)篩選器標(biāo)識的相應(yīng)數(shù)據(jù)庫策略來確定。
IPsec可以運行于網(wǎng)絡(luò)的任意一部分,它可以在路由器和防火墻之間、路由器和路由器之間、PC機和服務(wù)器之間、PC機和撥號訪問設(shè)備之間,為各種分布式應(yīng)用提供安全,可保證LAN、專用和公用WAN以及Internet的通信安全。
IPsec在國內(nèi)的應(yīng)用前景
IPsec在IP層上實現(xiàn)了加密、認證、訪問控制等多種安全技術(shù),極大地提高了TCP/IP協(xié)議的安全性。由于整個協(xié)議在IP層上實現(xiàn),上層應(yīng)用可不必進行任何修改,并且由于IPsec在實現(xiàn)安全策略上的靈活性,使得對安全網(wǎng)絡(luò)系統(tǒng)的管理變得簡便靈活。同時,IPsec可透過公共網(wǎng)絡(luò)搭建企業(yè)Intranet 和Extranet,有效地降低了網(wǎng)絡(luò)建設(shè)和運營的成本,已經(jīng)成為了事實上的IP層安全標(biāo)準(zhǔn),具有廣泛的應(yīng)用前景。
但是應(yīng)該看到,由于IPsec采用了加密技術(shù),因此在國家黨政機關(guān)、事業(yè)單位和軍隊不可能直接采用國外的現(xiàn)有產(chǎn)品來搭建整個VPN網(wǎng)絡(luò)。國內(nèi)目前雖然有很多廠家推出了自己的VPN產(chǎn)品,但比較完整地實現(xiàn)了IPsec整個協(xié)議體系的安全產(chǎn)品還比較缺乏。所以,跟蹤研究國外IPsec技術(shù)和產(chǎn)品的發(fā)展,開發(fā)具有自主版權(quán)的IPsec產(chǎn)品應(yīng)該成為國內(nèi)眾多安全廠家的努力目標(biāo)!
摘自《網(wǎng)絡(luò)世界》