摘 要 随着网络技术的飞速发展,VPN作为一种新型的远程网络访问技术,在近两年内受到企业用户的广泛关注。而作为VPN技术中最为重要的隧道技术,IPSec协议目前还是被公认为最安全,应用最为广泛的隧道技术。
关键词 VPN IPSec MPLS SSL AH ESP IKE
随着Internet的快速发展,人们逐渐把技术的焦点从网络的可用性、信息的获取性转移到网络的安全性、应用的简易性上来。建立在IP技术基础上的虚拟专用网(Virtual Private Network,VPN)正快速成为新一代网络服务的基础,许多服务供应商推出了基于VPN的各种业务。与此相应,Internet的安全问题也日益受到重视。Internet 是一个建立在TCP/IP协议基础上的开放的分组交换网,由于其在最初设计时缺乏安全考虑,导致目前Internet的安全性能严重不足。网络上的IP数据包几乎都是用明文传输的,非常容易遭到窃听、篡改等攻击。在各种网络安全的解决方案中,IETF于1998年推出的IPSec协议有着独特的优势,占据着重要的基础地位。IPSec协议是现在VPN开发中使用的最广泛的一种协议,它有可能在将来成为IPVPN的标准。但是IPSec协议是一个比较新的安全协议,而且非常复杂,作为一个还没有完全成熟的协议,IPSec 在理论上和实践上都有一些问题有待改进。鉴于它的重要作用,很有必要对IPSec协议及其VPN做相关的探讨及研究。
1 VPN虚拟专用网
1.1 VPN的定义
VPN(Virtual Private Network),即虚拟专用网,是利用开放的公众网络资源建立私有数据传输通道,将远程的分支机构、商业伙伴、移动办公人员等连接起来,并且提供安全的端到端的数据通信的一种广域网技术。VPN有两层含义:它是“虚拟的”,即建立隧道或虚电路把不同的物理网络或设备连接起来,不再使用物理的专线建立专用网,而是将其建立在分布广泛的公共网络上,如Internet;它是“专用的”,对基于IPSec的VPN而言,是一组连接的闭合用户群(CVC),它不仅具有服务质量(QoS)的保证,而且更多地强调安全服务。VPN是企业网在公共网络上的无缝延伸,VPN可将位于不同地点的远程用户、分支机构和合作伙伴等连接起来。
1.2 VPN的应用
VPN按照应用大致可分为Intranet VPN及Extranet VPN以及Remote accessVPN三种。其基本用途就是提供企业分支机构和企业,企业客户和企业以及企业内部的,远端企业员工与企业安全的点对点通信。
· Intranet VPN是指在一个组织内部如何安全地连接两个相互信任的内联网,要求在公司与分支机构之间建立安全的通信连接。这种应用模式需要做的不仅是要防范外部入侵者对企业内联网的攻击,还要保护在因特网上传送的敏感数据。
· Extranet VPN是基于Internet的VPN,虚拟专用网络支持远程访问客户以安全的方式通过公共互联网络远程访问企业资源。Extranet VPN是Intranet VPN的一个扩展,即通过因特网连接两台分别属于两个互不信任的内部网络的主机。它要求一个开放的基于标准的解决方案,以便解决企业与各种合作伙伴和客户网络的协同工作问题。
· Remote Access VPN是指企业员工通过因特网远程拨号的方式访问企业内联网而构筑的VPN,通常也叫做远程拨号VPN。VPN技术的这种应用代替了传统的直接拨入内联网的远程访问方式,这样可以大大降低远程访问的费用。
1.3 目前几种主要的VPN技术及其比较
目前已经投入实际当中使用的VPN技术包括IPSec VPN、SSL VPN、MPLS VPN。这三种VPN技术各有特色、各有所长。目前国外主要厂商对SSL VPN技术、MPLS VPN技术发展相对比较重视发展较快,但是目前应用最为广泛,技术最为成熟的仍然是IPSec VPN技术。
· IPSec协议是网络层协议, 是为保障IP通信而提供的一系列协议族。SSL是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。以标签交换是作为底层转发机制的MPLS(MultiProtocol Label Switching,多协议标记交换)VPN。
· IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、加密和认证方案。IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
· SSL用公钥加密通过SSL连接传输的数据来工作。SSL是一种高层安全协议,建立在应用层上。SSL VPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSL VPN传递用户层的认证。确保只有通过安全策略认证的用户可以访问指定的资源。
· MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。不论什么格式的数据均可以第三层的路由在网络的边缘实施,而在MPLS的网络核心采用第二层交换,因此可以用一句话概括MPLS的特点:“边缘路由,核心交换”。
2 IPSec的应用研究
2.1 IPSec的定义
IPSec(Internet Protocol Security)即Intenet安全协议,是IETF提供Internet安全通信的一系列规范,它提供私有信息通过公用网的安全保障。IPSec适用于目前的版本IPv4和下一代IPv6。IPSec规范相当复杂,规范中包含大量的文档。由于IPSec在TCP/IP协议的核心层——IP层实现,因此可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。IPSec 也是被下一代Internet 所采用的网络安全协议。IPSec协议是现在VPN开发中使用的最广泛的一种协议,它有可能在将来成为IPVPN的标准。
IPSec的基本目的是把密码学的安全机制引入 IP协议,通过使用现代密码学方法支持保密和认证服务,使用户能有选择地使用,并得到所期望的安全服务。IPSec是随着IPv6的制定而产生的,鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增加了对IPv4的支持。IPSec在IPv6中是必须支持的。
2.2 IPSec协议体系结构
IPSec将几种安全技术结合形成一个完整的安全体系,它包括安全协议部分和密钥协商部分。可用图1进行表示。
(1)安全关联和安全策略:安全关联(Security Association,SA)是构成IPSec的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。
(2)IPSec 协议的运行模式:IPSec协议的运行模式有两种,IPSec隧道模式及IPSec传输模式。隧道模式的特点是数据包最终目的地不是安全终点。通常情况下,只要IPSec双方有一方是安全网关或路由器,就必须使用隧道模式。传输模式下,IPSec 主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
(3)AH(Authentication Header,认证头)协议:设计AH认证协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务,但是AH不提供任何保密性服务。IPSec验证报头AH是个用于提供IP数据报完整性、身份认证和可选的抗重传攻击的机制,但是不提供数据机密性保护。 验证报头的认证算法有两种: 一种是基于对称加密算法(如DES),另一种是基于单向哈希算法(如MD5或SHA-1)。 验证报头的工作方式有传输模式和隧道模式。传输模式只对上层协议数据(传输层数据)和IP头中的固定字段提供认证保护,把AH插在IP报头的后面,主要适合于主机实现。隧道模式把需要保护的IP包封装在新的IP包中,作为新报文的载荷, 然后把AH插在新的IP报头的后面。隧道模式对整个IP数据报提供认证保护。
(4)ESP(Encapsulate Security Payload,封装安全载荷)协议:封装安全载荷(ESP)用于提高Internet协议(IP)协议的安全性。它可为IP提供机密性、数据源验证、抗重放以及数据完整性等安全服务。ESP属于IPSec的机密性服务。其中,数据机密性是ESP的基本功能,而数据源身份认证、数据完整性检验以及抗重传保护都是可选的。ESP主要支持IP数据包的机密性,它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。
(5)Internet 密钥交换协议(IKE):Internet密钥交换协议(IKE)是IPSec默认的安全密钥协商方法。IKE通过一系列报文交换为两个实体(如网络终端或网关)进行安全通信派生会话密钥。IKE建立在Internet安全关联和密钥管理协议(ISAKMP)定义的一个框架之上。IKE是IPSec目前正式确定的密钥交换协议,IKE为IPSec的AH和ESP协议提供密钥交换管理和SA管理,同时也为ISAKMP提供密钥管理和安全管理。IKE具有两种密钥管理协议(Oakley和SKEME安全密钥交换机制)的一部分功能,并综合了Oakley和SKEME的密钥交换方案,形成了自己独一无二的受鉴别保护的加密材料生成技术。
3 结束语
虽然IPSec协议目前应用比较广泛,性能比较稳定。但是IPSec协议是一个比较新的安全协议,而且非常复杂,作为一个还没有完全成熟的协议,IPSec 在理论上和实践上都有一些问题有待改进。其不足之处主要是由其复杂性和灵活性引起的,IPSec 包括了太多的选项,提供了过多可以变通的地方。相信随着IP技术的发展,IPSec协议会日臻完善!
由于本网页不支持图片与公式效果,如有需要请参阅杂志。
