摘要：該文簡(jiǎn)單介紹一些與網(wǎng)絡(luò)安全方面相關(guān)的基礎(chǔ)知識(shí)。首先是VPN的概念，接著分析了IPSec VPN與SSL VPN的原理，最后對(duì)二者的優(yōu)缺點(diǎn)進(jìn)行比較。

關(guān)鍵詞：虛擬專用網(wǎng)；IPSec；IPSec VPN；安全套接層；SSL VPN

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2009)04-0825-03

A Comparative Analysis of IPSec VPN and SSL VPN

LIU Yang

(Jiangnan Institute of Computing Technology， Wuxi 214083， China)

Abstract: Basic knowledge about network security are introduced in this paper. First is the concept about VPN，then the principle of IPSec VPN and SSL VPN are analysed， the advantages and disadvantages between them are compared at last.

Key words:VPN;IPSec;IPSec VPN;SSL;SSL VPN

1 引言

在制定目前因特網(wǎng)上使用的網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)時(shí)，設(shè)計(jì)者們把“端到端的透明性”作為互聯(lián)網(wǎng)體系架構(gòu)的核心設(shè)計(jì)理念，將互聯(lián)網(wǎng)上通信相關(guān)的部分（IP網(wǎng)絡(luò)）與高層應(yīng)用（端實(shí)體）分離，這種做法在大大簡(jiǎn)化網(wǎng)絡(luò)設(shè)計(jì)的同時(shí)，也帶來了很多缺陷。例如與報(bào)文安全相關(guān)的服務(wù)，如可靠傳輸、集中控制和安全認(rèn)證，都發(fā)生在進(jìn)行通信的端實(shí)體上，可能造成很多數(shù)據(jù)安全隱患，比如偽造虛假源地址、信息竊聽、信息篡改等。

2 VPN簡(jiǎn)介

虛擬專用網(wǎng)（Virtual Private Network，VPN）是一種在公共互聯(lián)網(wǎng)上建立私有安全通道來保障可靠傳輸?shù)募夹g(shù)。其本質(zhì)是一種網(wǎng)絡(luò)互聯(lián)型業(yè)務(wù)，通過共享的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)滿足企業(yè)互聯(lián)需求，在共享使用網(wǎng)絡(luò)資源時(shí)保證用戶網(wǎng)絡(luò)具有專網(wǎng)一樣的安全性、可靠性、可管理性。

通常VPN的應(yīng)用分為三類：實(shí)現(xiàn)企業(yè)各部門與遠(yuǎn)程分支之間的Intranet VPN；實(shí)現(xiàn)企業(yè)網(wǎng)與遠(yuǎn)程（移動(dòng)）雇員之間遠(yuǎn)程訪問的Remote Access VPN；實(shí)現(xiàn)企業(yè)與合作伙伴、客戶、供應(yīng)商之間安全通信的Extranet VPN。

Access VPN通過一個(gè)擁有與專用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施，提供對(duì)企業(yè)內(nèi)部的遠(yuǎn)程訪問。Access VPN能使遠(yuǎn)程用戶通過公共網(wǎng)絡(luò)安全地訪問企業(yè)內(nèi)部的資源。

Intranet VPN是建立在企業(yè)遠(yuǎn)程分支機(jī)構(gòu)的LAN和企業(yè)總部LAN之間的VPN。通過Internet這一公共網(wǎng)絡(luò)將企業(yè)在各地分支機(jī)構(gòu)的LAN連到企業(yè)總部的LAN，以便企業(yè)內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來的高額費(fèi)用。

Extranet VPN是建立在供應(yīng)商、商業(yè)合作伙伴的LAN和企業(yè)的LAN之間的VPN。Extranet VPN將客戶、供應(yīng)商、合作伙伴等連接到企業(yè)內(nèi)部網(wǎng)，外部網(wǎng)的連接可以使用與部署內(nèi)部網(wǎng)和遠(yuǎn)端訪問VPN相同的架構(gòu)和協(xié)議進(jìn)行部署。Extranet VPN能夠?qū)ν獠烤W(wǎng)對(duì)企業(yè)內(nèi)部資源的訪問權(quán)限進(jìn)行部署和管理，可以根據(jù)訪問者的身份、網(wǎng)絡(luò)地址等信息來授予相應(yīng)的訪問權(quán)限。

VPN涉及到的關(guān)鍵技術(shù)有隧道技術(shù)、密碼技術(shù)、身份認(rèn)證技術(shù)等。

隧道技術(shù)是構(gòu)建VPN的最關(guān)鍵技術(shù)，也是區(qū)分各種VPN的主要依據(jù)。安全隧道技術(shù)主要通過數(shù)據(jù)封裝技術(shù)，在公網(wǎng)上建立一條虛擬的數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過隧道進(jìn)行傳輸。通過隧道封裝后，在公網(wǎng)上傳輸過程中，只有VPN端口或者網(wǎng)關(guān)的IP地址暴露在外邊，從而能夠隱藏秘密信息，并解決了專網(wǎng)與公網(wǎng)的兼容問題。VPN采用隧道技術(shù)向用戶提供了無縫的、端到端的連接，以確保信息資源的安全。

生成隧道的協(xié)議包括二層隧道協(xié)議（PPTP、L2TP等）和三層隧道協(xié)議IPSec以及四層隧道協(xié)議SSL。VPN常見的實(shí)現(xiàn)有IPSec VPN，SSL VPN，MPLS VPN等，目前網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用最廣泛的是IPSec VPN和SSL VPN。

3 IPSec協(xié)議與IPSec VPN

在TCP/IP分層模型中，IP層是實(shí)現(xiàn)端到端安全通信的最底層，IPSec協(xié)議是定義在IP層的網(wǎng)絡(luò)安全協(xié)議，它是IETF（互聯(lián)網(wǎng)工程任務(wù)組）的IPSec工作組制訂的一個(gè)開放的標(biāo)準(zhǔn)框架，現(xiàn)在和將來的任何密碼學(xué)算法都可用于該體系結(jié)構(gòu)。IPSec利用密碼技術(shù)，通過認(rèn)證、完整性檢查、加密來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性?/p>

IPSec定義了兩種安全封裝協(xié)議，驗(yàn)證頭協(xié)議（AH）和封裝安全載荷協(xié)議（ESP）。前者不提供加密服務(wù)，只提供信息源認(rèn)證、有限抗重播和信息完整性保證；后者提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)源認(rèn)證、抗重播及數(shù)據(jù)完整性等服務(wù)。兩個(gè)IPSec實(shí)體在通信前，必須通過IKE（Internet密鑰交換協(xié)議）協(xié)商SA（安全關(guān)聯(lián)），協(xié)商過程中進(jìn)行了基于公鑰密碼體制的身份認(rèn)證。IPSec協(xié)議結(jié)構(gòu)如圖1所示。

IPSec協(xié)議可以設(shè)置成兩種模式下運(yùn)行，一種是隧道模式，另一種是傳輸模式。在隧道模式下，IPSec把IP v4數(shù)據(jù)包封裝在安全的IP幀中；在傳輸模式下，信息封裝是為了保護(hù)端到端的安全性，這種模式不會(huì)隱藏路由信息。

IPSec VPN是網(wǎng)絡(luò)層的VPN技術(shù)，具有應(yīng)用無關(guān)性。一旦加密隧道建立之后，可以實(shí)現(xiàn)各種類型的連接。IPSec VPN的客戶端支持所有基于IP層的協(xié)議，對(duì)應(yīng)用層協(xié)議完全透明，最適合可信的LAN與LAN之間的虛擬專用網(wǎng)。但是隨著它的應(yīng)用越來越廣泛，其缺點(diǎn)也很明顯。IPSec VPN配置部署復(fù)雜，需要專門的客戶端軟件，而且不同提供商之間的設(shè)備很難完全兼容。維護(hù)需要專業(yè)的IT人員。

網(wǎng)絡(luò)適應(yīng)性不佳，由于是網(wǎng)絡(luò)層的協(xié)議，對(duì)于防火墻等訪問控制設(shè)備不透明，對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和應(yīng)用代理（Proxy）等穿透性差。應(yīng)用層安全性不好，最多能提供IP地址和傳輸層端口這種粒度的訪問控制，對(duì)應(yīng)用層協(xié)議的細(xì)粒度訪問控制無能為力，更談不上入侵檢測(cè)與防御、防病毒等深層次的安全功能。

4 SSL協(xié)議與SSL VPN

4.1 SSL協(xié)議簡(jiǎn)介

SSL協(xié)議最初是網(wǎng)景公司提出的一種基于WEB應(yīng)用的安全協(xié)議，它的后繼TLS（Transport Layer Security）協(xié)議是IETF初步標(biāo)準(zhǔn)。TLS的目的是確定SSL的Internet標(biāo)準(zhǔn)，TLS與SSL v3非常相似，僅在幾個(gè)細(xì)節(jié)上有差別。

SSL協(xié)議指定了一種在應(yīng)用程序協(xié)議（如Http、Telnet、SMTP及FTP等）和TCP/IP協(xié)議之間提供數(shù)據(jù)安全性的機(jī)制，為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性驗(yàn)證和可選的客戶端認(rèn)證。通常SSL主要使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性，主要適用于點(diǎn)對(duì)點(diǎn)之間的信息傳輸。

SSL協(xié)議由兩層協(xié)議組成：底層是SSL記錄層協(xié)議，處于某些可靠傳輸協(xié)議之上，對(duì)更高層的協(xié)議數(shù)據(jù)進(jìn)行分段、加密、校驗(yàn)、封裝、傳輸?shù)炔僮?；上層是SSL握手協(xié)議，它被記錄層協(xié)議封裝，允許服務(wù)端和客戶端在應(yīng)用程序收發(fā)數(shù)據(jù)之前，相互鑒別身份和協(xié)商加密算法和密鑰；上層協(xié)議還包括SSL警告協(xié)議和SSL修改密文規(guī)約協(xié)議等。SSL協(xié)議在協(xié)議棧中的位置如圖2所示。

4.2 SSL記錄層協(xié)議

用于傳輸SSL握手層的控制數(shù)據(jù)以及基于SSL通道傳輸?shù)膽?yīng)用數(shù)據(jù)。上層數(shù)據(jù)被分割成若干數(shù)據(jù)塊，還可以對(duì)原始數(shù)據(jù)進(jìn)行壓縮，并產(chǎn)生一個(gè)消息認(rèn)證代碼(MAC)，然后將結(jié)果加密并傳輸。接收方接收數(shù)據(jù)并對(duì)其解密，校驗(yàn)MAC，解壓并重新組合，把結(jié)果提供給相應(yīng)的應(yīng)用程序協(xié)議。發(fā)送方數(shù)據(jù)在記錄層處理過程如圖3。

4.3 SSL握手協(xié)議

在SSL協(xié)議傳送任何應(yīng)用協(xié)議之前，都需要握手協(xié)議來協(xié)商安全參數(shù)。握手報(bào)文有三個(gè)字段，第一個(gè)字節(jié)指示報(bào)文的類型，接下來的三個(gè)字節(jié)指示以字節(jié)為單位的報(bào)文長(zhǎng)度，后來緊接著報(bào)文的內(nèi)容。

SSL握手協(xié)議有三個(gè)目的，第一是客戶端與服務(wù)器就一組用于保護(hù)數(shù)據(jù)的算法達(dá)成一致；第二是它們需要確立一組由那些算法所使用的加密密鑰；第三，握手還可以選擇對(duì)客戶端進(jìn)行認(rèn)證。握手過程如圖4所示。

1) 初始化邏輯連接，客戶方先發(fā)出ClientHello消息，服務(wù)器方也應(yīng)返回一個(gè)ServerHello消息，這兩個(gè)消息用來協(xié)商雙方的安全能力，包括協(xié)議版本、隨機(jī)參數(shù)、會(huì)話ID、交換密鑰算法、對(duì)稱加密算法和壓縮算法等。

2) 服務(wù)器方應(yīng)發(fā)送服務(wù)器證書(包含了服務(wù)器的公鑰等)和會(huì)話密鑰，如果服務(wù)器要求驗(yàn)證客戶方，則要發(fā)送CertificateRequest消息。最后服務(wù)器方發(fā)送ServerHelloDone消息，表示hello階段結(jié)束，服務(wù)器等待客戶方的響應(yīng)。

3) 如果服務(wù)器要求驗(yàn)證客戶方，則客戶方先發(fā)送Certificate消息，然后產(chǎn)生會(huì)話密鑰，并用服務(wù)器的公鑰加密，封裝在ClientKeyExchange消息中，如果客戶方發(fā)送了自己的證書，則再發(fā)送一個(gè)數(shù)字簽名CertificateVerify來對(duì)證書進(jìn)行校驗(yàn)。

4) 客戶方發(fā)送一個(gè)ChangeCipherSpec消息，通知服務(wù)器以后發(fā)送的消息將采用先前協(xié)商好的安全參數(shù)加密，最后再發(fā)送一個(gè)加密后的Finished消息。服務(wù)器在收到上述兩個(gè)消息后，也發(fā)送自己的ChangeCipherSpec消息和Finished消息。

至此，握手全部完成，雙方可以開始傳輸應(yīng)用數(shù)據(jù)。

4.4 SSL VPN

SSL VPN是基于SSL協(xié)議結(jié)合強(qiáng)加密算法和身份認(rèn)證技術(shù)，建立遠(yuǎn)程安全訪問通道的VPN技術(shù)。近年來隨著Web的普及和電子商務(wù)、遠(yuǎn)程辦公的興起而發(fā)展迅速。

SSL VPN通過SSL協(xié)議實(shí)現(xiàn)的“瞬時(shí)隧道技術(shù)”來構(gòu)造。它基于SSL 會(huì)話（Session），通信雙方一旦建立，VPN即搭建完成；雙方會(huì)話結(jié)束時(shí)VPN隧道隨之拆除。SSL VPN通常只對(duì)通信雙方所進(jìn)行的應(yīng)用通道進(jìn)行加密，而不是對(duì)一個(gè)主機(jī)到另一個(gè)主機(jī)的整個(gè)通道進(jìn)行加密，適用于點(diǎn)對(duì)點(diǎn)的信息傳輸。

5 SSL VPN與IPSec VPN比較

從以下四個(gè)方面對(duì)SSL VPN與IPSec VPN進(jìn)行比較。

1) 客戶端軟件需求方面

IPSec需要專門的客戶端工具，SSL VPN無需額外的客戶端工具。

SSL VPN通過標(biāo)準(zhǔn)網(wǎng)絡(luò)瀏覽器，用戶可以訪問幾類應(yīng)用和資源。包括基于HTTP和HTTPS的應(yīng)用和內(nèi)部網(wǎng)，以及文件和文件系統(tǒng)，支持FTP和Windows網(wǎng)絡(luò)文件共享。目前大多數(shù)的操作系統(tǒng)，都可以支持標(biāo)準(zhǔn)的瀏覽器，因此SSL VPN的可移植性很好。

為了將SSL VPN的支持?jǐn)U展到這些資源之外，需要?jiǎng)討B(tài)下載小巧的適配器（adaptor）和封裝器（encapsulator）軟件到用戶設(shè)備上。適配器可以通過ActiveX組件或Java小程序提供，可以擴(kuò)展支持流行的C/S應(yīng)用，如Microsoft Outlook和Lotus Notes、終端服務(wù)等。可以動(dòng)態(tài)下載到用戶設(shè)備的封裝軟件能夠?qū)⒂脩艉途W(wǎng)關(guān)之間交換的所有業(yè)務(wù)封裝到SSL隧道中。需要說明的是，用戶需要基本的管理權(quán)限（如啟用ActiveX或Java Applet的權(quán)限）才能使用這些訪問模式。

2) 與防火墻的兼容性

SSL VPN與防火墻兼容性好。SSL VPN對(duì)網(wǎng)絡(luò)設(shè)備透明，由于是在傳輸層之上進(jìn)行安全處理，不存在穿越NAT等防火墻的問題，管理員只需開通防火墻的443端口即可滿足SSL VPN的訪問要求。IPSec VPN網(wǎng)絡(luò)適應(yīng)性不佳，由于IPSec協(xié)議是網(wǎng)絡(luò)層的協(xié)議，對(duì)于防火墻等訪問控制設(shè)備不透明，對(duì)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和應(yīng)用代理（Proxy）等穿透性差。

3) 訪問控制

SSL VPN能進(jìn)行細(xì)粒度的訪問控制，IPSec VPN僅能進(jìn)行網(wǎng)絡(luò)層的基于IP地址的包過濾。使用IPSec VPN時(shí)，如果允許用戶訪問，則用戶可以訪問所有的網(wǎng)絡(luò)資源。對(duì)于SSL VPN，網(wǎng)絡(luò)資源被作為對(duì)象，而用戶的訪問權(quán)限也是基于對(duì)象的，用戶只能訪問經(jīng)過明確授權(quán)的資源。訪問權(quán)限是自下而上的（逐個(gè)添加資源），而不是自上而下設(shè)置的（開放所有，然后逐個(gè)排除）。細(xì)粒度的訪問控制可以通過SSL VPN網(wǎng)關(guān)集中進(jìn)行。

4) 應(yīng)用層的安全性

在應(yīng)用層建立的通道可以防止病毒、蠕蟲等經(jīng)由網(wǎng)絡(luò)層傳輸?shù)耐{。另外，由于SSL VPN還可以起到代理服務(wù)器的作用，所有客戶端訪問都是由SSL VPN網(wǎng)關(guān)轉(zhuǎn)發(fā)，而不能直接訪問應(yīng)用服務(wù)器，從而使服務(wù)器不易受到病毒、黑客等攻擊，減少安全威脅。

6 結(jié)束語(yǔ)

通過比較分析，可以看出SSL VPN與IPSec VPN相比具有部署簡(jiǎn)單、使用靈活、維護(hù)成本低、對(duì)網(wǎng)絡(luò)設(shè)備透明、應(yīng)用安全性高的優(yōu)點(diǎn)。SSL VPN能夠保障應(yīng)用系統(tǒng)的安全，并適應(yīng)移動(dòng)辦公用戶和其他遠(yuǎn)程終端隨時(shí)隨地的靈活接入，因此眾多的安全設(shè)備廠商都在研究和推出相關(guān)的SSL VPN產(chǎn)品。

但SSL VPN與IPSec VPN相比，在數(shù)據(jù)傳輸效率上有差距。IPSec VPN在源地址和目的地址只需握手一次，便能進(jìn)行大數(shù)據(jù)量傳輸，適合端到端的連接；而SSL VPN在應(yīng)用程序每次連接都要握手，開銷大，在連接數(shù)很大的情況下，需要SSL VPN網(wǎng)關(guān)有較強(qiáng)的握手能力。

參考文獻(xiàn)：

[1] STINSON DR.密碼學(xué)原理與實(shí)踐[M].馮登國(guó)，譯.北京:電子工業(yè)出版社，2003.

[2] Andrew Harding.SSLVirtual Private Networks[J].Computers and Security.2003，22(5):416-420.

[3] RESCORLA E.SSL and TLS:Designing and Building Secure Systcms[M].1st edition．Addison-Wesley Professional，2000.

[4] VIEGA J，MtXSIER M，P CHANDRA．Netmak Security with OpenSSL[M].1st edition.O'Rdlly Media，Inc.，2002.

[5] Carlton R.Davis.IPSec VPN的安全實(shí)施[M].周永斌，譯.北京:清華大學(xué)出版社，2002.