翟正光

【摘要】隨著經(jīng)濟(jì)和網(wǎng)絡(luò)應(yīng)用的發(fā)展，越來越多的公司需要以一種安全，有效的方式與其分公司和客戶遠(yuǎn)程聯(lián)系，VPN技術(shù)由此產(chǎn)生。用IPSec協(xié)議實(shí)現(xiàn)VPN是目前較為廣泛的一種應(yīng)用。本文主要討論VPN技術(shù)的原理、簡(jiǎn)單應(yīng)用以及IPSec VPN的連接步驟。

【關(guān)鍵詞】IPSec;VPN;模式與類型;加解密;連接

1.VPN概述

1.1 遠(yuǎn)程訪問的挑戰(zhàn)

當(dāng)今，隨著網(wǎng)絡(luò)業(yè)務(wù)的迅速發(fā)展，企業(yè)必須擴(kuò)展其內(nèi)網(wǎng)應(yīng)用服務(wù)資源和數(shù)據(jù)資源的訪問領(lǐng)域，以滿足越來越多的遠(yuǎn)程接入需求，比如分支機(jī)構(gòu)接入、合作伙伴接入、客戶接入、出差員工接入、遠(yuǎn)程辦公接入等等。接入的網(wǎng)絡(luò)環(huán)境也越來越復(fù)雜，接入的場(chǎng)景更是千變?nèi)f化。如何在保證內(nèi)網(wǎng)安全的前提下，確保處于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境以及接入場(chǎng)景的合法用戶，能夠安全接入內(nèi)網(wǎng)，對(duì)現(xiàn)代企業(yè)網(wǎng)絡(luò)提出了新的挑戰(zhàn)。

1.2 VPN建設(shè)的關(guān)鍵點(diǎn)

在這種背景下，虛擬專用網(wǎng)VPN（Virtual Private Network）的搭建越來越普遍，在VPN的建設(shè)中，有以下幾點(diǎn)需要我們重點(diǎn)關(guān)注。

（1）可靠性

當(dāng)VPN作為外網(wǎng)到內(nèi)網(wǎng)受控資源的唯一訪問通道時(shí)，VPN隧道的可靠性決定了對(duì)外業(yè)務(wù)的可用性。當(dāng)VPN設(shè)備出現(xiàn)故障無法及時(shí)恢復(fù)運(yùn)行時(shí)，勢(shì)必導(dǎo)致外網(wǎng)遠(yuǎn)程用戶無法順利訪問并獲取到內(nèi)網(wǎng)的信息資源，造成業(yè)務(wù)中斷，可能給企業(yè)帶來重大的商業(yè)損失。

（2）安全性

在企業(yè)內(nèi)部資源對(duì)外開放的場(chǎng)景下，遠(yuǎn)程用戶的身份、用戶終端設(shè)備的不確定性、Internet數(shù)據(jù)傳輸、用戶訪問權(quán)限的不受限以及網(wǎng)絡(luò)攻擊等等都可能對(duì)內(nèi)部網(wǎng)絡(luò)、內(nèi)部信息造成極大的安全威脅。內(nèi)部資源對(duì)外開放的安全性問題，是企業(yè)在搭建VPN的過程需要重點(diǎn)保障的。

（3）兼容性

隨著智能終端的日益多樣化、普及化，用戶使用的終端類型越來越豐富。而移動(dòng)辦公的頻繁化，使得接入的地點(diǎn)和場(chǎng)景越來越復(fù)雜，用戶可能使用的終端并不是自有的，如何保證VPN遠(yuǎn)程接入不受限于終端類型以及終端系統(tǒng)的軟件環(huán)境，就要求VPN客戶端具備盡可能全面的兼容能力。

（4）易用性

隨著VPN應(yīng)用的日益普及，VPN的使用者也在呈幾何級(jí)的膨脹。這些使用者不僅是終端用戶，還包括了VPN設(shè)備的管理員。這些用戶和管理員的操作水平不一，復(fù)雜的配置可能對(duì)VPN業(yè)務(wù)的使用造成不小的障礙，并且影響工作效率。

2.VPN的模式與類型

2.1 VPN的連接模式

VPN技術(shù)有兩種基本的連接模式：隧道模式和傳輸模式，這兩種模式實(shí)際上定義了兩臺(tái)實(shí)體設(shè)備之間傳輸數(shù)據(jù)時(shí)所采用的不同的封裝過程。

（1）傳輸模式

傳輸模式一個(gè)最顯著的特點(diǎn)就是：在整個(gè)VPN的傳輸過程中，IP包頭并沒有被封裝進(jìn)去，這就意味著從源端到目的端數(shù)據(jù)始終使用原有的IP地址進(jìn)行通信。而傳輸?shù)膶?shí)際數(shù)據(jù)被封裝在VPN報(bào)文中。對(duì)于大多數(shù)VPN傳輸而言，VPN的報(bào)文封裝過程就是數(shù)據(jù)的加密過程，因此攻擊者截獲數(shù)據(jù)后將無法破解數(shù)據(jù)內(nèi)容，但卻可以清晰地知道通信雙方的地址信息。

（2）隧道模式

在該模式中，VPN設(shè)備將整個(gè)三層數(shù)據(jù)報(bào)文封裝在VPN數(shù)據(jù)內(nèi)，再為封裝后的數(shù)據(jù)報(bào)文添加新的IP包頭。由于在新IP包頭中封裝的是VPN設(shè)備的IP地址信息，所以當(dāng)攻擊者截取數(shù)據(jù)后，不但無法了解實(shí)際載荷數(shù)據(jù)的內(nèi)容，同時(shí)也無法知道實(shí)際通信雙方的地址信息。

由于隧道模式的VPN在安全性和靈活性方面具有很大的優(yōu)勢(shì)，在企業(yè)環(huán)境中應(yīng)用十分廣泛，總公司和分公司跨廣域網(wǎng)的通信，移動(dòng)用戶在公網(wǎng)訪問公司內(nèi)部資源等很多情況，都會(huì)應(yīng)用隧道模式的VPN對(duì)數(shù)據(jù)傳輸進(jìn)行加密。

2.2 VPN的類型

通常情況下，VPN的類型可以分為站點(diǎn)到站點(diǎn)VPN和遠(yuǎn)程訪問VPN。

（1）站點(diǎn)到站點(diǎn)VPN

站點(diǎn)到站點(diǎn)VPN就是通過隧道模式在VPN網(wǎng)關(guān)之間保護(hù)兩個(gè)或更多的站點(diǎn)之間的流量，站點(diǎn)間的流量通常是指局域網(wǎng)之間（L2L）的通信流量。L2L VPN多用于總公司與分公司、分公司之間在公網(wǎng)上傳輸重要業(yè)務(wù)數(shù)據(jù)。

（2）遠(yuǎn)程訪問VPN

遠(yuǎn)程訪問VPN通常用于單用戶設(shè)備與VPN網(wǎng)關(guān)之間的通信鏈接，單用戶設(shè)備一般為一臺(tái)PC或小型辦公網(wǎng)絡(luò)等。VPN連接的一端為PC，可能會(huì)讓很多人誤解遠(yuǎn)程訪問VPN使用傳輸模式，但因?yàn)樵摲NVPN往往也是從公網(wǎng)傳輸關(guān)鍵數(shù)據(jù)，而且單一用戶更容易成為黑客的攻擊對(duì)象，所以遠(yuǎn)程訪問VPN對(duì)于安全性的要求較高，更適用于隧道模式。

要想實(shí)現(xiàn)隧道模式的通信，就需要給遠(yuǎn)程客戶端分配兩個(gè)IP地址：一個(gè)是它自己的NIC地址，另一個(gè)是內(nèi)網(wǎng)地址。也就是說遠(yuǎn)程客戶端在VPN建立過程中同時(shí)充當(dāng)VPN網(wǎng)關(guān)（使用NIC地址）和終端用戶（使用內(nèi)網(wǎng)地址）。

3.VPN數(shù)據(jù)的加解密算法

在所有的加解密算法中，可以分為對(duì)稱式加密和非對(duì)稱式加密，以下是差異及優(yōu)缺點(diǎn)。

3.1 對(duì)稱加密算法

對(duì)稱加密算法使用同一密鑰對(duì)信息提供安全的保護(hù)。加密時(shí)首先將待加密的數(shù)據(jù)及密鑰提供給加密算法，這樣即可將信息加密，而加密后的內(nèi)容就變成了一堆無法被閱讀的數(shù)據(jù)，但是當(dāng)我們需要閱讀這些數(shù)據(jù)時(shí)，就必須將被加密后的數(shù)據(jù)及解密時(shí)所需要的密鑰提供給解密算法，這樣即可將被加密過的數(shù)據(jù)還原成我們可以直接閱讀的信息了。如果加密和解密使用的密鑰相同，就稱為對(duì)稱式加密。該方式最大的優(yōu)點(diǎn)是加解密速度快，缺點(diǎn)是保證密鑰安全傳遞不易。

3.2 非對(duì)稱加密算法

非對(duì)稱加密算法使用兩個(gè)不同的密鑰：公鑰和私鑰進(jìn)行加密和解密。用一個(gè)密鑰加密的數(shù)據(jù)僅能被另一個(gè)密鑰解密，且不能從一密鑰推導(dǎo)出另一個(gè)密鑰。假設(shè)接收方的公鑰和私鑰分別為A和B，客戶端傳輸?shù)拿魑臄?shù)據(jù)為D，VPN網(wǎng)關(guān)加密后的數(shù)據(jù)為C，而M與N分別分加密和解密函數(shù)。數(shù)據(jù)加密過程如下：

（1）通信雙方交換公鑰。

（2）發(fā)送方的VPN網(wǎng)關(guān)通過公鑰將明文數(shù)據(jù)D加密成為密文數(shù)據(jù)C。

（3）接收方VPN網(wǎng)關(guān)通過自己的私鑰解密數(shù)據(jù)，整個(gè)私鑰始終沒有在網(wǎng)絡(luò)中傳輸。

該算法的優(yōu)點(diǎn)在于安全性很高，缺點(diǎn)是計(jì)算過程復(fù)雜，占用CPU資源，運(yùn)算速度慢。

4.IPSec VPN連接

IPSec協(xié)議是一個(gè)標(biāo)準(zhǔn)的第三層安全協(xié)議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPSec的主要特征在于它可以對(duì)所有IP級(jí)的通信進(jìn)行加密。

在對(duì)等體之間建立IPSec VPN的連接需要三個(gè)步驟：

（1）流量觸發(fā)IPSec

一般來說，IPecS建立過程是由對(duì)等體之間發(fā)送的流量觸發(fā)。一旦有VPN流量經(jīng)過VPN網(wǎng)關(guān)，連接過程便開始建立了，當(dāng)然，手工配置也可以實(shí)現(xiàn)這一過程。在配置設(shè)備實(shí)現(xiàn)此步驟前，網(wǎng)絡(luò)工程師需要明確哪些流量需要被保護(hù)。

（2）建立管理連接

IPSec使用ISAKMP/IKE階段1來構(gòu)建一個(gè)安全的管理連接。這里需要注意的是，這個(gè)管理連接只是一個(gè)準(zhǔn)備工作，它不被用來傳輸實(shí)際的數(shù)據(jù)。在配置設(shè)備實(shí)現(xiàn)此步驟前，網(wǎng)絡(luò)工程師需要明確設(shè)備如何實(shí)現(xiàn)驗(yàn)證，使用何種加密及認(rèn)證算法，使用哪種DH組等問題。

（3）建立數(shù)據(jù)連接

IPSec基于安全的管理連接協(xié)商建立安全的數(shù)據(jù)連接，而ISAKMP/IKE階段2就是用來完成這個(gè)任務(wù)的，數(shù)據(jù)連接用于傳輸真正的用戶數(shù)據(jù)。在配置設(shè)備實(shí)現(xiàn)此步驟前，網(wǎng)絡(luò)工程師需要明確使用何種協(xié)議，針對(duì)具體的安全協(xié)議應(yīng)使用加密或驗(yàn)證算法，以及數(shù)據(jù)的傳輸模式（隧道模式或傳輸模式）等問題。

經(jīng)過IPSec建立的三步之后，VPN流量便可以按照協(xié)商的結(jié)果被加密解密了。但是VPN連接并不是一次性的，無論是管理連接還是數(shù)據(jù)連接都有一個(gè)生存周期與之關(guān)聯(lián)，一旦到期連接便會(huì)被中止，如果需要繼續(xù)傳輸VPN數(shù)據(jù)，連接需要重新被構(gòu)建，這種設(shè)計(jì)主要是出于安全性的考慮。

參考文獻(xiàn)

[1]譚浩強(qiáng).BENET網(wǎng)絡(luò)工程師認(rèn)證教程[Z].2009，11.

[2]袁津生，吳硯龍.計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M].北京：人民郵電出版社，2004，7.

[3]張雙，史浩山.VPN實(shí)現(xiàn)技術(shù)研究[J].計(jì)算機(jī)工程，2002 （08）.

[4]黃允聰.網(wǎng)絡(luò)安全基礎(chǔ)[M].北京：清華大學(xué)出版社，1999.