湯偉

摘 要：本文介紹了IPSec vpn使用的技術(shù)及協(xié)議，講述了企業(yè)利用IPSec 部署VPN的形式和方法。

關(guān)鍵詞：VPN；隧道技術(shù)；加密技術(shù)；IPSec

隨著信息化技術(shù)的發(fā)展，信息技術(shù)也應(yīng)用到企業(yè)生產(chǎn)活動的各個方面。越來越多的信息系統(tǒng)開始上線運行，如ERP，LES系統(tǒng)，MRO系統(tǒng)，辦公自動化系統(tǒng)等。不光是企業(yè)內(nèi)部員工，出差員工、眾多分支企業(yè)及合作伙伴也需要訪問上述系統(tǒng)。這些應(yīng)用需求都要求有一種網(wǎng)絡(luò)技術(shù)能夠?qū)崿F(xiàn)遠程接入到企業(yè)內(nèi)網(wǎng)。這種網(wǎng)絡(luò)技術(shù)不但要保證網(wǎng)絡(luò)的聯(lián)通性，還要保證數(shù)據(jù)傳輸過程中的安全性，和解決方案的經(jīng)濟性。

傳統(tǒng)租用線路或通道的方式使用費用高、鏈路速率低、開通過程繁瑣；近年來出現(xiàn)的IPSEC VPN（虛擬專用網(wǎng)）技術(shù)提供了一種更好的解決方案。它只需要用戶開通Internet就能夠?qū)崿F(xiàn)與總部的連接，并通過多種安全技術(shù)，如身份認證、隧道技術(shù)、加密技術(shù)等保證數(shù)據(jù)傳輸?shù)陌踩?。由于VPN的開通與電信運營商無關(guān)，VPN的開通和撤銷都由企業(yè)用戶自己控制，使用也比較靈活。

1.vpn中的關(guān)鍵技術(shù)

vpn關(guān)鍵技術(shù)包括：隧道技術(shù)，身份認證技術(shù)，和數(shù)據(jù)加密技術(shù)。

隧道技術(shù)：為了使企業(yè)網(wǎng)內(nèi)一個局域網(wǎng)的數(shù)據(jù)透明的穿過公用網(wǎng)到達另一個局域網(wǎng)，虛擬專用網(wǎng)采用一種稱之為隧道的技術(shù)。隧道技術(shù)（Tunneling Technology）在計算機網(wǎng)絡(luò)和數(shù)據(jù)通信領(lǐng)域有著十分重要的作用。它是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。利用它可在一條廣域網(wǎng)鏈路上，從數(shù)據(jù)源到目的節(jié)點之間建立一條隧道。使用隧道傳遞的數(shù)據(jù)（或負載）可以是不同協(xié)議的數(shù)據(jù)幀或包。

隧道技術(shù)包含了數(shù)據(jù)封裝、傳輸和解包在內(nèi)的全過程。如果將加密技術(shù)引人隧道協(xié)議，即數(shù)據(jù)包經(jīng)過加密后按隧道協(xié)議進行封裝，沿隧道傳輸，就可以確保其安全性，從而在一條不安全的共享鏈路上建立一條能確保數(shù)據(jù)安全的有效通道，達到延伸網(wǎng)絡(luò)的目的。

身份認證技術(shù)： 用戶認證技術(shù)（User Authentication Technology）是指在隧道連接正式開始之前確認用戶的身份，以便系統(tǒng)進一步實施資源訪問控制或用戶授權(quán)（Authorization）。認證協(xié)議一般都要采用一種稱為摘要的技術(shù)。摘要技術(shù)主要是采用HASH函數(shù)將一段長度可變的長報文通過函數(shù)變換，映射為一段長度固定的段報文即摘要。由于HASH函數(shù)的特性，使得要找到兩個不同的報文具有相同的摘要是非常困難的。該特性使得摘要技術(shù)在VPN中有兩個用途：

驗證數(shù)據(jù)的完整性。

用戶認證。

常用的HASH函數(shù)有MD5，SHA-1等。在IPSec VPN中缺省的認證算法HMAC-MD5和HAC-SHAI。

數(shù)據(jù)加密技術(shù)：當(dāng)數(shù)據(jù)包傳遞時，數(shù)據(jù)加密技術(shù)用來隱藏數(shù)據(jù)包。如果數(shù)據(jù)包通過不安全的Internet ，那么即使一級建立了用戶認證，VPN也不完全是安全的。因為如果沒有加密的話，普通的嗅探技術(shù)也能捕獲數(shù)據(jù)包，甚至更改信息流。所以在隧道的發(fā)送端，認證用戶要先加密，再傳送數(shù)據(jù)：在接收端，認證用戶后再解密。同時，大多數(shù)的隧道協(xié)議沒有指出使用那種加密和認證技術(shù)，這使得在加密 和認證技術(shù)上存在著許多不同的算法。

在IPSec VPN中可選算法包括3DES（Triple-DES），RCS，IDEA，CAST，BLOWFISH，RC4，RSA和橢圓曲線算法等，缺省的加密算法是DES-CBC。

2.IPSec的協(xié)議組成

IPSec安全體系結(jié)構(gòu)把多種安全技術(shù)集合到一起，可以建立一個安全、可靠的隧道。IPSec由IETF的IPSec工作組制訂，是一個開放性的標(biāo)準(zhǔn)框架。

IPSec為保障IP數(shù)據(jù)包的安全，定義了一個特殊的方法，它規(guī)定了要保護什么通道、如何保護它以及通信數(shù)據(jù)發(fā)給任何人。IPSec可保障主機之間、網(wǎng)絡(luò)安全網(wǎng)關(guān)（如路由器或防火墻）之間或主機與安全網(wǎng)關(guān)之間的數(shù)據(jù)包的安全。

IPSec 協(xié)議主要由三個部分組成：驗證包頭協(xié)議AH（Authentication Header）、封裝安全載荷協(xié)議ESP（Encapsulating Security Payload），Internet 密鑰交換協(xié)議IKE（Interne Key Exchange）。

AH

設(shè)計認證頭（AH）協(xié)議的目的是用來增加IP數(shù)據(jù)報的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重放保護服務(wù)，然而，AH不提供任何保密性服務(wù)，它不加密所保護的數(shù)據(jù)包。AH的作用是為IP數(shù)據(jù)流提供高強度的數(shù)碼認證，以確保被修改的數(shù)據(jù)包可以被檢查出來。AH使用消息認證碼（MAC）對IP進行認證。

AH的工作機制如下：利用單向的信息摘要算法，對整個IP分組或上層協(xié)議計算一個摘要并作為該IP分組的一部分一起轉(zhuǎn)發(fā)出去，在分組的接收端，重新計算摘要并與原摘要進行比較，如果分組在傳輸過程中被修改過，則會由于摘要不一致而被丟棄，從而實現(xiàn)數(shù)據(jù)源鑒別和數(shù)據(jù)的完整性保護。 AH頭的位置依賴于AH 的操作模式。AH有兩種操作模式：傳輸模式和隧道模式。

ESP

封裝安全載荷ESP（Encapsulating Security Payload）是一種IPSec協(xié)議，用于確保IP數(shù)據(jù)包的機密性、數(shù)據(jù)的完整性以及數(shù)據(jù)源的身份驗證。此外，它也要負責(zé)對重播攻擊的抵抗。RFC2406定義了最新版本的ESP，而RFC1827還定義了一個早期版本的ESP。該版本的ESP沒有提供對數(shù)據(jù)完整性的支持，IPSec工作組現(xiàn)已明確不再推薦對它提供支持。

ESP可以在隧道模式和傳輸模式兩種模式下運行。在隧道模式下，ESP對整個IP數(shù)據(jù)包進行封裝和加密，隱蔽了源和目的IP地址，從外部看不到數(shù)據(jù)包的路由過程；在傳輸模式下，ESP只對IP有效數(shù)據(jù)載荷進行封裝和加密，IP源和目的IP地址不加密傳送，安全程度相對隧道模式較低。傳輸模式下，ESP頭插在IP頭和上層協(xié)議頭（如TCP或UDP頭）之間；隧道模式下，要對整個IP包封裝，ESP頭位于內(nèi)外IP頭之間。

Internet 密鑰交換

IPSec默認的自動密鑰管理協(xié)議是IKE（Internet 密鑰交換）。IKE是Oakley（由亞利桑那大學(xué)的一名安全專家Hilarie Orman 開發(fā)的一種密鑰交換協(xié)議）和SKEME（由加密專家Hugo Krawczyk涉及的密鑰交換協(xié)議）協(xié)議的一種混合，并在由ISAKMP規(guī)定的框架內(nèi)運行。

Intenet密鑰交換（IKE）用于動態(tài)建立SA。IKE代表IPSec對SA進行協(xié)商，并對安全關(guān)聯(lián)庫SAD進行填充。ISAKMP提供了Internet密鑰管理框架，并為專用協(xié)議提供支持，包括格式、安全屬性的協(xié)商。

IKE 使用了兩個階段的ISAKMP。在第一階段，通信各方彼此建立一個已通過身份驗證和安全保護的通道，即建立IKE安全聯(lián)盟。在第二階段，利用這個既定的安全聯(lián)盟，為IPSec協(xié)商具體的安全聯(lián)盟。

3.IPSec VPN在企業(yè)的應(yīng)用

企業(yè)網(wǎng)絡(luò)可以用IPsec 建立兩種形式的vpn，為不同的用戶提供接入服務(wù)。一種是點對點vpn，為分支機構(gòu)，合作伙伴提供網(wǎng)絡(luò)接入；一種是客戶端vpn，為個人提供網(wǎng)絡(luò)接入。

3.1 點對點VPN

點對點vpn主要是采用設(shè)備對聯(lián)的方式，在企業(yè)網(wǎng)絡(luò)邊緣部署ipsec vpn的集中設(shè)備，作為與分支機構(gòu)網(wǎng)絡(luò)互聯(lián)的核心；在各分支機構(gòu)使用防火墻或?qū)ｉT的vpn設(shè)備與企業(yè)核心設(shè)備互聯(lián)。網(wǎng)絡(luò)結(jié)構(gòu)使用星形結(jié)構(gòu)。連接拓撲圖如圖1。

企業(yè)內(nèi)部設(shè)備與分支機構(gòu)做互聯(lián)時，正常情況下，雙方設(shè)備都配置公網(wǎng)地址，兩端設(shè)備都使用公網(wǎng)地址協(xié)商隧道。此種情況下雙方都可以向?qū)Ψ桨l(fā)起協(xié)商請求，建立連接。協(xié)商過程如圖2 所示。

由于外網(wǎng)接入的環(huán)境不同，部分分支機構(gòu)使用撥號方式連接到Internet ，外網(wǎng)出口設(shè)備使用動態(tài)IP地址，或分支機構(gòu)出口設(shè)備存在NAT的情況，此時只能由分支機構(gòu)端發(fā)起連接，建立隧道。協(xié)商過程如圖3所示。

點對點模式下遠端設(shè)備與中心設(shè)備建立VPN隧道后，遠端設(shè)備相當(dāng)于企業(yè)內(nèi)網(wǎng)的一個節(jié)點，故遠端設(shè)備的內(nèi)網(wǎng)均使用與企業(yè)內(nèi)網(wǎng)的私網(wǎng)網(wǎng)段；為了保證地址劃分的統(tǒng)一、規(guī)范，邏輯拓撲合理，所有點對點VPN連接的對端地址均由總部統(tǒng)一指定。在保證帶寬的前提下，IPSec VPN能夠滿足日常的訪問需求。

3.2 客戶端 VPN應(yīng)用

客戶端 VPN主要為個人網(wǎng)絡(luò)接入提供服務(wù)，是ipsec vpn的一種應(yīng)用形式?？蛻艨梢园惭b客戶端軟件，或者直接使用操作系統(tǒng)自帶的vpn接入客戶端?？蛻舳税惭b完成后，個人用戶只要在具備訪問Internet的網(wǎng)絡(luò)環(huán)境下，就可以通過撥號認證的方式接入到企業(yè)內(nèi)網(wǎng)。與點對點VPN不同的是，遠端對等體不是專用的VPN設(shè)備，而是裝有專門客戶端軟件的終端設(shè)備，如計算機、智能手機、平板電腦等。拓撲圖如圖4所示。

個人使用客戶端vpn時，由于網(wǎng)絡(luò)環(huán)境的不確定性，為了保證用戶的正常接入，在企業(yè)端設(shè)備上應(yīng)開放vpn客戶端連接時的NAT穿越功能。

由于客戶端vpn采用用戶認證的方式，為了保證網(wǎng)絡(luò)安全，可以與第三方的認證平臺結(jié)合，采用認令牌，USB KEY等更安全的認證方式。同時還可以通過第三方認證平臺對用戶的登錄信息進行審計，保證用戶信息的安全性。

4 結(jié)論

隨著網(wǎng)絡(luò)設(shè)備廠家的支持，IPsec vpn已經(jīng)成為安全設(shè)備一種標(biāo)準(zhǔn)配置。IPsec vpn 也成為遠程接入企業(yè)網(wǎng)絡(luò)方便快捷的接入方式，為企業(yè)提供了極大的方便。隨著技術(shù)的發(fā)展近年來，SSL vpn 成為了新的企業(yè)網(wǎng)個人網(wǎng)絡(luò)接入方式。