岳陽 伏海斌

（海軍計算技術(shù)研究所 100841）

VPN技術(shù)在安全接入中的應(yīng)用研究

岳陽 伏海斌

（海軍計算技術(shù)研究所 100841）

本文以遠程接入安全需求為牽引，通過對VPN接入技術(shù)的研究，提出了VPN安全接入實現(xiàn)框架。

VPN；安全接入；應(yīng)用區(qū)域；邊界

1 遠程接入安全需求

計算節(jié)點接入應(yīng)用區(qū)域面臨以下幾方面的安全威脅[1]。

1.1 數(shù)據(jù)傳輸過程的安全威脅

攻擊者截獲、讀取、破解通信線路中的信息；攻擊者利用通信干擾工具，故意導致通信數(shù)據(jù)錯誤；攻擊者利用通用安全協(xié)議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性。

1.2 計算節(jié)點的安全威脅

設(shè)備的遺失或被盜，設(shè)備的非授權(quán)使用，授權(quán)用戶不合理使用和惡意行為，來自專網(wǎng)的攻擊和入侵等。

1.3 接入網(wǎng)絡(luò)的安全威脅

攻擊者利用網(wǎng)絡(luò)協(xié)議的漏洞攻擊；利用網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計缺陷旁路安全策略，非授權(quán)訪問網(wǎng)絡(luò)；攻擊者利用分布式拒絕服務(wù)攻擊等拒絕服務(wù)攻擊工具，惡意消耗各類系統(tǒng)資源，導致拒絕服務(wù)；攻擊者利用偽造客戶端進入系統(tǒng)，進行非法訪問；攻擊者盜用授權(quán)會話連接等威脅。

安全接入保證計算節(jié)點安全可控地接入應(yīng)用區(qū)域。

2 VPN技術(shù)實現(xiàn)分析

在信息系統(tǒng)中可利用VPN在專用網(wǎng)絡(luò)上建立層疊網(wǎng)絡(luò)，常見的做法是在每個辦公節(jié)點建立一個網(wǎng)關(guān)，并且通過網(wǎng)絡(luò)在這些節(jié)點間建立隧道。充分利用VPN相關(guān)協(xié)議的安全特性來建立隧道，能夠?qū)⑷魏蝺蓚€節(jié)點之間的所有流量聚集到一個支持認證加密的安全關(guān)聯(lián)上，安全關(guān)聯(lián)是單向的，在兩個對等端存在兩個安全關(guān)聯(lián)，從而保證了完整性和保密性。VPN的優(yōu)勢在于擴展連接的地域范圍，促進沒有加密數(shù)據(jù)傳輸?shù)陌踩?，減少遠程用戶數(shù)據(jù)傳輸時間和傳輸費用，在一定范圍內(nèi)簡化網(wǎng)絡(luò)拓撲結(jié)構(gòu)，為網(wǎng)絡(luò)提供良好的伸縮性。

VPN的實現(xiàn)結(jié)構(gòu)有LAN到LAN、LAN到PC、PC到PC幾種。LAN代表局域網(wǎng)或局域網(wǎng)的網(wǎng)關(guān)，PC表示主機或終端。VPN可在TCP/IP協(xié)議族的鏈路層實現(xiàn)（如L2F、PPTP等安全協(xié)議），也可在網(wǎng)絡(luò)層（IPSec）、應(yīng)用層（SSL）實現(xiàn)，更多情況在網(wǎng)絡(luò)層實現(xiàn)。

2.1 基于PPTP/L2TP的VPN

點對點隧道協(xié)議PPTP[2]是微軟公司提出的。PPTP用IP包來封裝PPP協(xié)議。L2TP協(xié)議為使用PPP協(xié)議的客戶端建立撥號方式的虛擬專用網(wǎng)連接。L2TP也可用于傳輸多種協(xié)議數(shù)據(jù)。

優(yōu)點是支持多種網(wǎng)絡(luò)協(xié)議和流量控制，缺點是它們用IP幀在兩臺計算機間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶身份就不再需要。PPTP和L2TP限制同時最多只能連接255個用戶。端點用戶需要在連接前手工建立加密信道。認證和加密受到限制，沒有強加密和認證支持。

基于PPTP/L2TP的VPN適合用于LAN到PC的虛擬專用網(wǎng)。

2.2 基于IPSec的VPN

針對TCP/IP協(xié)議沒有充分考慮到安全問題而存在的嚴重安全漏洞。IPSec協(xié)議已成為支撐VPN的基礎(chǔ)協(xié)議之一，該協(xié)議為IP層傳輸提供多種安全服務(wù)。IPSec工作在網(wǎng)絡(luò)層，在參加IPSec的設(shè)備之間為數(shù)據(jù)的傳輸提供保護，主要是對數(shù)據(jù)的加密和數(shù)據(jù)收發(fā)方的身份認證。

IPSec協(xié)議[3]分為隧道模式和傳輸模式。在隧道模式下，ESP將整個IP分組封裝到ESP載荷中，AH將AH頭插入原IP分組和IP頭之前，并在AH頭之前插入新的IP頭。在傳輸模式下，ESP將上層協(xié)議部分封裝到ESP載荷中，AH將AH頭插入IP頭和路由擴展頭之后，上層協(xié)議（如TCP、UDP等）和端到端擴展頭之前。IPSec把數(shù)據(jù)包封裝在安全的IP幀中。

基于IPSec的VPN適合LAN到LAN的虛擬專用網(wǎng)。

2.3 基于SSL的VPN

SSL協(xié)議[4]是在Internet基礎(chǔ)上提供的一種保證私密性的安全協(xié)議，SSL協(xié)議的優(yōu)勢在于它是與應(yīng)用層協(xié)議獨立無關(guān)的。高層的應(yīng)用層協(xié)議（如HTTP、FTP、Telnet等）能透明地建立于SSL協(xié)議之上。SSL協(xié)議在應(yīng)用層協(xié)議通信之前就已完成安全等級、加密算法、通信密鑰的協(xié)商，以及執(zhí)行對連接端身份的驗證工作。在此之后，在SSL連接上的應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。SSL可以用于任何面向連接的安全通信，但通常用于安全Web應(yīng)用的HTTP協(xié)議。

可以將SSL VPN看作是建立在應(yīng)用層之上為Web定制的數(shù)據(jù)安全訪問技術(shù)。SSL VPN部署時只需在服務(wù)器端安裝SSL VPN網(wǎng)關(guān)，在客戶端只需支持SSL的瀏覽器就可。

3 VPN安全接入實現(xiàn)框架

VPN安全接入實現(xiàn)框架如圖1所示。接入網(wǎng)絡(luò)層是接入的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括接入設(shè)備和專用/公用網(wǎng)絡(luò)，該層具有多種接入方式包括局域網(wǎng)、無線局域網(wǎng)、衛(wèi)星等。虛擬網(wǎng)絡(luò)層通過安全協(xié)議棧實現(xiàn)接入控制、數(shù)據(jù)加密和完整性校驗，提供接入過程的安全性保證，建立連接應(yīng)用區(qū)域的虛擬網(wǎng)絡(luò)。

圖1 VPN安全接入實現(xiàn)框架

4 結(jié)束語

VPN由于能夠提供遠程網(wǎng)絡(luò)安全接入并能夠節(jié)約成本，已成為傳統(tǒng)接入方案的替代技術(shù)，成為應(yīng)用區(qū)域邊界安全的重要組成部分。VPN技術(shù)不適合在內(nèi)部應(yīng)用區(qū)域與外部應(yīng)用區(qū)域間使用，只適用于同一應(yīng)用區(qū)域內(nèi)部使用。

[1]Delivering Complete Network Protection Using Advanced Content Processing Technology，F(xiàn)ortinet White Paper，2002：5～6.

[2]Stallings，W.，Data and Computer Communications，6th Ed.，Prentice-Hall，2000：12～15.

[3]謝希任.計算機網(wǎng)絡(luò)（第 4 版）.電子工業(yè)出版社，2003：124～128.

[4]William Stallings，Network Security Essentials：Applications and Standards，Prentice-Hall，Inc.，2002：223～234.

TP393.1

A

1004-7344（2016）17-0250-01

2016-5-17