謝超然

（中國直升機設計研究所，江西景德鎮(zhèn) 333001）

0 引言

隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，互聯(lián)網(wǎng)被應用到不同領域，各個行業(yè)對網(wǎng)絡的依賴度越來越高，互聯(lián)網(wǎng)在很大程度上解決了各個行業(yè)遇到的很多問題，比如資源共用、通信、辦公等問題?；ヂ?lián)網(wǎng)也被應用到人們的日常生活中，極大地方便了人們的生產(chǎn)生活，使得以前不可能實現(xiàn)的事情成為可能。

隨著科技的不斷發(fā)展、企業(yè)規(guī)模的不斷擴張，防火墻的局限性得以凸顯，企業(yè)不僅僅需要硬件防火墻，還需要一個更符合企業(yè)要求的技術，這種技術就是VPN。VPN技術的出現(xiàn)在很大程度上解決了企業(yè)規(guī)模擴張帶來的網(wǎng)絡連接問題及安全問題。從實質(zhì)來講，VPN 是一個虛擬的網(wǎng)絡，服務提供商通過創(chuàng)建VPN 虛擬隧道實現(xiàn)自身私有數(shù)據(jù)的傳輸。由于VPN 租用的是網(wǎng)絡服務提供商的網(wǎng)絡，對企業(yè)內(nèi)部員工、出差員工及合作員工而言，大大減少了同撥號連接租用線路的費用。隨著企業(yè)的不斷發(fā)展壯大，企業(yè)會存在增設分公司等活動，企業(yè)的合作公司、資源供應商也會越來越多，對網(wǎng)絡通信的質(zhì)量要求也會越來越高。因此，VPN 技術在企業(yè)網(wǎng)絡中的應該越來越廣泛。VPN 技術在企業(yè)中的應用為企業(yè)與各分公司、合作公司、供應商提供了安全交流的通道，保障企業(yè)本身的資源得到合理訪問，有利于企業(yè)不同局域網(wǎng)間進行安全通信。VPN技術通過創(chuàng)建安全隧道，使數(shù)據(jù)安全傳輸，隧道是連接兩個網(wǎng)絡通道、傳輸數(shù)據(jù)的技術?；ヂ?lián)網(wǎng)技術的廣泛應用，在提升網(wǎng)絡開放性的同時，也對網(wǎng)絡安全造成了很大的威脅。因此，VPN 為解決此類問題被廣泛應用，各類企業(yè)網(wǎng)絡也應用VPN 解決網(wǎng)絡通信安全的問題。

1 VPN 的概念

在公共網(wǎng)絡上建立專用網(wǎng)絡的技術稱為虛擬專用網(wǎng)絡（Virtual Private Network，簡稱VPN）技術。既可以叫虛擬網(wǎng)，也可以叫專用網(wǎng)。在整個VPN 網(wǎng)絡中的任意兩個節(jié)點之間并沒有用到傳統(tǒng)專用網(wǎng)絡需要的端到端的物理鏈路的連接，而是應用公共網(wǎng)絡服務提供商所提供的網(wǎng)絡平臺，以實現(xiàn)用戶數(shù)據(jù)在邏輯鏈路中的安全傳輸，包括共享網(wǎng)絡或公共網(wǎng)絡的封裝、專用網(wǎng)絡數(shù)據(jù)加密和身份驗證。VPN 其實本身屬于遠程訪問技術，簡單來講就是利用公網(wǎng)的鏈路創(chuàng)建自身需要的私有網(wǎng)絡。比如，公司員工到外地出差，但是他想訪問公司內(nèi)部資源，這種訪問其實就是遠程訪問，出差員工訪問內(nèi)部資源就是通過VPN技術實現(xiàn)的。在公司內(nèi)部連接外網(wǎng)的路由器上配置VPN，出差員工電腦配置VPN 客戶端，配置相應的密鑰，以此實現(xiàn)訪問企業(yè)內(nèi)部資源的目的。

2 VPN 的特點

（1）安全保障。VPN 創(chuàng)建了一個虛擬隧道，對要傳輸?shù)臄?shù)據(jù)通過加密算法進行加密處理，保證數(shù)據(jù)傳輸?shù)陌踩院退接行?；?）服務質(zhì)量保證。應用VPN 技術為需要實現(xiàn)不同程度數(shù)據(jù)傳輸安全的用戶提供安全服務；（3）可擴充、靈活性。應用VPN 技術支持內(nèi)部、外部及擴展等任何類型的數(shù)據(jù)流；（4）可管理性。VPN 為用戶資源、數(shù)據(jù)傳輸?shù)墓芾硖峁┘夹g支持。

3 VPN 實現(xiàn)技術

3.1 IPSec 協(xié)議

IPSec 協(xié)議工作在網(wǎng)絡層，為IP 層網(wǎng)絡提供安全服務，為網(wǎng)絡選擇需要的安全協(xié)議、加密算法、Hash 散列算法、密鑰管理策略、密鑰。IPSec 是用來保護一條或多條終端設備與終端設備、終端設備與服務器、網(wǎng)關與網(wǎng)關以及局域網(wǎng)與局域網(wǎng)間的安全通信。IPSec 協(xié)議不僅僅是一個協(xié)議，還是一個協(xié)議組。IPSec 協(xié)議組包括多個內(nèi)容，其中有對雙方密鑰管理的密鑰管理協(xié)議—ISAKMP。ISAKMP 安全協(xié)商密鑰管理協(xié)議為網(wǎng)絡的密鑰提供了相應的管理。其實ISAKMP 本身不能建立會話密鑰，而是通過各種會話密鑰建立協(xié)議，共同使用會話密鑰，比如密鑰確定協(xié)議Qakley,為網(wǎng)絡密鑰管理的實現(xiàn)做出了相應的支持[1]。IPSec 接收端的網(wǎng)絡設備根據(jù)接收端的SA 對使用IPSec 加密的傳輸數(shù)據(jù)利用自身的密鑰進行解密并接收，這樣就實現(xiàn)了傳輸數(shù)據(jù)的私有性和完整性。

3.2 加密映射訪問列表

加密映射ACL 用來定義被加密保護和不被加密保護的網(wǎng)絡層IP 通信。加密映射ACL 可以保護兩個不同局域網(wǎng)之間的相互通信，也可以保護兩臺終端設備之間的遠程通信。加密映射ACL 不是自身指定到IPSec 協(xié)議中的，而是通過加密映射條目引用實現(xiàn)的，定義IPSec 進程是否應該應用到匹配ACL 中permit（允許）條目的通信，加密ACL 通過設置VPN 感興趣流實現(xiàn)。

3.3 變換集

交換集(Transform Set）是一個安全協(xié)議和算法的組合，一個交換集代表一個特定的安全協(xié)議和算法組合。在IPSec SA 協(xié)商過程中，雙方同意使用一個特定的變換集保護一個特定的數(shù)據(jù)流。在網(wǎng)絡配置過程中，可以指定多個變換集，然后在一個加密映射條目中指定一個或多個變換集。在加密映射條目中定義的變換集用于IPSec SA協(xié)商，以保護由加密映射條目關聯(lián)的ACL 所指定的數(shù)據(jù)流，在IPSec 與IKE 協(xié)商過程中，peer 查找同時在兩個peer 端存在的一個變換集。找到并選擇一個這樣的變換集后，作為雙方peer IPSec SA 的一部分應用到被保護的通信上[2]。如果是手動建立的SA，則沒有peer 間的協(xié)商，兩端必須指定相同的變換集。

3.4 加密映射集

創(chuàng)建加密映射集是在已定義了一個變換集以后進行的，在創(chuàng)建的加密映射集中，應當有通信對等端外端口地址的合法聲明，定義前一步驟聲明的變換集應該應用到加密映射集中，還要與相應配置的VPN 虛擬隧道關聯(lián)起來，實現(xiàn)外端口的相關通信。在外端口映射加密映射集時，最多只允許映射一個加密映射集，所以當出現(xiàn)配置點到點的多條IPSec 時，需要在路由器上配置多條加密映射集條目實現(xiàn)多條IPSec 關聯(lián)，多個加密映射集需要多條加密映射集條目實現(xiàn)，不同的加密映射集序號可以解決此類問題。不同的加密映射序號應該屬于同一個加密映射集，外端口的映射直接映射到加密映射集上，而不是直接映射到加密映射的各個序號上。加密映射集可分為靜態(tài)加密映射集和動態(tài)加密映射集兩種，靜態(tài)加密映射集和動態(tài)加密映射集的配置理論上差距不大，但實際的配置區(qū)別較大，動態(tài)加密映射表需要由Dynamic 標識修飾，并且動態(tài)映射集通常應用于那些IP 不固定的雙方通信，當SA 更新時，也會使用動態(tài)映射集。

3.5 密鑰交換策略

密鑰交換策略是一個與IPSec 協(xié)議相互工作的密鑰管理協(xié)議標準，密鑰交換策略用于協(xié)商IPSec 安全關聯(lián)（Security Associations，簡稱SA），在配置密鑰交換策略時，需要建立ISAKMP 和密鑰交換策略密鑰。兩個需要相互通信的雙方需要配置相同的密鑰、加密算法及Hash 算法，只有通信雙方配置相同時，信息才能在VPN 虛擬隧道中通信并到達對方，而不至于因為密碼不匹配，導致信息無法讀取，而將信息丟棄，使雙方不能夠通信，造成通信失敗。

3.6 網(wǎng)絡地址轉(zhuǎn)換

網(wǎng)絡地址轉(zhuǎn)換是用來轉(zhuǎn)換IP 地址的，網(wǎng)絡地址轉(zhuǎn)換可以分為3 類，包括動態(tài)NAT、靜態(tài)NAT、復用PAT，VPN 中應用的網(wǎng)絡地址轉(zhuǎn)換主要是PAT。網(wǎng)絡地址轉(zhuǎn)換主要是實現(xiàn)各個通信雙方所有內(nèi)網(wǎng)地址可以訪問公網(wǎng)所有端口。網(wǎng)絡地址轉(zhuǎn)換通常與加密ACL 結(jié)合使用，網(wǎng)絡地址轉(zhuǎn)換通常用Permit 關鍵詞實現(xiàn)通信雙方內(nèi)部主機訪問外網(wǎng)及所有公網(wǎng)端口的功能。在配置VPN 時，當網(wǎng)絡地址轉(zhuǎn)換使用Any 時，就會出現(xiàn)各種問題，通信的數(shù)據(jù)流會被傳輸?shù)焦W(wǎng)，而需要到達私網(wǎng)的通信為不可達。因此，需要一定措施使其可以訪問私網(wǎng)，網(wǎng)絡地址轉(zhuǎn)換就需要使用另外一個關鍵詞Deny。先使用Deny 限制需要通信的私網(wǎng)雙方，指定訪問私網(wǎng)，用Permit 關鍵詞允許其他內(nèi)部主機訪問外網(wǎng)及公網(wǎng)[3]。

4 VPN 安全通信的方式

4.1 訪問權限控制

訪問控制是對資源的訪問進行一定的控制，使其只能流經(jīng)網(wǎng)絡的授權主機及不同局域網(wǎng)主機，也是對資源使用的限制。配置VPN 時，應用訪問控制列表與地址轉(zhuǎn)換結(jié)合的方式實現(xiàn)資源的合理訪問。訪問控制通過Permit 關鍵詞或者是Deny 關鍵詞，對訪問資源的主機進行控制，從而實現(xiàn)雙方通信安全。VPN 的配置中使用訪問控制定義VPN 的感興趣流，在路由器上限制出站或入站數(shù)據(jù)，通過Permit 關鍵詞實現(xiàn)，不允許通過的數(shù)據(jù)流則將其數(shù)據(jù)包丟棄，從而實現(xiàn)通信雙方的安全通信。

4.2 數(shù)據(jù)加密

數(shù)據(jù)加密是網(wǎng)絡中傳輸?shù)臄?shù)據(jù)通過易位、置換等各種方法改變其表現(xiàn)形式實現(xiàn)通信。通過加密的數(shù)據(jù)在網(wǎng)絡中進行傳輸，沒有權限的用戶是不可以看到改變形式后的數(shù)據(jù)。通常將改變形式的數(shù)據(jù)寫成密文，將發(fā)送端的原來數(shù)據(jù)寫成明文，能改變數(shù)據(jù)傳輸形式的方法稱為加密及解密算法。在VPN 配置中，當通信雙方密鑰配置相同時，數(shù)據(jù)在VPN 虛擬隧道中是以密文的形式傳輸?shù)?，當加密?shù)據(jù)到達通信的另一方時，應用自身配置的密鑰了解加密數(shù)據(jù)[4]。當數(shù)據(jù)的解密密鑰與本身的密鑰不匹配時，通信的另一方路由器會將數(shù)據(jù)包丟棄，從而保障數(shù)據(jù)的安全，防止惡意數(shù)據(jù)流對網(wǎng)絡的破壞，達到防黑客攻擊的目的。如果密鑰匹配，則接受此數(shù)據(jù)流，實現(xiàn)雙方安全通信[5-6]。

4.3 IPSec 協(xié)議的使用

在VPN 的應用過程中，點到點的安全通信一般使用IPSec 協(xié)議進行配置。IPSec 協(xié)議是一個安全協(xié)議，IPSec協(xié)議不是單獨一個協(xié)議，包括了好多基于第三層網(wǎng)絡層之間的協(xié)議，主要有網(wǎng)絡認證協(xié)議（Authentication Header，簡稱AH）、封裝安全載荷協(xié)議（Encapsulating Security Payload，簡稱ESP）、密鑰管理協(xié)議（Internet Key Exchange，簡稱IKE）和一些用于網(wǎng)絡認證及加密的算法[7]。

IPSec 協(xié)議中的AH 為網(wǎng)絡層的通信提供了發(fā)送方數(shù)據(jù)真實性的認證、數(shù)據(jù)完整性的認證以及反重放。AH 保護通信內(nèi)容不被篡改，可以防止多種類型的主動攻擊，但是不能防止被動攻擊，即竊聽。AH 是在每一個需要傳輸?shù)臄?shù)據(jù)包上添加了一個身份驗證報頭，報頭包含一個帶有密鑰的Hash 散列，使其當作數(shù)字簽名，不使用數(shù)字證書，報頭中帶密鑰的Hash 散列在整個數(shù)據(jù)包可以計算。因此，對傳輸數(shù)據(jù)做任何改變都無法改變Hash 散列，不會使Hash 散列無效，正因如此才能保護網(wǎng)絡數(shù)據(jù)傳輸?shù)耐暾?。由于AH 在保護網(wǎng)絡安全方面不能防止被動攻擊—竊聽，在IPSec 協(xié)議中，AH 協(xié)議一般都需要和ESP 一起使用。ESP 為網(wǎng)絡層的通信提供了發(fā)送方數(shù)據(jù)的完整性檢查、發(fā)送方身份的認證、是否為發(fā)送方發(fā)的消息等，對需要發(fā)送的數(shù)據(jù)進行加密并保證發(fā)送的數(shù)據(jù)不被篡改，ESP 完整性檢查和認證過程如果只使用加密，網(wǎng)絡入侵者就會偽造報文充當發(fā)送方的報文，從而實現(xiàn)篡改報文的行為。

5 結(jié)語

VPN 是網(wǎng)絡技術中非常重要的一種技術。隨著各企業(yè)的不斷發(fā)展壯大，公司的合作伙伴、客戶逐漸增多，公司的發(fā)展也越來越國際化，VPN 技術的應用顯得尤為重要。不僅成為為企業(yè)發(fā)展主要的網(wǎng)絡類型，還能為企業(yè)節(jié)約運營成本，為企業(yè)信息交流提供便捷和保障。