基于IPsec的VPN技術(shù)應(yīng)用與研究

李長春

（滁州職業(yè)技術(shù)學(xué)院，安徽滁州 239000）

隨著經(jīng)濟(jì)的全球化，企業(yè)的規(guī)模不斷擴(kuò)大，分支機(jī)構(gòu)、商業(yè)伙伴、外出員工隨時(shí)隨地都要和企業(yè)進(jìn)行數(shù)據(jù)的傳輸，這就需要某種技術(shù)機(jī)制來保證在網(wǎng)絡(luò)中傳輸數(shù)據(jù)的安全性.在傳統(tǒng)的網(wǎng)絡(luò)建設(shè)方案中，可以通過自己建設(shè)一個(gè)專用網(wǎng)絡(luò)或租用一條專線，實(shí)現(xiàn)處于不同區(qū)域位置的機(jī)構(gòu)、員工通信.前者操作起來幾乎是不可行的，后者需要支付比較昂貴的專線租金.在這種的背景下，可以采用基于IP的VPN技術(shù)，在公用通信網(wǎng)上建立隧道的方式虛擬出專線來解決這個(gè)問題.

1 VPN技術(shù)概述

1.1 VPN 的概念

VPN（Virtual Private Network）又稱虛擬專用網(wǎng)，其實(shí)就是通過一個(gè)公用網(wǎng)絡(luò)（Internet）使用一系列安全技術(shù)建立一個(gè)臨時(shí)且安全的專用網(wǎng)絡(luò)，它是可以穿過混亂公用網(wǎng)絡(luò)的一條隧道，其具有一定安全性和穩(wěn)定性.可以在不可信任的公共網(wǎng)絡(luò)上使分布在不同地方的專用網(wǎng)絡(luò)進(jìn)行安全的通信，在遠(yuǎn)程公司和客戶之間，供應(yīng)商及合作伙伴同公司的內(nèi)部之間，建立一條信任可靠的安全通道，使傳輸中的數(shù)據(jù)得到更好的安全保護(hù)［1］.

1.2 VPN技術(shù)的優(yōu)勢

在網(wǎng)絡(luò)的組建中VPN技術(shù)展現(xiàn)出了其低成本性、組網(wǎng)靈活性、可擴(kuò)展性的優(yōu)勢，相信未來VPN技術(shù)將會得到較多用戶的重視和廣泛應(yīng)用.VPN技術(shù)與其他網(wǎng)絡(luò)技術(shù)相比有著無可擬比的優(yōu)勢:

（1）用戶可以通過ISP提供的公用網(wǎng)絡(luò)建立VPN網(wǎng)絡(luò)，這樣可以節(jié)省一定的通信費(fèi)用降低使用成本.另外，對于VPN網(wǎng)絡(luò)的相關(guān)設(shè)備維護(hù)全部由ISP完成.

（2）用戶可以在目前具有IPsec功能的防火墻設(shè)備基礎(chǔ)上建立VPN，在軟硬件不受影響前提下，最大限度的保護(hù)了前期設(shè)備投資.如要擴(kuò)展其VPN的服務(wù)范圍，只需要和ISP協(xié)商簽訂協(xié)議，用戶無需進(jìn)行其他任何操作.

（3）用戶雖然利用ISP的網(wǎng)絡(luò)設(shè)備和技術(shù)服務(wù)組建使用VPN網(wǎng)絡(luò)，但是用戶可以自己完全掌握和控制，對網(wǎng)絡(luò)的安全性、訪問權(quán)、網(wǎng)絡(luò)地址配置等都能夠有效方便的管理.

1.3 VPN的安全技術(shù)

目前VPN安全技術(shù)主要采用隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)［2］.VPN技術(shù)主要是利用隧道封裝技術(shù)以及用戶身份認(rèn)證、數(shù)據(jù)信息加密等技術(shù)在通信終端實(shí)體的雙方建立鏈路，具有與專用網(wǎng)絡(luò)同樣的安全性和可管理性，以保證用戶的安全通信服務(wù).其中實(shí)現(xiàn)VPN功能的核心技術(shù)是隧道技術(shù).

（1）隧道技術(shù).隧道技術(shù)是通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的一種方式.隧道協(xié)議分為二層隧道協(xié)議和三層隧道協(xié)議.二層隧道協(xié)議對數(shù)據(jù)封裝在數(shù)據(jù)鏈路層完成（如:PPTP、L2TP、L2F），主要用來對遠(yuǎn)程用戶提供撥號接入的服務(wù).三層隧道協(xié)議對數(shù)據(jù)封裝在網(wǎng)絡(luò)層完成（如:GRE、IPsec），主要用于VPN的用戶在Internet上構(gòu)建一個(gè)對等的虛擬專網(wǎng)絡(luò).

二層隧道協(xié)議僅僅保證在隧道終端實(shí)體進(jìn)行認(rèn)證和加密，而對在隧道傳輸過程中每個(gè)數(shù)據(jù)報(bào)文未能進(jìn)行認(rèn)證.其無法抵御插入、拒絕服務(wù)和地址欺騙等攻擊行為［3］，因此不能完全保證通信過程的安全.IPSec是可以在隧道的外面進(jìn)行加密封裝，有效地保證了隧道在傳輸過程中的安全性.IP-sec是把幾種安全技術(shù)融合在一起形成了比較完整的安全體系，更加有效地在IP層提供安全保障.

（2）加解密技術(shù).在VPN隧道上傳輸?shù)臄?shù)據(jù)是經(jīng)過加密處理的，在數(shù)據(jù)發(fā)送前發(fā)送者對數(shù)據(jù)加密，接收者在數(shù)據(jù)到達(dá)時(shí)對數(shù)據(jù)進(jìn)行解密.加密技術(shù)可以增強(qiáng)信息系統(tǒng)及數(shù)據(jù)的完整性、私有性和保密性，有效防止數(shù)據(jù)被第三方截獲和破析［4］.

（3）密鑰管理技術(shù).由于在IPsec中所使用的密碼算法都是眾所周知的公開算法，實(shí)現(xiàn)信息的安全就不能完全依靠密碼算法，這要求通信終端實(shí)體密鑰生成時(shí)具有安全性和機(jī)密性.對于密鑰的產(chǎn)生、分發(fā)、存儲、使用、銷毀的管理過程，IPsec要求使用自動密鑰管理協(xié)議.IPsec定義的密鑰交換協(xié)議是IKE，IKE具有一套自身的安全機(jī)制，可以在非安全的網(wǎng)絡(luò)中確保密鑰安全的分發(fā).

IKE是基于ISAKMP框架上的使用OAKLEY和ISAKMP的“混合型”協(xié)議［1］.IKE協(xié)議通過Diffie－Hellman算法進(jìn)行一系列信息的交換，為通信雙方計(jì)算出共享密鑰，密鑰不需要在網(wǎng)絡(luò)上傳送而泄露.由于IPSec是基于通信端實(shí)體或操作系統(tǒng)內(nèi)核IP層的實(shí)現(xiàn)，因此IPSec的密鑰管理協(xié)議還需要進(jìn)一步完善.

（4）用戶身份認(rèn)證技術(shù).在隧道連接時(shí)需要通過對用戶的身份進(jìn)行認(rèn)證，便于系統(tǒng)對資源訪問控制和用戶授權(quán)的實(shí)施.如遠(yuǎn)程訪問需要對用戶身份進(jìn)行認(rèn)證，當(dāng)撥號用戶要求建立會話時(shí)，就要鑒定用戶的身份，確定用戶是否合法以及能夠使用哪些資源.常見的有基于用戶名/口令認(rèn)證、卡片式認(rèn)證、基于PKI的認(rèn)證等認(rèn)證方式.

2 基于IPSec協(xié)議的VPN實(shí)現(xiàn)

2.1 IPSec安全體系結(jié)構(gòu)

由于IPv4協(xié)議開始設(shè)計(jì)的問題，缺乏相應(yīng)的安全性.IETF在開發(fā)IPv6時(shí)研究制定了一套用于保護(hù)IP數(shù)據(jù)包通信的IP安全協(xié)議（IPsec），是IPv6協(xié)議的一個(gè)組成部分，也是IPv4的可選的擴(kuò)展協(xié)議.IPsec提供較強(qiáng)的互操作性能力，具有完善的基于密碼學(xué)的安全功能.在通信終端實(shí)體間的IP層通過加密與數(shù)據(jù)源驗(yàn)證等方式，來保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性、可靠性和防重放?］.

IPsec不是單一的協(xié)議而是由一系列協(xié)議組成.IPSec體系結(jié)構(gòu)包括認(rèn)證頭AH協(xié)議和封裝安全載荷ESP協(xié)議，安全關(guān)聯(lián) SA，Internet密鑰交換協(xié)議及驗(yàn)證算法和加密算法等［2］.IPSec協(xié)議族的體系結(jié)構(gòu)、組件及各組件間的相互關(guān)系如圖1所示.

圖1 IPsec安全體系結(jié)構(gòu)

2.2 IPSec的操作模式

IPSec協(xié)議有傳輸模式和隧道模式兩種操作.傳輸模式主要用于端到端的通信保護(hù)，對數(shù)據(jù)的操作都由終端實(shí)體完成.隧道模式主要用于站點(diǎn)到站點(diǎn)間數(shù)據(jù)的保護(hù)，對數(shù)據(jù)的操作都由安全網(wǎng)關(guān)完成.傳送模式主要是對上層協(xié)議保護(hù)，隧道模式主要是對整個(gè)IP數(shù)據(jù)報(bào)保護(hù)［6］.

2.3 基于IPsec構(gòu)建VPN解決方案

由于虛擬的方式、虛擬的網(wǎng)絡(luò)層次不同，有著多種不同構(gòu)建VPN的解決方案.基于IPsec的VPN解決方案是在IP層實(shí)現(xiàn)，能夠更好的適應(yīng)通信介質(zhì)的多樣性，具備極好的安全協(xié)議性能等優(yōu)勢.IPsec在網(wǎng)絡(luò)層實(shí)現(xiàn)了安全保護(hù)，對于高層的應(yīng)用是完全透明的，安全服務(wù)完全獨(dú)立于應(yīng)用程序，無需修改操作系統(tǒng)中原有的軟件就能實(shí)現(xiàn)IPsec提供的安全服務(wù).

VPN實(shí)體可以在網(wǎng)絡(luò)中不同位置具有IPsec功能的網(wǎng)絡(luò)設(shè)備（如防火墻、路由器、主機(jī)）上實(shí)現(xiàn).IPsec基于主機(jī)的實(shí)施可以實(shí)現(xiàn)端到端的安全服務(wù);基于IPsec功能的路由器構(gòu)建VPN實(shí)現(xiàn)網(wǎng)關(guān)間安全服務(wù);將這兩種解決方案有效地融合可以實(shí)現(xiàn)漫游接入（road warrior）的安全，為移動辦公員工訪問公司資源時(shí)提供安全服務(wù)［1］.

在實(shí)際應(yīng)用中可能需要對受保護(hù)網(wǎng)絡(luò)內(nèi)部的某個(gè)子網(wǎng)進(jìn)一步提供保護(hù)，可應(yīng)用基于IPsec的嵌套式隧道的解決方案，提供多級的網(wǎng)絡(luò)安全保護(hù).需要提供多級保護(hù)的一般是指單位一些關(guān)鍵部門（財(cái)務(wù)處），未經(jīng)授權(quán)的員工是不能進(jìn)入的.假設(shè)某公司員工外地出差，每天需要將當(dāng)天的業(yè)務(wù)報(bào)表提交給公司財(cái)務(wù)處.財(cái)務(wù)處為公司的關(guān)鍵部門，出差員工提交的報(bào)表在到達(dá)公司VPN網(wǎng)關(guān)后，報(bào)表將會以明文的形式在公司內(nèi)部網(wǎng)絡(luò)傳輸，就可能被公司內(nèi)部網(wǎng)絡(luò)（如人事部、市場部）的人員竊取到，即將造成報(bào)表信息的泄漏或者內(nèi)容惡意的篡改.采用基于IPsec協(xié)議的嵌套式隧道可以解決這個(gè)問題.利用IPsec協(xié)議，遠(yuǎn)程員工首先建立一個(gè)安全隧道到公司VPN網(wǎng)關(guān)，在這個(gè)隧道內(nèi)部再建一個(gè)安全隧道到達(dá)公司財(cái)務(wù)處VPN網(wǎng)關(guān)，如圖2所示.

圖2 嵌套式隧道

數(shù)據(jù)包處理過程:

公司VPN網(wǎng)關(guān)和財(cái)務(wù)處VPN網(wǎng)關(guān)是出差員工將數(shù)據(jù)包發(fā)給財(cái)務(wù)處的必經(jīng)之路，數(shù)據(jù)包經(jīng)過時(shí)兩個(gè)網(wǎng)關(guān)上的IPsec都進(jìn)行了相關(guān)的處理，一層一層的對數(shù)據(jù)進(jìn)行解封裝，數(shù)據(jù)最終到達(dá)目的地，如圖3所示.而從財(cái)務(wù)處返回給出差員工的數(shù)據(jù)將一層一層的封裝.首先財(cái)務(wù)處的原始數(shù)據(jù)包在本地策略庫中找到一個(gè)安全策略數(shù)據(jù)庫與之匹配.查找相應(yīng)的IPsec SA，將數(shù)據(jù)包進(jìn)行財(cái)務(wù)處VPN網(wǎng)關(guān)的封裝.再匹配另外一個(gè)安全策略數(shù)據(jù)庫，再查找相應(yīng)的IPsec SA，將數(shù)據(jù)包進(jìn)行公司VPN網(wǎng)關(guān)的封裝［1］.此時(shí)IPsec數(shù)據(jù)包就可以在互聯(lián)網(wǎng)傳輸，在這樣兩條隧道的共同作用，對數(shù)據(jù)實(shí)現(xiàn)的多級的、靈活的安全保護(hù).

圖3 數(shù)據(jù)解封裝

3 基于IPSec的VPN網(wǎng)關(guān)系統(tǒng)性能分析

3.1 實(shí)驗(yàn)?zāi)M環(huán)境搭建

通過實(shí)驗(yàn)室的模擬環(huán)境對VPN網(wǎng)關(guān)性能進(jìn)行測試分析，實(shí)驗(yàn)?zāi)M搭建環(huán)境如圖4所示.在具有IPsec功能的RTA和RTB之間采用IKE方式建立 IPsec SA，對Network A和Network B間的交換數(shù)據(jù)進(jìn)行安全保護(hù).一臺PC機(jī)連接在交換機(jī)上（交換機(jī)上配置端口鏡像），安裝wireshark抓包程序?qū)etwork A和Network B間所截獲的數(shù)據(jù)進(jìn)行分析.Network A中配置FTP服務(wù)器，服務(wù)器上放置一個(gè)內(nèi)容為“IPsec VPN”的文本文件.

根據(jù)實(shí)驗(yàn)測試環(huán)境要求，VPN網(wǎng)關(guān)間采用隧道方式并實(shí)施ESP協(xié)議，ESP協(xié)議中加密算法采用DES，認(rèn)證算法采用SHA1.在IKE的提議中確定IKE交換過程的安全保護(hù)級別，設(shè)置共享密鑰.RTA和RTB分別充當(dāng)Network A的VPN網(wǎng)關(guān)和Network B的VPN網(wǎng)關(guān).在VPN網(wǎng)關(guān)上應(yīng)用安全策略時(shí)，安全策略內(nèi)容雙方必須完全一致，這樣雙方才能夠進(jìn)行正常通信［7］.

圖4 網(wǎng)關(guān)性能測試實(shí)驗(yàn)環(huán)境

3.2 安全性測試

VPN網(wǎng)絡(luò)的出現(xiàn)主要是為了解決網(wǎng)絡(luò)的安全性問題，對VPN網(wǎng)關(guān)的安全性進(jìn)行測試是必須的.實(shí)驗(yàn)初期路由器只做路由的配置實(shí)現(xiàn)全網(wǎng)連通，不加載IPSec功能，路由器只是起到一個(gè)普通的網(wǎng)關(guān)作用.Network B中的客戶機(jī)從Network A中FTP服務(wù)器上下載文本文件，安裝wireshark軟件的PC機(jī)對從FTP上下載的數(shù)據(jù)進(jìn)行截獲.被截獲的FTP數(shù)據(jù)內(nèi)容是明文形式顯示，清晰的看到通信終端的IP地址和協(xié)議信息，實(shí)驗(yàn)結(jié)果如圖5所示.通過實(shí)驗(yàn)表明當(dāng)前的網(wǎng)絡(luò)是一個(gè)沒有安全性的網(wǎng)絡(luò).

圖5 ESP封裝前數(shù)據(jù)

實(shí)驗(yàn)的第二步，在路由器上加載IPSec功能，同樣安裝wireshark軟件的PC機(jī)截獲數(shù)據(jù)包，此時(shí)文件內(nèi)容顯示為ESP協(xié)議封裝數(shù)據(jù).實(shí)驗(yàn)中采用ESP協(xié)議，通信端雙方的IP地址被加密算法加密.在對截獲到的數(shù)據(jù)包進(jìn)行分析后，只能看到兩個(gè)VPN安全網(wǎng)關(guān)的IP地址通信信息，如圖6所示.實(shí)驗(yàn)結(jié)果表明在VPN網(wǎng)關(guān)間的網(wǎng)絡(luò)通信是能夠得到安全保護(hù)的.

圖6 ESP封裝后數(shù)據(jù)

3.3 數(shù)據(jù)處理性能測試

我們在實(shí)驗(yàn)中采用了Ping命令對網(wǎng)關(guān)進(jìn)行數(shù)據(jù)處理性能測試.Ping命令用于測試兩節(jié)點(diǎn)間連通性的驗(yàn)證，是基于ICMP的應(yīng)用程序.Ping命令利用Echo Request（回顯請求）報(bào)文發(fā)給目的主機(jī)探測其可達(dá)性，源主機(jī)等待返回Echo Reply（回顯應(yīng)答）來判斷目的主機(jī)是否可達(dá)［6］.

實(shí)驗(yàn)中我們在Network A PC機(jī)和Network B客戶機(jī)間發(fā)送多個(gè)大小不同報(bào)文，通過分別計(jì)算出不同數(shù)據(jù)包傳輸?shù)钠骄鶗r(shí)間，比較分析VPN網(wǎng)關(guān)和普通網(wǎng)關(guān)包處理的性能.

具體實(shí)驗(yàn)數(shù)據(jù)如表1所示，通過實(shí)驗(yàn)結(jié)果看出VPN網(wǎng)關(guān)對數(shù)據(jù)的處理速度明顯要慢些.由于采用隧道模式，在處理過程中對數(shù)據(jù)進(jìn)行了加解密及驗(yàn)證操作，增加了VPN安全網(wǎng)關(guān)的處理負(fù)載，處理數(shù)據(jù)的延遲將變大一點(diǎn).在實(shí)際應(yīng)用中可以采用專門的硬件來進(jìn)行加密和解密，來提高安全網(wǎng)關(guān)系統(tǒng)對IPSec處理的能力［7］.

表1 實(shí)驗(yàn)數(shù)據(jù)

4 結(jié)束語

隨著互聯(lián)網(wǎng)不斷發(fā)展，基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用越來越多，網(wǎng)絡(luò)的安全性問題也隨之而來.運(yùn)用VPN技術(shù)可以在不安全的公用通信網(wǎng)絡(luò)基礎(chǔ)上建立安全的通道，保護(hù)數(shù)據(jù)信息通信的安全.VPN應(yīng)用在近幾年也得到了飛速的發(fā)展，相信在未來的網(wǎng)絡(luò)應(yīng)用中VPN技術(shù)有著廣闊的發(fā)展前景.

:

［1］李濤著.網(wǎng)絡(luò)安全概論［M］.北京:電子工業(yè)出版社，2004.

［2］吳功宜.計(jì)算機(jī)網(wǎng)絡(luò)高級教程［M］.北京:清華大學(xué)出版社，2007.

［3］卿斯?jié)h，蔣建春.網(wǎng)絡(luò)攻防技術(shù)原理與實(shí)踐［M］.北京:科學(xué)出版社，2004.

［4］蔡立軍.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)［M］.北京:中國水利水電出版社，2002.

［5］王衛(wèi)紅，李曉明.計(jì)算機(jī)網(wǎng)絡(luò)與互聯(lián)網(wǎng)［M］.北京:機(jī)械工業(yè)出版社，2009.

［6］杭州華三通信技術(shù)有限公司.路由交換技術(shù)［M］.北京:清華大學(xué)出版社，2011.

［7］楊文武.基于IPSec的VPN網(wǎng)關(guān)設(shè)計(jì)與實(shí)現(xiàn)［D］.長沙:國防科學(xué)技術(shù)大學(xué)，2008.