面向公有云的國(guó)密IPSec VPNaaS系統(tǒng)研究

蔣汶芮，羅俊，胡曉勤，龔勛

(1.四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，成都610065；2.衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，成都610041)

0 引言

2020年，隨著市場(chǎng)的發(fā)展，以及“新基建”政策的利好，我國(guó)云計(jì)算相關(guān)技術(shù)和市場(chǎng)規(guī)模都在快速地發(fā)展[1]。由于公有云廉價(jià)、便利、易擴(kuò)展等特性，越來(lái)越多的企業(yè)在數(shù)字化轉(zhuǎn)型中都將業(yè)務(wù)遷移到公有云上。但是出于安全性的考慮，許多企業(yè)只遷移業(yè)務(wù)，重要數(shù)據(jù)依然要存儲(chǔ)在本地?cái)?shù)據(jù)中心。在這種應(yīng)用場(chǎng)景下，如何保障公有云上業(yè)務(wù)系統(tǒng)與本地?cái)?shù)據(jù)中心的數(shù)據(jù)安全傳輸成為關(guān)注重點(diǎn)。對(duì)此，常用的解決方案是使用IPSec VPN技術(shù)來(lái)搭建數(shù)據(jù)安全傳輸通道。在公有云平臺(tái)上，目前有兩種IPSec VPN網(wǎng)關(guān)可供選擇，一種是公有云平臺(tái)提供的虛擬IPSec VPN網(wǎng)關(guān)，另一種是傳統(tǒng)VPN廠商提供的IPSec VPN網(wǎng)關(guān)鏡像。

由于IPSec VPN技術(shù)關(guān)乎國(guó)家的網(wǎng)絡(luò)安全，國(guó)家密碼局提出了一套國(guó)密標(biāo)準(zhǔn)的IPSec安全體系，并頒發(fā)了國(guó)密IPSec VPN網(wǎng)關(guān)標(biāo)準(zhǔn)。傳統(tǒng)的國(guó)密IPSec VPN網(wǎng)關(guān)是軟硬件一體，公有云上的兩種虛擬IPSec VPN網(wǎng)關(guān)由于缺乏國(guó)密密碼設(shè)備不能滿足國(guó)密IPSec VPN網(wǎng)關(guān)標(biāo)準(zhǔn)。但是近年來(lái)隨著云密碼機(jī)在公有云上的廣泛應(yīng)用，這個(gè)問題出現(xiàn)了破局的希望?；趯?duì)公有云平臺(tái)、國(guó)密IPSec VPN網(wǎng)關(guān)和云密碼機(jī)的研究，本文提出了一種面向公有云并滿足國(guó)密要求的IPSec VPNaaS系統(tǒng)(后文簡(jiǎn)稱VPNaaS系統(tǒng))。

1 相關(guān)技術(shù)

1.1 IPSec VPN

IPSec(Internet Protocol Security)即互聯(lián)網(wǎng)安全協(xié)議，它是IETF于1998年11月提供Internet網(wǎng)絡(luò)安全通信的規(guī)范，是提供私有信息通過公網(wǎng)傳輸?shù)囊环N安全保障[2]。

IPSec VPN指采用IPSec來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)，是由IETF(Internet Engineering Task Force)定義的安全標(biāo)準(zhǔn)框架，在公網(wǎng)上為兩個(gè)私有網(wǎng)絡(luò)提供加密的安全通信通道。IPSec VPN使用IKE協(xié)議驗(yàn)證IPSec通信雙方身份、建立安全關(guān)聯(lián)SA(Security Association)，以及生成安全密鑰[3]。

國(guó)家密碼管理局對(duì)于國(guó)密IPSec VPN網(wǎng)關(guān)設(shè)備要求詳見于《GMT 0023-2014 IPSec VPN 網(wǎng)關(guān)產(chǎn)品規(guī)范》，本文主要討論密鑰管理要求，即IPSec VPN網(wǎng)關(guān)產(chǎn)品應(yīng)采用經(jīng)過國(guó)家密碼管理主管部門審批的加密芯片或加密卡作為主要加密部件[4]。

1.2 云密碼機(jī)

云密碼機(jī)是使用經(jīng)國(guó)家密碼管理局檢測(cè)認(rèn)證的硬件密碼機(jī)作為服務(wù)底層，通過虛擬化技術(shù)生成的虛擬密碼機(jī)[5]。其通過VXLAN等安全隔離技術(shù)，確保各個(gè)密碼機(jī)之間密鑰的安全。

它的主要功能有：生成、存儲(chǔ)、導(dǎo)入、導(dǎo)出、管理加密密鑰，包括對(duì)稱密鑰和非對(duì)稱密鑰對(duì)；使用對(duì)稱和非對(duì)稱算法來(lái)加密和解密數(shù)據(jù)；使用加密哈希函數(shù)來(lái)計(jì)算消息摘要和基于哈希的消息身份驗(yàn)證代碼；對(duì)數(shù)據(jù)進(jìn)行加密簽名并驗(yàn)證簽名。

1.3 云連接

云連接是公有云廠商為用戶提供一種能夠快速構(gòu)建跨區(qū)域VPC(Virtual Private Cloud)之間的高速、優(yōu)質(zhì)、穩(wěn)定的網(wǎng)絡(luò)能力[6]。通過創(chuàng)建云連接，將用戶所需要實(shí)現(xiàn)互通的不同區(qū)域的網(wǎng)絡(luò)實(shí)例加載到創(chuàng)建的云連接實(shí)例中，這里的網(wǎng)絡(luò)實(shí)例可以是用戶自己創(chuàng)建的VPC實(shí)例或其他用戶授予權(quán)限允許加載的VPC實(shí)例，最后通過配置需要互通的網(wǎng)絡(luò)實(shí)例之間的域間帶寬，就可以快速的提供VPC之間的網(wǎng)絡(luò)互通服務(wù)。

2 面向公有云的國(guó)密IPSec VPNaaS系統(tǒng)

2.1 系統(tǒng)工作流程

如圖1所示，有三個(gè)角色，分別是公有云廠商、VPN服務(wù)商、租戶。公有云廠商提供公有云基礎(chǔ)設(shè)施租用服務(wù)。VPN服務(wù)商把VPNaaS系統(tǒng)部署在公有云上，并在自己的鏡像倉(cāng)庫(kù)上傳三種網(wǎng)關(guān)設(shè)備鏡像(公網(wǎng)代理機(jī)、私網(wǎng)代理機(jī)、處理機(jī))。租戶擁有云上業(yè)務(wù)系統(tǒng)和本地?cái)?shù)據(jù)中心，現(xiàn)在需要搭建在這兩者之間搭建IPSec VPN通道。

圖1 面向公有云的國(guó)密IPSec VPNaaS 系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D

公網(wǎng)代理機(jī)、私網(wǎng)代理機(jī)、處理機(jī)、云密碼機(jī)四者將協(xié)同工作來(lái)完成傳統(tǒng)國(guó)密IPSec VPN網(wǎng)關(guān)的任務(wù)。其中，公網(wǎng)代理機(jī)負(fù)責(zé)與本地?cái)?shù)據(jù)中心的VPN網(wǎng)關(guān)進(jìn)行IKE協(xié)商并在協(xié)商完成后將來(lái)自公網(wǎng)的數(shù)據(jù)包分發(fā)給處理機(jī)集群處理；私網(wǎng)代理機(jī)的任務(wù)是把來(lái)自私網(wǎng)的數(shù)據(jù)包分發(fā)給處理機(jī)集群處理；處理機(jī)需要把來(lái)自私網(wǎng)代理機(jī)的明文數(shù)據(jù)包封裝進(jìn)安全載荷并轉(zhuǎn)發(fā)給公網(wǎng)代理機(jī)，或者把來(lái)自公網(wǎng)代理機(jī)的密文數(shù)據(jù)包解封裝并轉(zhuǎn)發(fā)給私網(wǎng)代理機(jī)；云密碼機(jī)存儲(chǔ)關(guān)鍵的密鑰并進(jìn)行相關(guān)密碼運(yùn)算。

具體工作流程如下：

(1)租戶通過VPNaaS 系統(tǒng)租用IPSec VPN服務(wù)。

(2)VPNaaS 系統(tǒng)根據(jù)租戶需求創(chuàng)建VPC_1并自動(dòng)租用ECS加載三種鏡像創(chuàng)建公網(wǎng)代理機(jī)、私網(wǎng)代理機(jī)、處理機(jī)集群和云密碼機(jī)集群。

(3)VPNaaS系統(tǒng)通過云連接網(wǎng)的方式連通VPC_1與租戶VPC。

(4)租戶通過互聯(lián)網(wǎng)訪問公網(wǎng)代理機(jī)，安全管理員負(fù)責(zé)設(shè)備參數(shù)配置、策略配置、設(shè)備密鑰的生成(在云密碼機(jī)的加密卡內(nèi)生成并存儲(chǔ))、導(dǎo)入/備份和恢復(fù)等操作；系統(tǒng)管理員負(fù)責(zé)對(duì)管理員的管理和權(quán)限分配，以及對(duì)系統(tǒng)的備份和恢復(fù)；審計(jì)管理員負(fù)責(zé)對(duì)系統(tǒng)中的日志進(jìn)行安全審計(jì)。

(5)公網(wǎng)代理機(jī)與本地?cái)?shù)據(jù)中心的VPN網(wǎng)關(guān)進(jìn)行IKE協(xié)商，生成會(huì)話密鑰，然后將SP(Security Policy)和SA發(fā)送給所有處理機(jī)，并保持SA與SP的信息在處理機(jī)池中同步。由于處理機(jī)都是選用一樣的虛擬機(jī)，所以負(fù)載均衡算法采用數(shù)據(jù)包粒度的輪轉(zhuǎn)(Round Robin)算法。公網(wǎng)代理機(jī)把來(lái)自公網(wǎng)的數(shù)據(jù)包依次輪轉(zhuǎn)調(diào)度到每臺(tái)處理機(jī)上，私網(wǎng)代理機(jī)把來(lái)自私網(wǎng)的數(shù)據(jù)包依次輪轉(zhuǎn)調(diào)度到每臺(tái)處理機(jī)上，即所有處理機(jī)均攤數(shù)據(jù)包的處理工作。

(6)IPSec VPN加密通道建立完畢，租戶本地?cái)?shù)據(jù)中心與公有云上業(yè)務(wù)系統(tǒng)能夠進(jìn)行安全通信。云上業(yè)務(wù)系統(tǒng)的明文數(shù)據(jù)包先流向私網(wǎng)代理機(jī)，然后私網(wǎng)代理機(jī)按照負(fù)載均衡算法分發(fā)給處理機(jī)，處理機(jī)完成調(diào)用云密碼機(jī)加密后將密文數(shù)據(jù)包經(jīng)由轉(zhuǎn)發(fā)至公網(wǎng)代理機(jī)，最后公網(wǎng)代理機(jī)通過互聯(lián)網(wǎng)把數(shù)據(jù)包轉(zhuǎn)發(fā)到租戶本地VPN網(wǎng)關(guān)。租戶本地?cái)?shù)據(jù)中心發(fā)出的密文數(shù)據(jù)包經(jīng)由互聯(lián)網(wǎng)之后首先到達(dá)公網(wǎng)代理機(jī)，公網(wǎng)代理機(jī)接著分發(fā)給處理機(jī)，處理機(jī)利用云密碼機(jī)解密后，將明文數(shù)據(jù)包轉(zhuǎn)發(fā)私網(wǎng)代理機(jī)，私網(wǎng)代理機(jī)再發(fā)至云上業(yè)務(wù)系統(tǒng)。值得注意的是，VPN服務(wù)商僅僅擁有VPN網(wǎng)關(guān)集群的設(shè)備基本管理權(quán)(創(chuàng)建、休眠、處理機(jī)的增減等)，只有租戶能登錄公網(wǎng)代理機(jī)的系統(tǒng)進(jìn)行具體的配置操作。

2.2 國(guó)密密鑰管理

按照國(guó)密標(biāo)準(zhǔn)，IPSec VPN網(wǎng)關(guān)設(shè)備主要關(guān)注三種密鑰。

(1)設(shè)備密鑰：非對(duì)稱算法使用的公私鑰對(duì)，包括簽名密鑰對(duì)和加密密鑰對(duì)，用于實(shí)體驗(yàn)證、數(shù)字簽名和數(shù)字信封等。(設(shè)備密鑰中的私鑰必須存儲(chǔ)在符合國(guó)密規(guī)定的加密設(shè)備中，VPNaaS系統(tǒng)將其存放在云密碼機(jī)的加密卡內(nèi)。)

(2)工作密鑰：在密鑰交換第一階段得到的密鑰，用于會(huì)話密鑰交換過程的保護(hù)。

(3)會(huì)話密鑰：在密鑰交換第二階段得到的密鑰，用于數(shù)據(jù)報(bào)文及報(bào)文MAC的加密。

設(shè)備密鑰的生成和存儲(chǔ)流程如圖2所示。

圖2 設(shè)備密鑰生成和存儲(chǔ)流程圖

具體工作流程如下：

(1)設(shè)備密鑰中的簽名密鑰對(duì)由安全管理員登錄公網(wǎng)代理機(jī)進(jìn)行生成，公網(wǎng)代理機(jī)通過調(diào)用云密碼機(jī)的接口在云密碼機(jī)內(nèi)部生成簽名密鑰對(duì)并存儲(chǔ)，然后導(dǎo)出簽名公鑰。

(2)安全管理員使用簽名公鑰向CA(Certificate Authority)申請(qǐng)簽名證書。

(3)安全管理員將簽名證書導(dǎo)入公網(wǎng)代理機(jī)，公網(wǎng)代理機(jī)在本地存儲(chǔ)簽名證書，為密鑰交換做準(zhǔn)備。

(4)安全管理員通過加密通道導(dǎo)入加密證書和私鑰到公網(wǎng)代理機(jī)，公網(wǎng)代理機(jī)在本地存儲(chǔ)加密證書，并把加密私鑰導(dǎo)入云密碼機(jī)存儲(chǔ)。

工作密鑰和會(huì)話密鑰在IKE階段生成，存儲(chǔ)在云密碼機(jī)上且定時(shí)協(xié)商更新，具體協(xié)商流程于下節(jié)內(nèi)容展示。

3 改進(jìn)后的國(guó)密密鑰交換(IKE)

本文所采用的符號(hào)中，HDR 表示一個(gè)ISAKMP(Internet Security Association Key Management Protocol)頭；HDR*表示ISAKMP頭后面的載荷是加密的；p表示需要保護(hù)的信息集合；?表示空集合；+表示串接；pub_i是租戶本地VPN網(wǎng)關(guān)公鑰；pub_r是公網(wǎng)代理機(jī)公鑰；prv_i是租戶本地VPN網(wǎng)關(guān)私鑰；prv_r是公網(wǎng)代理機(jī)私鑰；key_w表示公網(wǎng)代理機(jī)的工作密鑰；key_s表示公網(wǎng)代理機(jī)的會(huì)話密鑰；key_g表示公網(wǎng)代理機(jī)與云密碼機(jī)通信的加密密鑰；IDi是租戶本地VPN網(wǎng)關(guān)的標(biāo)識(shí)載荷；IDr是公網(wǎng)代理機(jī)的標(biāo)識(shí)載荷；HASHi是租戶本地VPN網(wǎng)關(guān)的雜湊載荷；HASHr是公網(wǎng)代理機(jī)的雜湊載荷；SIGi是租戶本地VPN網(wǎng)關(guān)的簽名載荷；SIGr是公網(wǎng)代理機(jī)的簽名載荷；CERT_sig_r是簽名證書載荷；CERT_enc_r是加密證書載荷；Ni是租戶本地VPN網(wǎng)關(guān)的nonce載荷；Nr是公網(wǎng)代理機(jī)的nonce載荷；SM1_Encrypt(msg，key)表示把key作為密鑰對(duì)數(shù)據(jù)msg進(jìn)行SM1加密運(yùn)算后的結(jié)果；SM2_Encrypt(msg，key)表示把key作為密鑰對(duì)數(shù)據(jù)msg進(jìn)行SM2加密運(yùn)算的結(jié)果；SM2_Sign(msg，key)表示把key作為密鑰對(duì)數(shù)據(jù)msg進(jìn)行SM2簽名運(yùn)算后的結(jié)果。

圖3 改進(jìn)后的IKE第一階段流程圖

消息1、2、3、8、10、15和傳統(tǒng)國(guó)密IKE過程一樣，不再贅述，本文只說(shuō)明新增的消息4、5、6、7、9、11、12、13、14。

消息4：m=SM1_ Encrypt(XCHi+SIGi，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送需要解密的數(shù)據(jù)XCHi。云密碼機(jī)先使用加密私鑰解密獲得密鑰Ski，再用Ski解密獲得Ni和IDi，最后用CERT_sig_i對(duì)SIGi驗(yàn)簽。

消息5：m=SM1_ Encrypt(Ni+IDi，key_g)。云密碼機(jī)向公網(wǎng)代理機(jī)發(fā)送Ni和IDi。

消息6：m=SM1_ Encrypt(Skr+Nr+IDr+CERT_enc_r，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送需要簽名的數(shù)據(jù)，云密碼機(jī)用簽名私鑰進(jìn)行簽名運(yùn)算得到SIGr。SIGr=SM2_Sign(Skr+Nr+Idr+CERT_enc_b，priv_r)。

消息7：m=SM1_ Encrypt(SIGr，key_g)。云密碼機(jī)向公網(wǎng)代理機(jī)發(fā)送SIGr。

消息9：m=SM1_ Encrypt(SKEYID，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送基本密鑰參數(shù)SKEYID，云密碼機(jī)用SKEYID生成并存儲(chǔ)工作密鑰。

消息11：m=SM1_ Encrypt(SM1_ Encrypt(HASHi，key_w)，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送被工作密鑰加密過的HASHi，云密碼機(jī)用工作密鑰進(jìn)行解密運(yùn)算得到HASHi。

消息12：m=SM1_ Encrypt(HASHi，key_g)。云密碼機(jī)向公網(wǎng)代理機(jī)發(fā)送HASHi。

消息13：m=SM1_ Encrypt(HASHr，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送需要加密的數(shù)據(jù)HASHr，云密碼機(jī)用工作密鑰加密得到SM1_ Encrypt(HASHr，key_w)。

消息14：m=SM1_ Encrypt(SM1_ Encrypt(HASHr，key_w)，key_g)。云密碼機(jī)向公網(wǎng)代理機(jī)發(fā)送SM1_ Encrypt(HASHr，key_w)。

IKE第一階段完成后雙方都生成ISAKMP SA。在工作密鑰的保護(hù)下，進(jìn)行IKE第二階段，生成IPSec SA。參照?qǐng)D4，消息1、6、7和傳統(tǒng)國(guó)密IKE過程一樣，亦不再說(shuō)明，只說(shuō)明新增的消息2、3、4、5、8、9、10。

圖4 改進(jìn)后的IKE第二階段流程圖

消息2：m=SM1_ Encrypt(SM1_ Encrypt(HASH(1)+SA+Ni，key_w)，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送需要解密的數(shù)據(jù)。云密碼機(jī)使用工作密鑰解密獲得HASH(1)、SA 和 Ni。

消息3：m=SM1_ Encrypt(HASH(1)+SA+Ni，key_g)。云密碼機(jī)向公網(wǎng)代理機(jī)發(fā)送解密之后的{ HASH(1)+SA+Ni }。

消息4：m=SM1_ Encrypt(HASH(2)+SA+Nr，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送需要加密的數(shù)據(jù)，云密碼機(jī)用工作密鑰進(jìn)行加密運(yùn)算得到SM1_ Encrypt(HASH(2)+SA+Nr，key_w)。

消息5：m=SM1_ Encrypt(SM1_ Encrypt(HASH(2)+SA+Nr，key_w)，key_g)。云密碼機(jī)向公網(wǎng)代理機(jī)發(fā)送SM1_ Encrypt(HASH(2)+SA+Nr，key_w)。

消息8：m=SM1_ Encrypt(SM1_ Encrypt(HASH(3)，key_w))。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送需要解密的數(shù)據(jù)，云密碼機(jī)用工作密鑰進(jìn)行解密運(yùn)算得到HASH(3)。

消息9：m=SM1_ Encrypt(HASH(3)，key_g)。云密碼機(jī)向公網(wǎng)代理機(jī)發(fā)送HASH(3)。

消息10：m=SM1_ Encrypt(KEYMAT，key_g)。公網(wǎng)代理機(jī)向云密碼機(jī)發(fā)送會(huì)話密鑰素材KEYMAT，云密碼機(jī)生成并存儲(chǔ)會(huì)話密鑰ker_s。

3.1 改進(jìn)后的IKE安全性分析

對(duì)改進(jìn)后的IKE的新增消息進(jìn)行安全性分析，設(shè)p為需要保護(hù)的信息集合；compare(m，p)表示把m和p進(jìn)行對(duì)比運(yùn)算，若m中有p運(yùn)算結(jié)果為1，否則為0。

改進(jìn)后的IKE第一階段中，

消息4：p={Ski，Ni，IDi}，m=SM1_ Encrypt(XCHi+SIGi，key_g)，XCHi=SM2_Encrypt(Ski，pub_r)+SM1_ Encrypt(Ni，Ski)+SM1_ Encrypt(IDi，Ski)+CERT_sig_i+CERT_enc_i，SIGi=SM2_Sign(Ski+Ni+IDi+CERT_enc_i，priv_i)，compare(m，p)=0。

消息5：p={Ni，IDi}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息6：p={Skr，Nr，IDr}，m=SM1_ Encrypt(p+CERT_enc_r，key_g)，compare(m，p)=0。

消息7：p=?，無(wú)需保護(hù)。

消息9：p={SKEYID}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息11：p={HASHi}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息12：p={HASHi}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息13：p={HASHr}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息14：p={HASHr}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

改進(jìn)后的IKE第二階段中，

消息2：p={HASH(1)，SA，N}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息3：p={HASH(1)，SA，Ni}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息4：p={HASH(2)，SA，Nr}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息5：p={HASH(2)，SA，Nr}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息8：p={HASH(3)}，m=SM1_ Encrypt(SM1_Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息9：p={HASH(3)}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息10：p={KEYMAT}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

可見，改進(jìn)后的IKE流程中p均受到加密保護(hù)，攻擊者無(wú)法從數(shù)據(jù)包中直接獲取p，即改進(jìn)后的IKE流程是安全可靠的。

3.2 實(shí)驗(yàn)與分析

實(shí)驗(yàn)?zāi)康氖球?yàn)證VPNaaS系統(tǒng)的可行性，實(shí)驗(yàn)設(shè)備清單見表1。

表1 實(shí)驗(yàn)設(shè)備清單表

依照?qǐng)D5部署相關(guān)設(shè)備，在租戶VPN網(wǎng)關(guān)和公網(wǎng)代理機(jī)建立IPSec VPN通道，然后在租戶應(yīng)用服務(wù)器用iperf3測(cè)試與租戶數(shù)據(jù)庫(kù)服務(wù)器是否能夠通信。

圖5 VPNaaS 系統(tǒng)功能測(cè)試網(wǎng)絡(luò)拓?fù)鋱D

由圖6知，位于兩個(gè)私網(wǎng)的租戶應(yīng)用服務(wù)器和租戶數(shù)據(jù)庫(kù)服務(wù)器已經(jīng)能夠進(jìn)行通信，還需要進(jìn)行ESP測(cè)試驗(yàn)證通信內(nèi)容被加密保護(hù)。在租戶應(yīng)用服務(wù)器上使用Wireshark抓包，可以成功抓到ESP數(shù)據(jù)包，如圖7所示。

圖6 iperf3測(cè)試結(jié)果圖

圖7 ESP測(cè)試結(jié)果圖

經(jīng)過兩次實(shí)驗(yàn)，證明了VPNaaS系統(tǒng)成功的在租戶應(yīng)用服務(wù)器和租戶數(shù)據(jù)庫(kù)服務(wù)器之前成功搭建了IPSec 通道，所以VPNaaS系統(tǒng)具備可行性。

4 結(jié)語(yǔ)

文中提出的面向公有云的國(guó)密IPSec VPNaaS系統(tǒng)，為公有云上的國(guó)密IPSec VPN需求提供了解決方案。它的特點(diǎn)有：VPN網(wǎng)關(guān)的設(shè)備密鑰由云密碼機(jī)的加密卡存儲(chǔ)，滿足國(guó)密標(biāo)準(zhǔn)的密鑰安全要求；支持三員管理，滿足國(guó)密標(biāo)準(zhǔn)的管理模式要求；VPN網(wǎng)關(guān)集群的VPC都是針對(duì)租戶獨(dú)立創(chuàng)建的，具備良好的隔離性；VPN網(wǎng)關(guān)設(shè)備的初始化部署與維護(hù)由VPN服務(wù)商來(lái)負(fù)責(zé)，租戶可以直接使用。

由于虛擬VPN網(wǎng)關(guān)設(shè)備在性能上和傳統(tǒng)硬件VPN網(wǎng)關(guān)設(shè)備存在一定的差距，未來(lái)的工作的重點(diǎn)是如何降低虛擬VPN網(wǎng)關(guān)的性能損耗。