基于協(xié)議的ＶＰＮ技術(shù)分析

[摘要] 本文對IPSec與SSL兩種協(xié)議進(jìn)行剖析，從協(xié)議層面分析比較了兩種VPN主流技術(shù)在應(yīng)用范圍、安全性、訪問控制、管理成本方面的技術(shù)特點(diǎn)，進(jìn)而提出各自發(fā)展方向。

[關(guān)鍵詞] VPN IPSec SSL 協(xié)議 安全

一、引言

隨著各種網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，人們對網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩栽絹碓街匾暋Ｈ欢捎?TCP/ IP 協(xié)議在設(shè)計(jì)過程中主要考慮的是易用性和開放性，缺少服務(wù)質(zhì)量保證以及相應(yīng)的安全機(jī)制，因此如何通過 Internet 建立一條安全的信息傳輸通道，以保證所傳輸數(shù)據(jù)的安全性和完整性，成為網(wǎng)絡(luò)管理者和使用者所關(guān)心的問題。

傳統(tǒng)的租用專線方式雖然可以實(shí)現(xiàn)企業(yè)與企業(yè)、企業(yè)與分支機(jī)構(gòu)間的安全通信，但專線方式的高通信費(fèi)用以及擴(kuò)展性差等缺點(diǎn)使其難以適應(yīng)現(xiàn)代企業(yè)的需求。VPN (Virtual Private Network) ，即虛擬專用網(wǎng)，利用 Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，提供與專用網(wǎng)絡(luò)一樣的安全和功能保障，實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。VPN可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，以其高安全性、低成本、擴(kuò)展性強(qiáng)和易于管理等優(yōu)點(diǎn)為企業(yè)提供服務(wù)。當(dāng)前，IPSec VPN 和SSL VPN為主流技術(shù)。

二、IPSec 協(xié)議分析

IPSec是指 IETF (因特網(wǎng)工程任務(wù)組)以 RFC形式公布的一組安全 IP協(xié)議集，是為 IP及其以上協(xié)議(TCP和 UDP等)提供安全保護(hù)的安全協(xié)議標(biāo)準(zhǔn)。其目標(biāo)是把安全機(jī)制引入 IP協(xié)議，通過使用密碼學(xué)方法支持機(jī)密性和認(rèn)證服務(wù)等安全服務(wù)。IPSec通過在 IP協(xié)議中增加兩個(gè)基于密碼的安全機(jī)制—認(rèn)證頭(AH)和封裝安全載荷(ESP)來支持 IP數(shù)據(jù)報(bào)的認(rèn)證、完整性和機(jī)密性。

IPSec協(xié)議族包括:IP安全架構(gòu)、認(rèn)證頭 AH、封閉安全載荷 ESP和 Internet密鑰交換(IKE)等協(xié)議。IP安全架構(gòu)協(xié)議指定了 IPSec的整個(gè)框架，是 IP層安全的標(biāo)準(zhǔn)協(xié)議。AH協(xié)議定義了數(shù)據(jù)源認(rèn)證和完整性驗(yàn)證的應(yīng)用方法。ESP為 IP數(shù)據(jù)報(bào)文提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性校驗(yàn)、抗重播和數(shù)據(jù)加密服務(wù)。IKE為 AH和 ESP提供密鑰交換機(jī)制，在實(shí)際進(jìn)行 IP通信時(shí)，可以根據(jù)實(shí)際安全需求，同時(shí)使用 AH和 ESP協(xié)議，或選擇使用其中的一種。AH和 ESP都可以提供認(rèn)證服務(wù)，AH提供的認(rèn)證服務(wù)要強(qiáng)于 ESP，但不對數(shù)據(jù)報(bào)文進(jìn)行加密，如下圖所示。

IPSec的安全服務(wù)是由通訊雙方建立的安全聯(lián)盟(SA)來提供的。SA為通訊提供了安全協(xié)議、模式、算法和應(yīng)用于單向 IP流的密鑰等安全信息，這些信息由 SAD管理提供。當(dāng) IP報(bào)文流經(jīng) IPSec設(shè)備時(shí)，系統(tǒng)對比安全策略庫(SPD)中相應(yīng)的安全策略，對 IP報(bào)文進(jìn)行不同的處理。處理方法一般有三種：丟棄、繞過和 IPSec保護(hù)。如果選擇了 IPSec保護(hù)，根據(jù) SPD和 SAD的對應(yīng)關(guān)系，找到相應(yīng)的 SA，進(jìn)行指定的 IPSec處理。

三、SSL協(xié)議分析

SSL(Secure Socket Layer)是Netscape公司設(shè)計(jì)的主要用于web的安全傳輸協(xié)議。SSL被設(shè)計(jì)為使TCP提供一個(gè)可靠的端到端的安全服務(wù)，它不是一個(gè)單一的協(xié)議，而是由多個(gè)協(xié)議組成，包括 SSL記錄協(xié)議(SSLRecord Protocol)，SSL握手協(xié)議(SSL handshake Protocol)、SSL修改密文規(guī)約協(xié)議(SSL ChangeCipher Spec Protocol)、SSL警告協(xié)議(SSL Alert Protocol)，其體系結(jié)構(gòu)如下圖所示。

記錄協(xié)議定義了要傳輸數(shù)據(jù)的格式，它位于可靠的的傳輸協(xié)議TCP之上，用于各種更高層協(xié)議的封裝。記錄協(xié)議主要完成分組和組合，壓縮和解壓縮，以及消息認(rèn)證和加密等功能。所有傳輸數(shù)據(jù)包括握手消息和應(yīng)用數(shù)據(jù)都被封裝在記錄中。握手協(xié)議允許服務(wù)器與客戶機(jī)在應(yīng)用程序傳輸和接收數(shù)據(jù)之前互相認(rèn)證、協(xié)商加密算法和密鑰。通信雙方首先通過SSL握手協(xié)議建立客戶端與服務(wù)器之間的安全通道，SSL記錄協(xié)議通過分段、壓縮、添加 MAC以及加密等操作步驟把應(yīng)用數(shù)據(jù)封裝成多條記錄，最后再進(jìn)行傳輸。

四、基于協(xié)議的VPN技術(shù)分析

IPSec是一種健壯的可擴(kuò)展的安全機(jī)制，其工作在網(wǎng)絡(luò)層，對終端站點(diǎn)間所有傳輸數(shù)據(jù)進(jìn)行保護(hù)，提供數(shù)據(jù)的加密性、完整性、數(shù)據(jù)源身份認(rèn)證以及抗重播保護(hù)。故IPSec VPN對IP層上的各種服務(wù)提供安全保障，確保數(shù)據(jù)傳輸?shù)陌踩浴６鳶SL處于TCP之上，只對TCP上的通信數(shù)據(jù)提供安全服務(wù)。因此，IPSec VPN較SSL VPN有更廣泛的應(yīng)用范圍。

從安全性上看，由于工作在網(wǎng)絡(luò)層，IPSec VPN要求遠(yuǎn)程接入客戶端適當(dāng)安裝和配置IPSec客戶端軟件和接入設(shè)備，這大大提高了安全級(jí)別，因?yàn)樵L問受到特定的接入設(shè)備、軟件客戶端、用戶認(rèn)證機(jī)制和預(yù)定義安全規(guī)則的限制。因此，IPSec VPN在站點(diǎn)之間建立了一條安全的通道。但在安全通道兩端，IPSec VPN則存在不安全因素。遠(yuǎn)程客戶端通過IPSec VPN將擁有內(nèi)部網(wǎng)用戶一樣的權(quán)限和操作功能。故IPSec VPN只能做到客戶到VPN網(wǎng)關(guān)的安全，也意味者通道兩端安全性低的一端有可能通過IPSec VPN將安全隱患傳遞給安全性高的一端。而SSL VPN主要應(yīng)用基于B/S結(jié)構(gòu)，其安全性不如基于C/S結(jié)構(gòu)的IPSec VPN。但是，SSL協(xié)議直接作用于應(yīng)用層各種服務(wù)，SSL VPN是一種基于應(yīng)用層的、以某個(gè)應(yīng)用為目標(biāo)的安全方案，只有經(jīng)認(rèn)證的用戶才能對資源進(jìn)行訪問。故SSL VPN 安全通道是在客戶到所訪問的資源之間建立的，確保點(diǎn)到點(diǎn)的全程安全。

在訪問控制方面，IPSec VPN的目標(biāo)是建立起一個(gè)虛擬的 IP網(wǎng)絡(luò)，保證數(shù)據(jù)在通道上的安全，而無法保護(hù)內(nèi)部數(shù)據(jù)的安全。而SSL VPN 重點(diǎn)在于保護(hù)具體的敏感數(shù)據(jù)，可以根據(jù)用戶的不同身份，給予不同的訪問權(quán)限。這種精確的接入控制功能對遠(yuǎn)程接入IPSec VPN來說幾乎是難以實(shí)現(xiàn)的。

在管理成本方面，由于IPSec工作在網(wǎng)絡(luò)層，用作遠(yuǎn)程接入的IPSec VPN客戶端實(shí)現(xiàn)較困難，配置和維護(hù)工作復(fù)雜。而對于SSL VPN，由于SSL工作于TCP協(xié)議與各種應(yīng)用層協(xié)議之間，又瀏覽器內(nèi)嵌了SSL協(xié)議，則基于B/S結(jié)構(gòu)的業(yè)務(wù)時(shí)，可以直接使用瀏覽器完成SSL VPN的建立，無需安裝客戶端。

五、結(jié)論

IPSec VPN提供完整的網(wǎng)絡(luò)層連接功能，在網(wǎng)對網(wǎng)(Site -Site)的VPN連接中具備先天優(yōu)勢，是實(shí)現(xiàn)多專用網(wǎng)安全連接的最佳選項(xiàng)，而 SSL VPN 的“零客戶端”架構(gòu)特別適合于移動(dòng)用戶的遠(yuǎn)程接入(Client - Site)，為他們提供一種簡單的安全接入方式，通過任何 Web瀏覽器訪問企業(yè)網(wǎng) Web應(yīng)用。

參考文獻(xiàn):

[1]Gleeson B. A framework for IP based virtual private networks〔S〕. RFC2764，2000

[2]Kent S， Atkinson R. Security architecture for the internet protocol[S]. RFC2401，1998

[3]張揚(yáng):基于Ipsec的VPN研究[J].重慶工學(xué)院學(xué)報(bào)（自然科學(xué)），2008，22（1）：115～117

[4]馬軍鋒:SSL VPN技術(shù)原理及其應(yīng)用[J].電信網(wǎng)技術(shù)，2005（8）：6～8