淺析VPN的安全策略

摘要:伴隨VPN技術被應用到越來越多安全性要求較高的機構。本論文著重研究了IPSec VPN、MPLS VPN、SSL VPN的基本工作原理和它們間的一些對比，這些技術主要是為了解決網(wǎng)絡通信的安全性。

關鍵詞:IPSec VPN;MPLS VPN;SSL VPN;對比

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0101-01

一、引言

隨著信息化經(jīng)濟一體化的發(fā)展，實現(xiàn)資源共享是每個企業(yè)追求發(fā)展進步不可或缺的一步。利用隧道技術在公共網(wǎng)絡上建立安全的虛擬專用網(wǎng)絡(VPN)是實現(xiàn)資源共享最佳方法[1]。本文主要研究IPSec VPN、MPLS VPN、SSL VPN這幾個比較主流的VPN技術。

二、IPSec VPN

IPSec VPN即指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術，用來提供公用和專用網(wǎng)絡的端對端加密和驗證服務。IPsec給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結構，包括AH網(wǎng)絡認證協(xié)議、ESP封裝安全載荷、IKE因特網(wǎng)密鑰交換和用于網(wǎng)絡認證及加密的一些算法等[1]。其中，AH協(xié)議和ESP協(xié)議用來提供安全服務，IKE協(xié)議用于密鑰交換。

(一)認證頭(AH)協(xié)議

IPsec認證頭協(xié)議是IPsec體系結構中的一種主要協(xié)議(AH協(xié)議把AH頭插入IP數(shù)據(jù)包)，它為IP數(shù)據(jù)報提供無連接完整性、數(shù)據(jù)源認證、保護以避免重播情況[1]。

(二)封裝安全載荷(ESP)協(xié)議

封裝安全載荷(ESP)協(xié)議是IPsec體系結構中的一種用來提高IP的安全性的主要協(xié)議。ESP加密要保護的數(shù)據(jù)并且在IPsec ESP的數(shù)據(jù)部分進行數(shù)據(jù)的完整性校驗，以達到其數(shù)據(jù)機密性和完整性的目的。ESP提供了與AH相同的安全服務并提供了一種保密性服務。

(三)IKE

IKE是一種混合型協(xié)議，由Internet安全聯(lián)盟(SA)和密鑰管理協(xié)議(ISAKMP)這兩種密鑰交換協(xié)議組成。IKE是以受保護的方式為SA協(xié)商并提供經(jīng)過認證的密鑰信息的協(xié)議。IKE用于協(xié)商AH和ESP所使用的密碼算法，并將算法所需的必備密鑰放到恰當位置。同樣，IKE使用ISAKMP為其他IPSec(AH和ESP)協(xié)議協(xié)商SA。

三、MPLS VPN

MPLS VPN與傳統(tǒng)的IPSec VPN不同，MPLS VPN不依靠封裝和加密技術，而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標記來創(chuàng)建一個安全的VPN，MPLS VPN的所有技術產(chǎn)生于Internet。MPLS VPN是一種以MPLS技術為基礎的IP VPN，是在網(wǎng)絡路由和交換設備上應用MPLS(Multiprotocol Label Switching，多協(xié)議標記交換)技術，簡化核心路由器的路由選擇方式，結合傳統(tǒng)路由技術的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(IP VPN)。

(一)MPLS VPN的基本原理

每個MPLS VPN網(wǎng)絡的內(nèi)部是由P(供應商)設備組成，這些設備構成了MPLS的核心，且不直接同CE路由器相連，圍繞在P周圍的PE路由器可以讓MPLS VPN網(wǎng)絡發(fā)揮VPN的作用。在MPLS VPN中，用戶站點通常運行的是IP。它們并不需要運行MPLS和其他特殊的VPN協(xié)議。在PE路由器中，RD對應同每個用戶站點連接。這些連接可以是諸如T1、單一的幀中繼、ATM虛電路或者DSL等物理連接。RD在PE路由器中被配置，是設置VPN站點工作的一部分，它并不在用戶設備上進行配置，對于用戶來說是透明的[2]。

(二)MPLS VPN的優(yōu)點

1.減少時延。由于數(shù)據(jù)包不再經(jīng)過封裝或者加密，所以時延被減到最低。不再需要封裝和加密原因是MPLS VPN可以創(chuàng)建一個專用網(wǎng)，它同幀中繼網(wǎng)絡具備的安全性很相似[2]。

2.配置MPLS VPN網(wǎng)絡的設備比較容易。配置MPLS VPN網(wǎng)絡的設備也變得容易了，僅需配置核心網(wǎng)絡不許訪問CPE。

3.提高了資源利用率。由于在網(wǎng)內(nèi)使用標簽交換，用戶各個點的局域網(wǎng)可以使用重復的IP地址，提高了IP資源利用率。

4.安全性高。采用MPLS作為通道機制實現(xiàn)透明報文傳輸，MPLS的LSP具有與幀中繼和ATM VCC(Virtual Channel Connection，虛通道連接)類似的高可靠安全性。

四、SSL VPN

SSL VPN的出現(xiàn)是為了解決IPSec VPN的固有的缺點，SSL VPN繼承了IPSec VPN的遠程使用與內(nèi)網(wǎng)使用體驗一致優(yōu)點，避免了因有客戶端而導致的使用維護不便、帶來大量病毒和蠕蟲的入侵、無法與企業(yè)現(xiàn)有認證服務器結合、無法審計等問題[2]。IPSec VPN與SSL VPN的對比。傳統(tǒng)的IPSec VPN在部署時，往往需要在每個遠程接入的終端都安裝相應的IPSec客戶端并需要作復雜的配置。若企業(yè)的遠程接入數(shù)量增多，企業(yè)的維護成本就會隨之增加。而SSL VPN最大的優(yōu)點之一就是不需要安裝客戶端程序遠程用戶可以隨時隨地從任何瀏覽器上安全接入到內(nèi)部網(wǎng)絡。對比表如下:

五、總結

由于VPN的優(yōu)秀安全特性，讓它越來越受到安全要求較高的企業(yè)或部門的青睞。此文指出的IPSec VPN、MPLS VPN、SSL VPN技術增加了VPN通信的安全性。伴隨著VPN的廣泛使用，更加復雜的VPN系統(tǒng)會繼續(xù)出現(xiàn)。所以，其安全策略管理的問題將逐步顯現(xiàn)，這方面的研究也將受到高度重視。

參考文獻:

[1]http://www.xchen.com.cn/gclw/aqgclw/187113.html

[2]馬春光，郭方方.防火墻、入侵檢測與VPN[M].北京:北京郵電大學出版社，2008