基于IPsec的VPN技術應用與研究

李長春

（滁州職業(yè)技術學院，安徽滁州 239000）

隨著經(jīng)濟的全球化，企業(yè)的規(guī)模不斷擴大，分支機構、商業(yè)伙伴、外出員工隨時隨地都要和企業(yè)進行數(shù)據(jù)的傳輸，這就需要某種技術機制來保證在網(wǎng)絡中傳輸數(shù)據(jù)的安全性.在傳統(tǒng)的網(wǎng)絡建設方案中，可以通過自己建設一個專用網(wǎng)絡或租用一條專線，實現(xiàn)處于不同區(qū)域位置的機構、員工通信.前者操作起來幾乎是不可行的，后者需要支付比較昂貴的專線租金.在這種的背景下，可以采用基于IP的VPN技術，在公用通信網(wǎng)上建立隧道的方式虛擬出專線來解決這個問題.

1 VPN技術概述

1.1 VPN 的概念

VPN（Virtual Private Network）又稱虛擬專用網(wǎng)，其實就是通過一個公用網(wǎng)絡（Internet）使用一系列安全技術建立一個臨時且安全的專用網(wǎng)絡，它是可以穿過混亂公用網(wǎng)絡的一條隧道，其具有一定安全性和穩(wěn)定性.可以在不可信任的公共網(wǎng)絡上使分布在不同地方的專用網(wǎng)絡進行安全的通信，在遠程公司和客戶之間，供應商及合作伙伴同公司的內部之間，建立一條信任可靠的安全通道，使傳輸中的數(shù)據(jù)得到更好的安全保護［1］.

1.2 VPN技術的優(yōu)勢

在網(wǎng)絡的組建中VPN技術展現(xiàn)出了其低成本性、組網(wǎng)靈活性、可擴展性的優(yōu)勢，相信未來VPN技術將會得到較多用戶的重視和廣泛應用.VPN技術與其他網(wǎng)絡技術相比有著無可擬比的優(yōu)勢:

（1）用戶可以通過ISP提供的公用網(wǎng)絡建立VPN網(wǎng)絡，這樣可以節(jié)省一定的通信費用降低使用成本.另外，對于VPN網(wǎng)絡的相關設備維護全部由ISP完成.

（2）用戶可以在目前具有IPsec功能的防火墻設備基礎上建立VPN，在軟硬件不受影響前提下，最大限度的保護了前期設備投資.如要擴展其VPN的服務范圍，只需要和ISP協(xié)商簽訂協(xié)議，用戶無需進行其他任何操作.

（3）用戶雖然利用ISP的網(wǎng)絡設備和技術服務組建使用VPN網(wǎng)絡，但是用戶可以自己完全掌握和控制，對網(wǎng)絡的安全性、訪問權、網(wǎng)絡地址配置等都能夠有效方便的管理.

1.3 VPN的安全技術

目前VPN安全技術主要采用隧道技術、加解密技術、密鑰管理技術、使用者與設備身份認證技術［2］.VPN技術主要是利用隧道封裝技術以及用戶身份認證、數(shù)據(jù)信息加密等技術在通信終端實體的雙方建立鏈路，具有與專用網(wǎng)絡同樣的安全性和可管理性，以保證用戶的安全通信服務.其中實現(xiàn)VPN功能的核心技術是隧道技術.

（1）隧道技術.隧道技術是通過使用互聯(lián)網(wǎng)絡的基礎設施在網(wǎng)絡之間傳遞數(shù)據(jù)的一種方式.隧道協(xié)議分為二層隧道協(xié)議和三層隧道協(xié)議.二層隧道協(xié)議對數(shù)據(jù)封裝在數(shù)據(jù)鏈路層完成（如:PPTP、L2TP、L2F），主要用來對遠程用戶提供撥號接入的服務.三層隧道協(xié)議對數(shù)據(jù)封裝在網(wǎng)絡層完成（如:GRE、IPsec），主要用于VPN的用戶在Internet上構建一個對等的虛擬專網(wǎng)絡.

二層隧道協(xié)議僅僅保證在隧道終端實體進行認證和加密，而對在隧道傳輸過程中每個數(shù)據(jù)報文未能進行認證.其無法抵御插入、拒絕服務和地址欺騙等攻擊行為［3］，因此不能完全保證通信過程的安全.IPSec是可以在隧道的外面進行加密封裝，有效地保證了隧道在傳輸過程中的安全性.IP-sec是把幾種安全技術融合在一起形成了比較完整的安全體系，更加有效地在IP層提供安全保障.

（2）加解密技術.在VPN隧道上傳輸?shù)臄?shù)據(jù)是經(jīng)過加密處理的，在數(shù)據(jù)發(fā)送前發(fā)送者對數(shù)據(jù)加密，接收者在數(shù)據(jù)到達時對數(shù)據(jù)進行解密.加密技術可以增強信息系統(tǒng)及數(shù)據(jù)的完整性、私有性和保密性，有效防止數(shù)據(jù)被第三方截獲和破析［4］.

（3）密鑰管理技術.由于在IPsec中所使用的密碼算法都是眾所周知的公開算法，實現(xiàn)信息的安全就不能完全依靠密碼算法，這要求通信終端實體密鑰生成時具有安全性和機密性.對于密鑰的產生、分發(fā)、存儲、使用、銷毀的管理過程，IPsec要求使用自動密鑰管理協(xié)議.IPsec定義的密鑰交換協(xié)議是IKE，IKE具有一套自身的安全機制，可以在非安全的網(wǎng)絡中確保密鑰安全的分發(fā).

IKE是基于ISAKMP框架上的使用OAKLEY和ISAKMP的“混合型”協(xié)議［1］.IKE協(xié)議通過Diffie－Hellman算法進行一系列信息的交換，為通信雙方計算出共享密鑰，密鑰不需要在網(wǎng)絡上傳送而泄露.由于IPSec是基于通信端實體或操作系統(tǒng)內核IP層的實現(xiàn)，因此IPSec的密鑰管理協(xié)議還需要進一步完善.

（4）用戶身份認證技術.在隧道連接時需要通過對用戶的身份進行認證，便于系統(tǒng)對資源訪問控制和用戶授權的實施.如遠程訪問需要對用戶身份進行認證，當撥號用戶要求建立會話時，就要鑒定用戶的身份，確定用戶是否合法以及能夠使用哪些資源.常見的有基于用戶名/口令認證、卡片式認證、基于PKI的認證等認證方式.

2 基于IPSec協(xié)議的VPN實現(xiàn)

2.1 IPSec安全體系結構

由于IPv4協(xié)議開始設計的問題，缺乏相應的安全性.IETF在開發(fā)IPv6時研究制定了一套用于保護IP數(shù)據(jù)包通信的IP安全協(xié)議（IPsec），是IPv6協(xié)議的一個組成部分，也是IPv4的可選的擴展協(xié)議.IPsec提供較強的互操作性能力，具有完善的基于密碼學的安全功能.在通信終端實體間的IP層通過加密與數(shù)據(jù)源驗證等方式，來保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾浴⒖煽啃院头乐胤牛?］.

IPsec不是單一的協(xié)議而是由一系列協(xié)議組成.IPSec體系結構包括認證頭AH協(xié)議和封裝安全載荷ESP協(xié)議，安全關聯(lián) SA，Internet密鑰交換協(xié)議及驗證算法和加密算法等［2］.IPSec協(xié)議族的體系結構、組件及各組件間的相互關系如圖1所示.

圖1 IPsec安全體系結構

2.2 IPSec的操作模式

IPSec協(xié)議有傳輸模式和隧道模式兩種操作.傳輸模式主要用于端到端的通信保護，對數(shù)據(jù)的操作都由終端實體完成.隧道模式主要用于站點到站點間數(shù)據(jù)的保護，對數(shù)據(jù)的操作都由安全網(wǎng)關完成.傳送模式主要是對上層協(xié)議保護，隧道模式主要是對整個IP數(shù)據(jù)報保護［6］.

2.3 基于IPsec構建VPN解決方案

由于虛擬的方式、虛擬的網(wǎng)絡層次不同，有著多種不同構建VPN的解決方案.基于IPsec的VPN解決方案是在IP層實現(xiàn)，能夠更好的適應通信介質的多樣性，具備極好的安全協(xié)議性能等優(yōu)勢.IPsec在網(wǎng)絡層實現(xiàn)了安全保護，對于高層的應用是完全透明的，安全服務完全獨立于應用程序，無需修改操作系統(tǒng)中原有的軟件就能實現(xiàn)IPsec提供的安全服務.

VPN實體可以在網(wǎng)絡中不同位置具有IPsec功能的網(wǎng)絡設備（如防火墻、路由器、主機）上實現(xiàn).IPsec基于主機的實施可以實現(xiàn)端到端的安全服務;基于IPsec功能的路由器構建VPN實現(xiàn)網(wǎng)關間安全服務;將這兩種解決方案有效地融合可以實現(xiàn)漫游接入（road warrior）的安全，為移動辦公員工訪問公司資源時提供安全服務［1］.

在實際應用中可能需要對受保護網(wǎng)絡內部的某個子網(wǎng)進一步提供保護，可應用基于IPsec的嵌套式隧道的解決方案，提供多級的網(wǎng)絡安全保護.需要提供多級保護的一般是指單位一些關鍵部門（財務處），未經(jīng)授權的員工是不能進入的.假設某公司員工外地出差，每天需要將當天的業(yè)務報表提交給公司財務處.財務處為公司的關鍵部門，出差員工提交的報表在到達公司VPN網(wǎng)關后，報表將會以明文的形式在公司內部網(wǎng)絡傳輸，就可能被公司內部網(wǎng)絡（如人事部、市場部）的人員竊取到，即將造成報表信息的泄漏或者內容惡意的篡改.采用基于IPsec協(xié)議的嵌套式隧道可以解決這個問題.利用IPsec協(xié)議，遠程員工首先建立一個安全隧道到公司VPN網(wǎng)關，在這個隧道內部再建一個安全隧道到達公司財務處VPN網(wǎng)關，如圖2所示.

圖2 嵌套式隧道

數(shù)據(jù)包處理過程:

公司VPN網(wǎng)關和財務處VPN網(wǎng)關是出差員工將數(shù)據(jù)包發(fā)給財務處的必經(jīng)之路，數(shù)據(jù)包經(jīng)過時兩個網(wǎng)關上的IPsec都進行了相關的處理，一層一層的對數(shù)據(jù)進行解封裝，數(shù)據(jù)最終到達目的地，如圖3所示.而從財務處返回給出差員工的數(shù)據(jù)將一層一層的封裝.首先財務處的原始數(shù)據(jù)包在本地策略庫中找到一個安全策略數(shù)據(jù)庫與之匹配.查找相應的IPsec SA，將數(shù)據(jù)包進行財務處VPN網(wǎng)關的封裝.再匹配另外一個安全策略數(shù)據(jù)庫，再查找相應的IPsec SA，將數(shù)據(jù)包進行公司VPN網(wǎng)關的封裝［1］.此時IPsec數(shù)據(jù)包就可以在互聯(lián)網(wǎng)傳輸，在這樣兩條隧道的共同作用，對數(shù)據(jù)實現(xiàn)的多級的、靈活的安全保護.

圖3 數(shù)據(jù)解封裝

3 基于IPSec的VPN網(wǎng)關系統(tǒng)性能分析

3.1 實驗模擬環(huán)境搭建

通過實驗室的模擬環(huán)境對VPN網(wǎng)關性能進行測試分析，實驗模擬搭建環(huán)境如圖4所示.在具有IPsec功能的RTA和RTB之間采用IKE方式建立 IPsec SA，對Network A和Network B間的交換數(shù)據(jù)進行安全保護.一臺PC機連接在交換機上（交換機上配置端口鏡像），安裝wireshark抓包程序對Network A和Network B間所截獲的數(shù)據(jù)進行分析.Network A中配置FTP服務器，服務器上放置一個內容為“IPsec VPN”的文本文件.

根據(jù)實驗測試環(huán)境要求，VPN網(wǎng)關間采用隧道方式并實施ESP協(xié)議，ESP協(xié)議中加密算法采用DES，認證算法采用SHA1.在IKE的提議中確定IKE交換過程的安全保護級別，設置共享密鑰.RTA和RTB分別充當Network A的VPN網(wǎng)關和Network B的VPN網(wǎng)關.在VPN網(wǎng)關上應用安全策略時，安全策略內容雙方必須完全一致，這樣雙方才能夠進行正常通信［7］.

圖4 網(wǎng)關性能測試實驗環(huán)境

3.2 安全性測試

VPN網(wǎng)絡的出現(xiàn)主要是為了解決網(wǎng)絡的安全性問題，對VPN網(wǎng)關的安全性進行測試是必須的.實驗初期路由器只做路由的配置實現(xiàn)全網(wǎng)連通，不加載IPSec功能，路由器只是起到一個普通的網(wǎng)關作用.Network B中的客戶機從Network A中FTP服務器上下載文本文件，安裝wireshark軟件的PC機對從FTP上下載的數(shù)據(jù)進行截獲.被截獲的FTP數(shù)據(jù)內容是明文形式顯示，清晰的看到通信終端的IP地址和協(xié)議信息，實驗結果如圖5所示.通過實驗表明當前的網(wǎng)絡是一個沒有安全性的網(wǎng)絡.

圖5 ESP封裝前數(shù)據(jù)

實驗的第二步，在路由器上加載IPSec功能，同樣安裝wireshark軟件的PC機截獲數(shù)據(jù)包，此時文件內容顯示為ESP協(xié)議封裝數(shù)據(jù).實驗中采用ESP協(xié)議，通信端雙方的IP地址被加密算法加密.在對截獲到的數(shù)據(jù)包進行分析后，只能看到兩個VPN安全網(wǎng)關的IP地址通信信息，如圖6所示.實驗結果表明在VPN網(wǎng)關間的網(wǎng)絡通信是能夠得到安全保護的.

圖6 ESP封裝后數(shù)據(jù)

3.3 數(shù)據(jù)處理性能測試

我們在實驗中采用了Ping命令對網(wǎng)關進行數(shù)據(jù)處理性能測試.Ping命令用于測試兩節(jié)點間連通性的驗證，是基于ICMP的應用程序.Ping命令利用Echo Request（回顯請求）報文發(fā)給目的主機探測其可達性，源主機等待返回Echo Reply（回顯應答）來判斷目的主機是否可達［6］.

實驗中我們在Network A PC機和Network B客戶機間發(fā)送多個大小不同報文，通過分別計算出不同數(shù)據(jù)包傳輸?shù)钠骄鶗r間，比較分析VPN網(wǎng)關和普通網(wǎng)關包處理的性能.

具體實驗數(shù)據(jù)如表1所示，通過實驗結果看出VPN網(wǎng)關對數(shù)據(jù)的處理速度明顯要慢些.由于采用隧道模式，在處理過程中對數(shù)據(jù)進行了加解密及驗證操作，增加了VPN安全網(wǎng)關的處理負載，處理數(shù)據(jù)的延遲將變大一點.在實際應用中可以采用專門的硬件來進行加密和解密，來提高安全網(wǎng)關系統(tǒng)對IPSec處理的能力［7］.

表1 實驗數(shù)據(jù)

4 結束語

隨著互聯(lián)網(wǎng)不斷發(fā)展，基于互聯(lián)網(wǎng)的網(wǎng)絡應用越來越多，網(wǎng)絡的安全性問題也隨之而來.運用VPN技術可以在不安全的公用通信網(wǎng)絡基礎上建立安全的通道，保護數(shù)據(jù)信息通信的安全.VPN應用在近幾年也得到了飛速的發(fā)展，相信在未來的網(wǎng)絡應用中VPN技術有著廣闊的發(fā)展前景.

:

［1］李濤著.網(wǎng)絡安全概論［M］.北京:電子工業(yè)出版社，2004.

［2］吳功宜.計算機網(wǎng)絡高級教程［M］.北京:清華大學出版社，2007.

［3］卿斯?jié)h，蔣建春.網(wǎng)絡攻防技術原理與實踐［M］.北京:科學出版社，2004.

［4］蔡立軍.計算機網(wǎng)絡安全技術［M］.北京:中國水利水電出版社，2002.

［5］王衛(wèi)紅，李曉明.計算機網(wǎng)絡與互聯(lián)網(wǎng)［M］.北京:機械工業(yè)出版社，2009.

［6］杭州華三通信技術有限公司.路由交換技術［M］.北京:清華大學出版社，2011.

［7］楊文武.基于IPSec的VPN網(wǎng)關設計與實現(xiàn)［D］.長沙:國防科學技術大學，2008.