VPN技術在安全接入中的應用研究

岳陽 伏海斌

（海軍計算技術研究所 100841）

VPN技術在安全接入中的應用研究

岳陽 伏海斌

（海軍計算技術研究所 100841）

本文以遠程接入安全需求為牽引，通過對VPN接入技術的研究，提出了VPN安全接入實現框架。

VPN；安全接入；應用區域；邊界

1 遠程接入安全需求

計算節點接入應用區域面臨以下幾方面的安全威脅[1]。

1.1 數據傳輸過程的安全威脅

攻擊者截獲、讀取、破解通信線路中的信息；攻擊者利用通信干擾工具，故意導致通信數據錯誤；攻擊者利用通用安全協議/算法/軟件等缺陷，獲取信息、解密密鑰或破壞通信完整性。

1.2 計算節點的安全威脅

設備的遺失或被盜，設備的非授權使用，授權用戶不合理使用和惡意行為，來自專網的攻擊和入侵等。

1.3 接入網絡的安全威脅

攻擊者利用網絡協議的漏洞攻擊；利用網絡結構設計缺陷旁路安全策略，非授權訪問網絡；攻擊者利用分布式拒絕服務攻擊等拒絕服務攻擊工具，惡意消耗各類系統資源，導致拒絕服務；攻擊者利用偽造客戶端進入系統，進行非法訪問；攻擊者盜用授權會話連接等威脅。

安全接入保證計算節點安全可控地接入應用區域。

2 VPN技術實現分析

在信息系統中可利用VPN在專用網絡上建立層疊網絡，常見的做法是在每個辦公節點建立一個網關，并且通過網絡在這些節點間建立隧道。充分利用VPN相關協議的安全特性來建立隧道，能夠將任何兩個節點之間的所有流量聚集到一個支持認證加密的安全關聯上，安全關聯是單向的，在兩個對等端存在兩個安全關聯，從而保證了完整性和保密性。VPN的優勢在于擴展連接的地域范圍，促進沒有加密數據傳輸的安全性，減少遠程用戶數據傳輸時間和傳輸費用，在一定范圍內簡化網絡拓撲結構，為網絡提供良好的伸縮性。

VPN的實現結構有LAN到LAN、LAN到PC、PC到PC幾種。LAN代表局域網或局域網的網關，PC表示主機或終端。VPN可在TCP/IP協議族的鏈路層實現（如L2F、PPTP等安全協議），也可在網絡層（IPSec）、應用層（SSL）實現，更多情況在網絡層實現。

2.1 基于PPTP/L2TP的VPN

點對點隧道協議PPTP[2]是微軟公司提出的。PPTP用IP包來封裝PPP協議。L2TP協議為使用PPP協議的客戶端建立撥號方式的虛擬專用網連接。L2TP也可用于傳輸多種協議數據。

優點是支持多種網絡協議和流量控制，缺點是它們用IP幀在兩臺計算機間創建和打開數據通道，一旦通道打開，源和目的用戶身份就不再需要。PPTP和L2TP限制同時最多只能連接255個用戶。端點用戶需要在連接前手工建立加密信道。認證和加密受到限制，沒有強加密和認證支持。

基于PPTP/L2TP的VPN適合用于LAN到PC的虛擬專用網。

2.2 基于IPSec的VPN

針對TCP/IP協議沒有充分考慮到安全問題而存在的嚴重安全漏洞。IPSec協議已成為支撐VPN的基礎協議之一，該協議為IP層傳輸提供多種安全服務。IPSec工作在網絡層，在參加IPSec的設備之間為數據的傳輸提供保護，主要是對數據的加密和數據收發方的身份認證。

IPSec協議[3]分為隧道模式和傳輸模式。在隧道模式下，ESP將整個IP分組封裝到ESP載荷中，AH將AH頭插入原IP分組和IP頭之前，并在AH頭之前插入新的IP頭。在傳輸模式下，ESP將上層協議部分封裝到ESP載荷中，AH將AH頭插入IP頭和路由擴展頭之后，上層協議（如TCP、UDP等）和端到端擴展頭之前。IPSec把數據包封裝在安全的IP幀中。

基于IPSec的VPN適合LAN到LAN的虛擬專用網。

2.3 基于SSL的VPN

SSL協議[4]是在Internet基礎上提供的一種保證私密性的安全協議，SSL協議的優勢在于它是與應用層協議獨立無關的。高層的應用層協議（如HTTP、FTP、Telnet等）能透明地建立于SSL協議之上。SSL協議在應用層協議通信之前就已完成安全等級、加密算法、通信密鑰的協商，以及執行對連接端身份的驗證工作。在此之后，在SSL連接上的應用層協議所傳送的數據都會被加密，從而保證通信的私密性。SSL可以用于任何面向連接的安全通信，但通常用于安全Web應用的HTTP協議。

可以將SSL VPN看作是建立在應用層之上為Web定制的數據安全訪問技術。SSL VPN部署時只需在服務器端安裝SSL VPN網關，在客戶端只需支持SSL的瀏覽器就可。

3 VPN安全接入實現框架

VPN安全接入實現框架如圖1所示。接入網絡層是接入的網絡基礎設施，包括接入設備和專用/公用網絡，該層具有多種接入方式包括局域網、無線局域網、衛星等。虛擬網絡層通過安全協議棧實現接入控制、數據加密和完整性校驗，提供接入過程的安全性保證，建立連接應用區域的虛擬網絡。

圖1 VPN安全接入實現框架

4 結束語

VPN由于能夠提供遠程網絡安全接入并能夠節約成本，已成為傳統接入方案的替代技術，成為應用區域邊界安全的重要組成部分。VPN技術不適合在內部應用區域與外部應用區域間使用，只適用于同一應用區域內部使用。

[1]Delivering Complete Network Protection Using Advanced Content Processing Technology，Fortinet White Paper，2002：5～6.

[2]Stallings，W.，Data and Computer Communications，6th Ed.，Prentice-Hall，2000：12～15.

[3]謝希任.計算機網絡（第 4 版）.電子工業出版社，2003：124～128.

[4]William Stallings，Network Security Essentials：Applications and Standards，Prentice-Hall，Inc.，2002：223～234.

TP393.1

A

1004-7344（2016）17-0250-01

2016-5-17