翟正光

【摘要】隨著經(jīng)濟和網(wǎng)絡應用的發(fā)展，越來越多的公司需要以一種安全，有效的方式與其分公司和客戶遠程聯(lián)系，VPN技術由此產(chǎn)生。用IPSec協(xié)議實現(xiàn)VPN是目前較為廣泛的一種應用。本文主要討論VPN技術的原理、簡單應用以及IPSec VPN的連接步驟。

【關鍵詞】IPSec;VPN;模式與類型;加解密;連接

1.VPN概述

1.1 遠程訪問的挑戰(zhàn)

當今，隨著網(wǎng)絡業(yè)務的迅速發(fā)展，企業(yè)必須擴展其內網(wǎng)應用服務資源和數(shù)據(jù)資源的訪問領域，以滿足越來越多的遠程接入需求，比如分支機構接入、合作伙伴接入、客戶接入、出差員工接入、遠程辦公接入等等。接入的網(wǎng)絡環(huán)境也越來越復雜，接入的場景更是千變萬化。如何在保證內網(wǎng)安全的前提下，確保處于各種復雜的網(wǎng)絡環(huán)境以及接入場景的合法用戶，能夠安全接入內網(wǎng)，對現(xiàn)代企業(yè)網(wǎng)絡提出了新的挑戰(zhàn)。

1.2 VPN建設的關鍵點

在這種背景下，虛擬專用網(wǎng)VPN（Virtual Private Network）的搭建越來越普遍，在VPN的建設中，有以下幾點需要我們重點關注。

（1）可靠性

當VPN作為外網(wǎng)到內網(wǎng)受控資源的唯一訪問通道時，VPN隧道的可靠性決定了對外業(yè)務的可用性。當VPN設備出現(xiàn)故障無法及時恢復運行時，勢必導致外網(wǎng)遠程用戶無法順利訪問并獲取到內網(wǎng)的信息資源，造成業(yè)務中斷，可能給企業(yè)帶來重大的商業(yè)損失。

（2）安全性

在企業(yè)內部資源對外開放的場景下，遠程用戶的身份、用戶終端設備的不確定性、Internet數(shù)據(jù)傳輸、用戶訪問權限的不受限以及網(wǎng)絡攻擊等等都可能對內部網(wǎng)絡、內部信息造成極大的安全威脅。內部資源對外開放的安全性問題，是企業(yè)在搭建VPN的過程需要重點保障的。

（3）兼容性

隨著智能終端的日益多樣化、普及化，用戶使用的終端類型越來越豐富。而移動辦公的頻繁化，使得接入的地點和場景越來越復雜，用戶可能使用的終端并不是自有的，如何保證VPN遠程接入不受限于終端類型以及終端系統(tǒng)的軟件環(huán)境，就要求VPN客戶端具備盡可能全面的兼容能力。

（4）易用性

隨著VPN應用的日益普及，VPN的使用者也在呈幾何級的膨脹。這些使用者不僅是終端用戶，還包括了VPN設備的管理員。這些用戶和管理員的操作水平不一，復雜的配置可能對VPN業(yè)務的使用造成不小的障礙，并且影響工作效率。

2.VPN的模式與類型

2.1 VPN的連接模式

VPN技術有兩種基本的連接模式：隧道模式和傳輸模式，這兩種模式實際上定義了兩臺實體設備之間傳輸數(shù)據(jù)時所采用的不同的封裝過程。

（1）傳輸模式

傳輸模式一個最顯著的特點就是：在整個VPN的傳輸過程中，IP包頭并沒有被封裝進去，這就意味著從源端到目的端數(shù)據(jù)始終使用原有的IP地址進行通信。而傳輸?shù)膶嶋H數(shù)據(jù)被封裝在VPN報文中。對于大多數(shù)VPN傳輸而言，VPN的報文封裝過程就是數(shù)據(jù)的加密過程，因此攻擊者截獲數(shù)據(jù)后將無法破解數(shù)據(jù)內容，但卻可以清晰地知道通信雙方的地址信息。

（2）隧道模式

在該模式中，VPN設備將整個三層數(shù)據(jù)報文封裝在VPN數(shù)據(jù)內，再為封裝后的數(shù)據(jù)報文添加新的IP包頭。由于在新IP包頭中封裝的是VPN設備的IP地址信息，所以當攻擊者截取數(shù)據(jù)后，不但無法了解實際載荷數(shù)據(jù)的內容，同時也無法知道實際通信雙方的地址信息。

由于隧道模式的VPN在安全性和靈活性方面具有很大的優(yōu)勢，在企業(yè)環(huán)境中應用十分廣泛，總公司和分公司跨廣域網(wǎng)的通信，移動用戶在公網(wǎng)訪問公司內部資源等很多情況，都會應用隧道模式的VPN對數(shù)據(jù)傳輸進行加密。

2.2 VPN的類型

通常情況下，VPN的類型可以分為站點到站點VPN和遠程訪問VPN。

（1）站點到站點VPN

站點到站點VPN就是通過隧道模式在VPN網(wǎng)關之間保護兩個或更多的站點之間的流量，站點間的流量通常是指局域網(wǎng)之間（L2L）的通信流量。L2L VPN多用于總公司與分公司、分公司之間在公網(wǎng)上傳輸重要業(yè)務數(shù)據(jù)。

（2）遠程訪問VPN

遠程訪問VPN通常用于單用戶設備與VPN網(wǎng)關之間的通信鏈接，單用戶設備一般為一臺PC或小型辦公網(wǎng)絡等。VPN連接的一端為PC，可能會讓很多人誤解遠程訪問VPN使用傳輸模式，但因為該種VPN往往也是從公網(wǎng)傳輸關鍵數(shù)據(jù)，而且單一用戶更容易成為黑客的攻擊對象，所以遠程訪問VPN對于安全性的要求較高，更適用于隧道模式。

要想實現(xiàn)隧道模式的通信，就需要給遠程客戶端分配兩個IP地址：一個是它自己的NIC地址，另一個是內網(wǎng)地址。也就是說遠程客戶端在VPN建立過程中同時充當VPN網(wǎng)關（使用NIC地址）和終端用戶（使用內網(wǎng)地址）。

3.VPN數(shù)據(jù)的加解密算法

在所有的加解密算法中，可以分為對稱式加密和非對稱式加密，以下是差異及優(yōu)缺點。

3.1 對稱加密算法

對稱加密算法使用同一密鑰對信息提供安全的保護。加密時首先將待加密的數(shù)據(jù)及密鑰提供給加密算法，這樣即可將信息加密，而加密后的內容就變成了一堆無法被閱讀的數(shù)據(jù)，但是當我們需要閱讀這些數(shù)據(jù)時，就必須將被加密后的數(shù)據(jù)及解密時所需要的密鑰提供給解密算法，這樣即可將被加密過的數(shù)據(jù)還原成我們可以直接閱讀的信息了。如果加密和解密使用的密鑰相同，就稱為對稱式加密。該方式最大的優(yōu)點是加解密速度快，缺點是保證密鑰安全傳遞不易。

3.2 非對稱加密算法

非對稱加密算法使用兩個不同的密鑰：公鑰和私鑰進行加密和解密。用一個密鑰加密的數(shù)據(jù)僅能被另一個密鑰解密，且不能從一密鑰推導出另一個密鑰。假設接收方的公鑰和私鑰分別為A和B，客戶端傳輸?shù)拿魑臄?shù)據(jù)為D，VPN網(wǎng)關加密后的數(shù)據(jù)為C，而M與N分別分加密和解密函數(shù)。數(shù)據(jù)加密過程如下：

（1）通信雙方交換公鑰。

（2）發(fā)送方的VPN網(wǎng)關通過公鑰將明文數(shù)據(jù)D加密成為密文數(shù)據(jù)C。

（3）接收方VPN網(wǎng)關通過自己的私鑰解密數(shù)據(jù)，整個私鑰始終沒有在網(wǎng)絡中傳輸。

該算法的優(yōu)點在于安全性很高，缺點是計算過程復雜，占用CPU資源，運算速度慢。

4.IPSec VPN連接

IPSec協(xié)議是一個標準的第三層安全協(xié)議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPSec的主要特征在于它可以對所有IP級的通信進行加密。

在對等體之間建立IPSec VPN的連接需要三個步驟：

（1）流量觸發(fā)IPSec

一般來說，IPecS建立過程是由對等體之間發(fā)送的流量觸發(fā)。一旦有VPN流量經(jīng)過VPN網(wǎng)關，連接過程便開始建立了，當然，手工配置也可以實現(xiàn)這一過程。在配置設備實現(xiàn)此步驟前，網(wǎng)絡工程師需要明確哪些流量需要被保護。

（2）建立管理連接

IPSec使用ISAKMP/IKE階段1來構建一個安全的管理連接。這里需要注意的是，這個管理連接只是一個準備工作，它不被用來傳輸實際的數(shù)據(jù)。在配置設備實現(xiàn)此步驟前，網(wǎng)絡工程師需要明確設備如何實現(xiàn)驗證，使用何種加密及認證算法，使用哪種DH組等問題。

（3）建立數(shù)據(jù)連接

IPSec基于安全的管理連接協(xié)商建立安全的數(shù)據(jù)連接，而ISAKMP/IKE階段2就是用來完成這個任務的，數(shù)據(jù)連接用于傳輸真正的用戶數(shù)據(jù)。在配置設備實現(xiàn)此步驟前，網(wǎng)絡工程師需要明確使用何種協(xié)議，針對具體的安全協(xié)議應使用加密或驗證算法，以及數(shù)據(jù)的傳輸模式（隧道模式或傳輸模式）等問題。

經(jīng)過IPSec建立的三步之后，VPN流量便可以按照協(xié)商的結果被加密解密了。但是VPN連接并不是一次性的，無論是管理連接還是數(shù)據(jù)連接都有一個生存周期與之關聯(lián)，一旦到期連接便會被中止，如果需要繼續(xù)傳輸VPN數(shù)據(jù)，連接需要重新被構建，這種設計主要是出于安全性的考慮。

參考文獻

[1]譚浩強.BENET網(wǎng)絡工程師認證教程[Z].2009，11.

[2]袁津生，吳硯龍.計算機網(wǎng)絡安全基礎[M].北京：人民郵電出版社，2004，7.

[3]張雙，史浩山.VPN實現(xiàn)技術研究[J].計算機工程，2002 （08）.

[4]黃允聰.網(wǎng)絡安全基礎[M].北京：清華大學出版社，1999.