信息安全管理系列之五十一

如何將異地的網(wǎng)絡(luò)連在一起？虛擬專用網(wǎng)絡(luò)（VPN）是目前最為常見的方案之一。嚴格講，VPN并不是安全產(chǎn)品，但是由于VPN的重要性，以及其中安全的重要性，在關(guān)于網(wǎng)絡(luò)安全（network security）的國際標(biāo)準(zhǔn)ISO/IEC 27033中，就有關(guān)于VPN安全的專門部分。下文中，同專欄的前幾期一樣，也是從使用的角度介紹VPN安全。

謝宗曉（特約編輯）

摘要：介紹虛擬專用網(wǎng)絡(luò)（VPN）的概念，主要的隧道協(xié)議，以及相關(guān)的國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和密碼行業(yè)標(biāo)準(zhǔn)。

關(guān)鍵詞：信息安全 網(wǎng)絡(luò)安全 虛擬專用網(wǎng)絡(luò)

Virtual Private Network （VPN） and Related Standards

Xie Zongxiao （China Financial Certification Authority）

Wang Xingqi （School of Economics and Management， Taishan University）

Abstract： This paper introduces the concept of virtual private network （VPN）， the main tunneling protocol， as well as the relevant international standards， national standards and cryptographic industry standards.

Key words： information security， network security， virtual private network （VPN）

1 為什么需要VPN

連接不同的網(wǎng)絡(luò)，最直接的方法是拉一條線纜，一般只用于軍事用途。既然物理專線的方式不可行，可以考慮采用邏輯上的專線，這就是我們平時所指的“專線”。專線的實現(xiàn)最常見的實現(xiàn)方式為數(shù)字數(shù)據(jù)網(wǎng)（Digital Data Network，DDN）和幀中繼（Frame Relay，F(xiàn)R）。但是，幾乎所有的專線存在最嚴重的問題是成本太高，租用專線的組織一般都是對數(shù)據(jù)和網(wǎng)絡(luò)高度依賴的金融和證券等特殊行業(yè)用戶，大部分企業(yè)沒有能力也完全沒有必要采用專線方式。

VPN的出現(xiàn)正是為了解決以上缺點。事實上，VPN是目前最常見，也是最“虛擬”的方式。通俗講，VPN就是在公用網(wǎng)絡(luò)上搭建一個私有網(wǎng)絡(luò)，所以VPN（Virtual Private Network）實際應(yīng)翻譯為虛擬私有網(wǎng)絡(luò)。VPN就是利用已經(jīng)建成的網(wǎng)絡(luò)（例如，Internet）將多個私有局域網(wǎng)連接在一起。

2 VPN的服務(wù)質(zhì)量

由于VPN建立在互聯(lián)網(wǎng)上，因此也不能提供服務(wù)質(zhì)量（Quality of Service， QoS）。

數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸，如同汽車在公路網(wǎng)上運輸，大致的時間可以確定，但不是很準(zhǔn)確。在數(shù)據(jù)高峰時候，數(shù)據(jù)不能及時到達，這與堵車是差不多的場景，不過情形比堵車更糟糕，堵車很少有把車直接丟了的情況，而鏈路堵塞則可能導(dǎo)致數(shù)據(jù)直接被丟棄。與此不同的場景是，專用于語音通話服務(wù)的電信網(wǎng)能夠保證QoS，如同鐵路運輸，在某一時刻火車（如同數(shù)據(jù)包）獨占了該線路。

傳輸方式（或連接類型）與QoS并沒有必然的聯(lián)系。例如，“面向有連接型”和“面向無連接型”，前者如TCP協(xié)議，后者如IP協(xié)議。面向有連接型如同平時打電話，一方在撥號之后會等待對方應(yīng)答，只有在對方應(yīng)答之后才能開始通話。面向無連接型則不同，發(fā)送端隨時發(fā)送，接收端也隨時接收，如同我們?nèi)ム]局寄包裹，不需要雙方確定好時間，寄的只管按地址寄，收的只管按地址收。

3 VPN的主要技術(shù)

VPN屬于遠程訪問技術(shù)，一個典型的VPN應(yīng)用如圖1所示。

VPN的技術(shù)實現(xiàn)包括諸多方面，例如，隧道技術(shù)（Tunneling）、加密/解密技術(shù)和身份認證技術(shù)等，如圖1所示，這其中最基本的是隧道技術(shù)。隧道技術(shù)是在公用網(wǎng)上建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道進行傳輸[1]。在隧道中，數(shù)據(jù)包會被重新封裝。所謂封裝，就是在原IP分組上添加新的表頭，因此操作也叫IP封裝化，就如同將數(shù)據(jù)包裝進信封一樣。一般而言，只對數(shù)據(jù)加密的通信路徑不能稱為隧道，在一個數(shù)據(jù)包上再添加一個報頭才叫做封裝化。

隧道的建立需要通過隧道協(xié)議。由于隧道技術(shù)在VPN實現(xiàn)中的重要性，隧道協(xié)議有時候也被稱為VPN協(xié)議，VPN本身有時候也被稱為隧道。隧道協(xié)議可以工作在開放式系統(tǒng)互聯(lián)（Open System Interconnection，OSI）參考模型的第2～4層，即數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層或傳輸層，常見的大多在第2層或者第3層，具體如表1所示。

表1中，較為重要的協(xié)議為PPTP、IPSec和MPLS。

PPTP是在已經(jīng)存在的IP連接上封裝點對點協(xié)議（Point to Point Protocol，PPP）會話，可以認為是PPP的擴展，主要是增強了認證和加密功能。PPTP對PPP本身并沒有做任何修改，只是使用PPP撥號連接，然后獲取這些PPP包，并把它們封裝進GRE中。PPTP采用TCP1723 端口，且PPTP也沒有定義任何加密機制，因此其安全性不如IPSec VPN 和TLS VPN。

IPSec VPN提供端對端的安全性，是以后安全聯(lián)網(wǎng)的趨勢[2]。因為所有支持TCP/IP的主機在進行通信時都要經(jīng)過IP層的處理，所以提供了IP層的安全性就相當(dāng)于為整個網(wǎng)絡(luò)提供了安全通信的基礎(chǔ)。IPSec基本的工作原理是對于收到的數(shù)據(jù)包，先查詢安全策略數(shù)據(jù)庫（Security Policy Database， SPD），以確定對其進行丟棄、轉(zhuǎn)發(fā)還是封裝。IPSec VPN提供傳輸模式和隧道模式兩種封裝模式，傳輸模式僅加密載荷數(shù)據(jù)，隧道模式則對IP包頭和載荷數(shù)據(jù)都會加密。這是由于剛發(fā)布時，當(dāng)時的網(wǎng)絡(luò)設(shè)備性能和網(wǎng)速比較慢，傳輸模式不加密可以提高速度。

IPSec提供了認證頭（Authenticaton Header，AH）和封裝安全載荷（Encapsulate Security Payload，ESP）兩類協(xié)議，兩者既可以單獨使用，也可以同時使用。AH指的是將原IP數(shù)據(jù)包使用AH進行封裝，并添加新的IP包頭，然后對整個包簽名[3]。ESP在原IP數(shù)據(jù)包基礎(chǔ)上添加ESP包頭，IP包頭和ESP認證尾[4]。AH和ESP的區(qū)別在于，ESP提供加密，AH不提供。

MPLS就是在數(shù)據(jù)包上加個標(biāo)簽，標(biāo)記一下流量等諸多要素。標(biāo)記可以很多種，不只流量。加一堆別的標(biāo)記，在MPLS上很容易實現(xiàn)VPN。加了標(biāo)記后，叫標(biāo)簽交換路徑（LSP）。這種技術(shù)原理的，稱為MPLS VPN。每個VPN子網(wǎng)分配有一個標(biāo)識符，叫做路由標(biāo)識符（RD），RD在服務(wù)商提供的網(wǎng)絡(luò)中是唯一的。RD與IP地址連接，形成新的地址，稱為VPN-IP。MPLS VPN本身也沒有加密機制，也就是說，安全性不如IPSec。

安全套接層（Secure Sockets Layer，SSL）最初由Netscape公司開發(fā)，后來國際互聯(lián)網(wǎng)工程任務(wù)組（IETF）將其更名為傳輸層安全（TLS）。SSL/ TLS VPN主要用于HTTPS協(xié)議中，作為構(gòu)造VPN的技術(shù)，其最大優(yōu)點是不需要安裝客戶端。

4 相關(guān)的國際/國家標(biāo)準(zhǔn)

在已經(jīng)發(fā)布的ISO/IEC 27000標(biāo)準(zhǔn)族中，與VPN相關(guān)的如ISO/IEC 27033-5：2013，其全稱為：

Information technology—Security techniques—Network security—Part 5： Securing communications across networks using Virtual Private Networks （VPNs）

《信息技術(shù) 安全技術(shù) IT網(wǎng)絡(luò)安全 第5部分：使用虛擬專用網(wǎng)的跨網(wǎng)通信安全保護》

ISO/IEC 27033-5：2013實際是將VPN作為一個安全域處理，首先描述了VPN所面臨的安全威脅，由此討論了VPN的安全要求，包括：機密性、完整性、真實性、授權(quán)和可用性等，根據(jù)安全需求導(dǎo)出安全控制（controls），重點討論的內(nèi)容是設(shè)計，最后給出了產(chǎn)品選型指南。該標(biāo)準(zhǔn)中的安全設(shè)計內(nèi)容，即第10章，從管理、架構(gòu)和技術(shù)三個方面給出了指導(dǎo)，與ISO/ IEC 27001：2013附錄A的控制存在一致之處。

ISO/ IEC 27033-5：2013在之前被發(fā)布的版本為ISO/IEC 18028-5：2006，而該版本被等同采用為GB/T 25068.5—2010。在ISO/IEC 18028-5：2006前言中很明確地指出該標(biāo)準(zhǔn)拓展了ISO/ IEC TR 13335 與 ISO/ IEC 17799的安全管理指南。關(guān)于ISO/ IEC TR 13335后續(xù)的開發(fā)，可以參考文獻[5]，關(guān)于ISO/IEC 17799的詳細發(fā)展過程及后續(xù)開發(fā)，可以參考文獻[6]。

在國家標(biāo)準(zhǔn)中，發(fā)布有：GB/ T 32922—2016《信息安全技術(shù) IPSec VPN安全接入基本要求與實施指南》。實際上，與VPN相關(guān)的標(biāo)準(zhǔn)大多以密碼行業(yè)標(biāo)準(zhǔn)的形式發(fā)布，具體如表2所示。

5 小結(jié)

虛擬專用網(wǎng)絡(luò)（VPN）是連接異地網(wǎng)絡(luò)最常見的技術(shù)之一，作為遠程訪問技術(shù)，VPN的安全就顯得格外重要。在本文中，首先分析了VPN的需求及其要解決的問題，然后討論了在VPN實現(xiàn)中最為基礎(chǔ)的隧道技術(shù)/協(xié)議，最后給出了目前VPN相關(guān)的標(biāo)準(zhǔn)。

參考文獻

[1] 劉建偉， 王育民. 網(wǎng)絡(luò)安全——技術(shù)與實踐（第2版）[M].北京：清華大學(xué)出版社，2015.

[2] MARK RHODES-OUSLEY. 信息安全完全參考手冊（第2版）[M].李洋，段洋，葉天斌，譯. 北京：清華大學(xué)出版社，2014.

[3] RFC2402， https：//tools.ietf.org/html/rfc2402.

[4] RFC2406， https：//www.ietf.org/rfc/rfc2406.txt.

[5] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2018（9）：16-18.

[6] 謝宗曉，王靜漪.ISO/IEC 27001與ISO/IEC 27002標(biāo)準(zhǔn)的演變[J].中國標(biāo)準(zhǔn)導(dǎo)報，2015（7）：48-52.