一.原理概述:
随着网络,尤其是网络经济的发展,企业日益扩张,客户分布日益广泛,合作伙伴日益增多,这种情况促使了企业的效益日益增长,另一方面也越来越凸现传统企业网的功能缺陷:传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求,主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下, VPN 以其独具特色的优势赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,而更多地致力于企业的商业目标的实现,但它与传统的专有网络,例如数字数据网( Digital Data Network )是利用数字信道传输数据信号的数据传输网,它的传输媒介有光缆、数字微波、卫星信道以及用户端可用的普通电缆和双绞线。利用数字信道传输数据信号与传统的模拟信道相比,具有传输质量高、速度快、带宽利用率高等一系列优点。虚拟专用网( Virtual Private Network )被定义为通过一个公用网络(通常是 Internet )建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
二、VPN 协议简介
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前 VPN 隧道协议有 4 种:点到点隧道协议 PPTP 、第二层隧道协议 L2TP 、网络层隧道协议 IPSec 以及 SOCKS v5 ,它们在 OSI 七层模型中的位置如表所示。各协议工作在不同层次,无所谓谁更有优势。但我们应该注意,不同的网络环境适合不同的协议,在选择 VPN 产品时,应该注意选择。
1 .点到点隧道协议 —PPTPPPTP 协议将控制包与数据包分开,控制包采用 TCP 控制,用于严格的状态查询及信令信息;数据包部分先封装在 PPP 协议中,然后封装到 GRE V2 协议中。目前, PPTP 协议基本已被淘汰,不再使用在 VPN 产品中。
2 .第二层隧道协议 —L2TPL2TP 是国际标准隧道协议,它结合了 PPTP 协议以及第二层转发 L2F 协议的优点,能以隧道方式使 PPP 包通过各种网络协议,包括 ATM 、 SONET 和帧中继。但是 L2TP 没有任何加密措施,更多是和 IPSec 协议结合使用,提供隧道验证。
三、隧道协议在 OSI 七层模型中的位置
1、IPSec 的安全性描述
IPSec ( 1P Security )产生于 IPv6 的制定之中,用于提供 IP 层的安全性。由于所有支持 TCP / IP 协议的主机进行通信时,都要经过 IP 层的处理,所以提供了 IP 层的安全性就相当于为整个网络提供了安全通信的基础。鉴于 IPv4 的应用仍然很广泛,所以后来在 IPSec 的制定中也增添了对 IPv4 的支持。最初的一组有关 IPSec 标准由 IETF 在 1995 年制定,但由于其中存在一些未解决的问题,从 1997 年开始 IETF 又开展了新一轮的 IPSec 的制定工作,截止至 1998 年 11 月份主要协议已经基本制定完成。不过这组新的协议仍然存在一些问题,预计在不久的将来 IETF 又会进行下一轮 IPSec 的修订工作。
2、IPSec 基本工作原理 IPSec 的工作原理(如下图所示)类似于包过滤防火墙,可以看作是对包过滤防火墙的一种扩展。当接收到一个 IP 数据包时,包过滤防火墙使用其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,包过滤防火墙就按照该规则制定的方法对接收到的 IP 数据包进行处理。 这里的处理工作只有两种:丢弃或转发。IPSec 通过查询 SPD ( Security P01icy Database 安全策略数据库)决定对接收到的 IP 数据包的处理。但是 IPSec 不同于包过滤防火墙的是,对 IP 数据包的处理方法除了丢弃,直接转发(绕过 IPSec )外,还有一种,即进行 IPSec 处理。正是这新增添的处理方法提供了比包过滤防火墙更进一步的网络安全性。进行 IPSec 处理意味着对 IP 数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的 IP 数据包的通过,可以拒绝来自某个外部站点的 IP 数据包访问内部某些站点,.也可以拒绝某个内部站点方对某些外部网站的访问。但是包过滤防火墙不能保证自内部网络出去的数据包不被截取,也不能保证进入内部网络的数据包未经过篡改。只有在对 IP 数据包实施了加密和认证后,才能保证在外部网络传输的数据包的机密性,真实性,完整性,通过 Internet 进新安全的通信才成为可能。IPSec 既可以只对 IP 数据包进行加密,或只进行认证,也可以同时实施二者。但无论是进行加密还是进行认证, IPSec 都有两种工作模式,一种是与其前一节提到的协议工作方式类似的隧道模式,另一种是传输模式。传输模式,如图 2 所示,只对 IP 数据包的有效负载进行加密或认证。此时,继续使用以前的 IP 头部,只对 IP 头部的部分域进行修改,而 IPSec 协议头部插入到 IP 头部和传输层头部之间。隧道模式,如图 3 所示,对整个 IP 数据色进行加密或认证。此时,需要新产生一个 IP 头部, IPSec 头部被放在新产生的 IP 头部和以前的 IP 数据包之间,从而组成一个新的 IP 头部。
四、IPSec 中的三个主要协议 前面已经提到 IPSec 主要功能为加密和认证,为了进行加密和认证 IPSec 还需要有密钥的管理和交换的功能,以便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由 AH , ESP 和 IKE 三个协议规定。为了介绍这三个协议,需要先引人一个非常重要的术语棗 SA ( Securlty Association 安全关联)。所谓安全关联是指安全服务与它服务的载体之间的一个“连接”。 AH 和 ESP 都需要使用 SA ,而 IKE 的主要功能就是 SA 的建立和维护。只要实现 AH 和 ESP 都必须提供对 SA 的支持。通信双方如果要用 IPSec 建立一条安全的传输通路,需要事先协商好将要采用的安全策略,包括使用的加密算法、密钥、密钥的生存期等。当双方协商好使用的安全策略后,我们就说双方建立了一个 SA 。 SA 就是能向其上的数据传输提供某种 IPSec 安全保障的一个简单连接,可以由 AH 或 ESP 提供。当给定了一个 SA ,就确定了 IPSec 要执行的处理,如加密,认证等。 SA 可以进行两种方式的组合,分别为传输临近和嵌套隧道。
1 .ESP ( Encapsulating Secuity Fayload )ESP 协议主要用来处理对 IP 数据包的加密,此外对认证也提供某种程度的支持。 ESP 是与具体的加密算法相独立的,几乎可以支持各种对称密钥加密算法,例如 DES , TripleDES , RC5 等。为了保证各种 IPSec 实现间的互操作性,目前 ESP 必须提供对 56 位 DES 算法的支持。ESP 协议数据单元格式三个部分组成,除了头部、加密数据部分外,在实施认证时还包含一个可选尾部。头部有两个域:安全策略索引( SPl )和序列号( Sequencenumber )。使用 ESP 进行安全通信之前,通信双方需要先协商好一组将要采用的加密策略,包括使用的算法、密钥以及密钥的有效期等。“安全策略索引”使用来标识发送方是使用哪组加密策略来处理 IP 数据包的,当接收方看到了这个序号就知道了对收到的 IP 数据包应该如何处理。“序列号”用来区分使用同一组加密策略的不同数据包。加密数据部分除了包含原 IP 数据包的有效负载,填充域(用来保证加密数据部分满足块加密的长度要求)包含其余部分在传输时都是加密过的。其中“下一个头部( Next Header )”用来指出有效负载部分使用的协议,可能是传输层协议( TCP 或 UDP ),也可能还是 IPSec 协议( ESP 或 AH )。
通常, ESP 可以作为 IP 的有效负载进行传输,这 JFIP 的头 UKB 指出下广个协议是 ESP ,而非 TCP 和 UDP 。由于采用了这种封装形式,所以 ESP 可以使用旧有的网络进行传输。
前面已经提到用 IPSec 进行加密是可以有两种工作模式,意味着 ESP 协议有两种工作模式:传输模式( Transport Mode )和隧道模式( TunnelMode )。当 ESP 工作在传输模式时,采用当前的 IP 头部。而在隧道模式时,侍整个 IP 数据包进行加密作为 ESP 的有效负载,并在 ESP 头部前增添以网关地址为源地址的新的 IP 头部,此时可以起到 NAT 的作用。
2 .AH ( Authentication Header )AH 只涉及到认证,不涉及到加密。 AH 虽然在功能上和 ESP 有些重复,但 AH 除了对可以对 IP 的有效负载进行认证外,还可以对 IP 头部实施认证。主要是处理数据对,可以对 IP 头部进行认证,而 ESP 的认证功能主要是面对 IP 的有效负载。为了提供最基本的功能并保证互操作性, AH 必须包含对 HMAC-SHA 和 HMAC- MD5 ( HMAC 是一种 SHA 和 MD5 都支持的对称式认证系统)的支持。
AH 既可以单独使用,也可在隧道模式下,或和 ESP 联用。
3 .IKE ( Internet Key Exchange )IKE 协议主要是对密钥交换进行管理,它主要包括三个功能: 对使用的协议、加密算法和密钥进行协商。
方便的密钥交换机制(这可能需要周期性的进行)。
跟踪对以上这些约定的实施。
五、DDN 和 VPN 安全性比较
一般在DDN线路中,都是采用专用线路,没有与公众线路连接在一起,所以在很大程度上与VPN相比,容易导致安全上的误解。
从实际使用上看,由于DDN线路的专用性,所以也大大减少了其被攻击破坏的可能性。
但是另外一方面,从原理上分析,数据在DDN网络上面传输其实是不安全的,数据传送的过程中可能会被人窃取、修改等;数据在VPN虚拟专网中传输的过程是安全的,通过加密、身份认证、封包认证等过程保证数据包在传送的过程中不被窃取、删除和修改。
六、总结
其实DDN是专有网络最传统的方式。以Cisco为代表的产品都是这样去解决。在欧美发达国家,由于固定IP地址的费用比较低,DDN方式的专用网络很容易实现,而在亚洲许多国家,IP地址比较匮乏,从而使得DDN固定IP的费用非常昂贵。客观的说,DDN的专有网络无疑是稳定的,虽然配置要求专业人员,也能形成网状的连接。但是从购买设备、安装调试和后期的维护的费用都是巨大的,而且还有每月高昂的通讯费用,这都将在国内制约着DDN专有网络的发展。随着IP技术的发展和国内骨干网络带宽的不断提高,VPN越来越能满足用户安全性、高效性和灵活性等要求。可以相信,在未来几年内,VPN架构的企业信息化网络是主流方式。
【编辑推荐】