□ 丁望
VPN与IPsec
1. VPN概述
近年来,随着Internet的快速增长,Internet的传输速率越来越高,接入费用日益降低,这使得越来越多的企业开始采用Internet作为企业内联网的传输平台,特别是在一些跨地区跨国性的大中企业里正得到广泛应用。VPN技术为Intranet、Extranet的建设,同时亦为电子商务的发展提供了有力的技术支撑,并向传统的DDN专线甚至帧中继网提出了严峻的挑战。
2. VPN的实现方法
VPN的定义非常广泛,因此,目前市场上出现了很多的VPN产品,实现VPN的方法也有很多种。但就计算机网络来说,其实现VPN所选用的层次,可以有网络层VPN、数据链路层VPN等。网络层VPN多采用IP协议,而数据链路层VPN则由ATM或帧中继虚电路来实现。随着技术的发展,通过IP层实现VPN已成为目前业界主流。
IP层VPN的实现方法包括: 控制路由选择、隧道和网络层封装等。
所谓控制路由选择也就是路由过滤,通过控制路由的传递,来限制对内部信息的访问。这种方法实际上属于访问控制一类,并由此实现公共网络上的专有服务。
隧道技术在VPN的实现上得到了比较广泛的应用。首先,一个IP隧道可以调整为多种形式的有效负载。远程用户能够透明地拨号上网来访问企业的IP、IPX或AppleTalk网络。第二,隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。第三,使用隧道技术访问企业内联网时,企业内联网不会向Internet报告它的IP网络地址。
目前,伴随技术的发展,网络层封装正在成为VPN实现技术的主流。其事实标准IPsec已由IETF在1998年正式制定发布,并成为了开放性IP安全标准,是当前实现VPN的基础,已经相当成熟可靠。
IPsec标准概述
实际上IPsec是一整套协议包而不只是一个单独的协议, 这一点对于我们认识IPSec是很重要的。IPsec协议把多种安全技术集合到一起,从而建立起一个安全、可靠的隧道。在IPsec安全体系结构中包括了3个最基本的协议:AH(Authentication Header)协议为IP包提供信息源验证和完整性保证;ESP(Encapsulating Security Payload)协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。
1. IPsec的作用
IPsec通过激活系统所需要的安全协议、确定用于服务的算法及所要求的密钥来提供安全服务。IPsec可用来保护一条或多条介于主机之间、安全网关之间或主机和安全网关之间的数据通道。
IPsec所能提供的安全服务集包括访问控制、无连接完整性、数据源认证、重播保护(各部分的序列完整)、机密性(加密)以及有限传输流量的机密性。由于这些服务在IP层提供,能被更高层次的协议所利用(如:TCP、UDP、ICMP、BGP等),并且对于应用程序和终端用户来说是透明的,所以,应用和终端用户不需要更改程序和进行安全方面的专门培训。
2. IPsec实现机制
IPsec通过提供下列服务来保护通过公共IP网络传送的私有数据:
● 访问控制 访问控制是指防止未经授权对资源进行访问。IPsec中,需要进行访问控制的资源通常指主机中的数据和计算能力、安全网关内的本地网及其带宽。IPsec使用身份认证机制进行访问控制。
● 数据源认证 数据源认证对数据来源所声明的身份进行验证,通常与无连接数据完整性相结合。IPsec使用消息鉴别机制实现数据源认证服务。
● 机密性和有限传输流量的机密性 相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。有限传输流量的机密性服务是指防止对通信的外部属性(源地址、目的地址、消息长度和通信频率等)的泄露,从而使攻击者无法对网络流量进行分析,推导其中的传输频率、通信者身份、数据包大小、数据流标识符等信息。
● 无连接完整性和抗重播 无连接完整性服务对单份数据包是否被修改进行检查,而对数据包的到达顺序不作要求。IPsec使用数据源认证机制实现无连接完整性服务。IPsec的抗重播服务,亦称为部分序号完整性服务,是指防止攻击者截取和复制IP包,然后发送到目的地。IPsec根据IPsec头中的序号字段,使用滑动窗口原理,实现抗重播服务。
上面的服务都在IP层上实现。IPsec采用了以下两个协议提供传输安全: AH和ESP。IP AH提供无连接完整性、数据源认证和可选的防重播服务。ESP协议可提供机密性和受限传输流机密性;还可提供无连接完整性、数据源认证和防重播服务。这些协议可单独使用或组合使用,以提供所希望的安全服务。
IPsec允许用户(或系统管理员)控制安全服务的粒度。如: 单个加密隧道用于两个安全网关间所有的传输或在通过网关的两台主机间为每个TCP连接建立独立的加密隧道。IPsec管理在下列方面体现了很大的灵活性:使用何种安全服务和何种组合; 给定的安全保护采用何种粒度;用于加密的算法。
由于这些安全服务使用共享的安全值(加密密钥),因此IPsec必须依赖于一套独立的密钥管理机制。IPsec提供了一个基于公钥体系的实现方法IKE,并要求支持手工和自动密钥分发。在IPsec中采用了多种密码技术。同时,也可以采用其他自动密钥分发技术,如:基于KDC的系统(Kerberos)和其他公钥系统。
IPsec较好地融合了加密技术和访问控制技术,实现了在主机或安全网关环境中对IP传输的保护。这种保护或者基于安全策略数据库(SPD)中定义的需求,或者基于由应用定义的需求。通常,报文按SPD数据库中匹配的情况,根据IP和传输层的头信息选择提供IPsec安全服务、丢弃或允许旁路(bypass),这是根据筛选器标识的相应数据库策略来确定。
IPsec可以运行于网络的任意一部分,它可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号访问设备之间,为各种分布式应用提供安全,可保证LAN、专用和公用WAN以及Internet的通信安全。
IPsec在国内的应用前景
IPsec在IP层上实现了加密、认证、访问控制等多种安全技术,极大地提高了TCP/IP协议的安全性。由于整个协议在IP层上实现,上层应用可不必进行任何修改,并且由于IPsec在实现安全策略上的灵活性,使得对安全网络系统的管理变得简便灵活。同时,IPsec可透过公共网络搭建企业Intranet 和Extranet,有效地降低了网络建设和运营的成本,已经成为了事实上的IP层安全标准,具有广泛的应用前景。
但是应该看到,由于IPsec采用了加密技术,因此在国家党政机关、事业单位和军队不可能直接采用国外的现有产品来搭建整个VPN网络。国内目前虽然有很多厂家推出了自己的VPN产品,但比较完整地实现了IPsec整个协议体系的安全产品还比较缺乏。所以,跟踪研究国外IPsec技术和产品的发展,开发具有自主版权的IPsec产品应该成为国内众多安全厂家的努力目标。■
摘自《网络世界》