VPN安全虚拟专用网络解决方案[分享]

[size=18b]
一．前言

几年前,如果企业和机构想要建立一个全球性网络，必须自己建立这个专用网络。

为了将分支办公室连接到总部网络上,需要租赁自己使用的高速专线，并且可能会买一个时分多路复用器。为了让出差的同事们连接到公司总部的的网络上,需要安装拨号接入服务器和好几排调制解调器.并且需要依靠自己的力量去维护它们。而当技术迅速更新换代，迫使你去改变的时候,你需要承担日益增长的费用。

通常为了一些特殊的通信应用例如传输金融信息，要求使那些网络更加牢固可靠,需要在每一个点上配置昂贵的加密器保护线路免于信息泄露。在这种情况下，远程拨号访问就不太可能，除非制作专门用于拨号访问的硬件加密设备。

而今天，网络及网络安全技术的成熟使我们可以利用公共IP网络例如Internet作为广域网络的载体建立安全虚拟专用网，因为下列这些因素已经成为现实:



Internet的快速增长使它成为一种真正的全球性通信媒体和商务网络

安全虚拟专用网(Secure Virtual Private Network,VPN)技术已经成熟

标准化的IPSec协议成为安全虚拟专用网技术

网络服务提供商(NSP)提供的Internet连接能够达到比较完善服务水平

新的Internet应用的不断出现

IP逐渐成为具有统治地位的的协议


安全虚拟专用网解决方案的出现，使用户能利用Internet或其他公共IP网络建立自己安全、灵活、可伸缩、费用低廉的公司网络。现在，Internet的覆盖范围越来越大，服务的质量每天都有所改进。使用合适的网络安全技术,就能够简单地接入这个全球性的网络，而不用另外考虑建立你自己的专用网络.

当然，VPN技术的出现也受到商业应用的推动，因为公司和组织发现安全VPN能为他们提供越来越多的方式在Internet上做业务交流。安全虚拟专用网解决方案的商业推动因素包括:



远距离工作惊人的增加,分支机构和移动工作的需要

建立专用网络需要高额的成本和维护费用

需要和业务伙伴相互沟通

很多组织机构例如政府和金融需要很高的安全性


这些因素使得为了业务需要部署安全VPN解决方案不仅可行，而且费用低廉。

二．IPSec协议及安全虚拟专用网技术简介

IP虚拟专用网是指使用Internet或其他公共IP网络作为其广域网主干的网络，其WAN连接是通过本地的NSP/ISP提供，取代了长途专线连接，取代了长途拨号连接。如下图示：
目前有多种技术和方法建立IP虚拟专用网，例如PPTP、L2F、L2TP、IPSEC，其中PPTP、L2F、和L2TP是第二层的隧道协议，可以支持IP、IPX等多种协议，而IPSec协议则是第三层的协议，只支持IP。

在公共IP网上建设虚拟专用网，进行数据通信，需要满足通信安全的需要，主要有以下三类：



和你正在通信的人确实是那个你想要通信的人，你可能遇到的安全性问题是，在通信过程中，可能会碰到一个伪装者。

没有人能偷听你的通信内容，也就是，你的通信信息是保密的。

你接收到的通信信息在传输过程中没有被篡改。


这些安全性需求，用信息技术术语来说，就是：



认证：确认信息源

信息保密性：传输的信息是加密的

数据完整性：确认信息没有被篡改


所以，建立IP虚拟专用网，并能满足上述的三个安全需要，才是真正的安全虚拟专用网。

我们对安全虚拟专用网作这样的定义：安全虚拟专用网是指利用在现有公共网络例如INTERNET或专用IP网上将通信信息通过加密和认证进行安全传输的通信网络。

正确配置的安全虚拟专用网使用了强大的加密技术，它对内部用户看来是一个独立的、使用专用线路连接的LAN或WAN。安全虚拟专用网和传统专用网络之间的主要差异是真正的安全性(并不仅仅是专用)、 灵活性、可伸缩性和低成本。在今天，可以说，要建立安全的全球性连接,安全虚拟专用网是目前很多公司最佳的选择.

安全虚拟专用网建立在下面的技术基础上：



IPSec , IETF(Internet工程师任务组)制定的IP安全标准。

通过认证机构(CA)发放数字证书和进行第三方认证。或使用“共享密钥认证”用于小规模的安全虚拟专用网。

隧道技术,允许公司内部专用IP地址穿越Internet。


目前，IPSec技术加上集成的PKI(公共密钥体系)，可以说是最完善、最严密的IP VPN解决方案，它能够满足上述IP通信的三个安全需求，如下图所示，这是一个典型的使用IPSec和PKI(公共密钥体系)的安全虚拟专用网络体系结构。


下面我们简单介绍这些技术。

IPSec

经过IETF几年的努力,形成了IPSec的一系列协议，IPSec的目标是为IPv4和IPv6提供一个可相互兼容的、高质量、以密码系统为基础的IP安全通信技术。为实现这个目标，IPSec主要定义了以下三个相互关联的技术：

(1) Authentication Header(AH)：认证IP数据包，也就是将每个数据包中的数据和一个变化的数字签字结合起来，使得通讯一方确认发送数据的另一方的身份，并且确认数据在传输过程中没有被纂改过。

(2) Encapsulation Security Payload(ESP)： 使用硬件对数据包中的数据（包括敏感的IP地址）进行加密，这样，象Sniffer这样的网络监听软件都无法得到任何有用的信息。

(3)Internet Key Exchange(IKE)：一种功能强大的、灵活的协商协议,使得VPN节点之间达成安全通信的协定，如认证方法，加密方法，所用的密钥，密钥的使用期限，并允许智能的、安全密钥交换。

如下图示，这是一个典型的Ipsec数据包。


其中，Authentication Header(AH) 对整个数据包包括外网IP地址提供认证支持。AH 需要使用密码系统来确认认证报头内的信息的完整性。在AH 的实现上，至少需要支持由RSA Data Security 公司开发的Message Digest 5算法和由美国政府开发的Secure Hash 算法1（SHA-1），当然其他算法也可以支持。

AH 不要求一种特定的签字算法或认证中心（CA）。两个相互通信的系统必须通过通信安全协议协商过程确定一种共同的认证协议。

一个ESP（Encapsulation Security Payload）数据包由控制报头，用户原始数据包经过加密后形成的数据有效负载和一个可选的认证报尾组成。控制报头中包含一个安全协定标识（SPI，Security Protocol Identifier）和一个序列号码字段。控制报头还可能包含某些加密算法如DES算法所需要的控制信息，这个可选的字段称为初始化向量（IV，Initializoction Vector），认证报尾包含一个数字散列（digital Hash）来有效认证这个数据包。

ESP 使用下述几种加密算法中的一种来加密有效负载。在Ipsec的实现中，必须支持的加密算法有：



DES 和3DES（CBC 模式）

HMAC-MD5

HMAC