IPSec VPN技術的原理與應用

翟正光

【摘要】隨著經濟和網絡應用的發展，越來越多的公司需要以一種安全，有效的方式與其分公司和客戶遠程聯系，VPN技術由此產生。用IPSec協議實現VPN是目前較為廣泛的一種應用。本文主要討論VPN技術的原理、簡單應用以及IPSec VPN的連接步驟。

【關鍵詞】IPSec;VPN;模式與類型;加解密;連接

1.VPN概述

1.1 遠程訪問的挑戰

當今，隨著網絡業務的迅速發展，企業必須擴展其內網應用服務資源和數據資源的訪問領域，以滿足越來越多的遠程接入需求，比如分支機構接入、合作伙伴接入、客戶接入、出差員工接入、遠程辦公接入等等。接入的網絡環境也越來越復雜，接入的場景更是千變萬化。如何在保證內網安全的前提下，確保處于各種復雜的網絡環境以及接入場景的合法用戶，能夠安全接入內網，對現代企業網絡提出了新的挑戰。

1.2 VPN建設的關鍵點

在這種背景下，虛擬專用網VPN（Virtual Private Network）的搭建越來越普遍，在VPN的建設中，有以下幾點需要我們重點關注。

（1）可靠性

當VPN作為外網到內網受控資源的唯一訪問通道時，VPN隧道的可靠性決定了對外業務的可用性。當VPN設備出現故障無法及時恢復運行時，勢必導致外網遠程用戶無法順利訪問并獲取到內網的信息資源，造成業務中斷，可能給企業帶來重大的商業損失。

（2）安全性

在企業內部資源對外開放的場景下，遠程用戶的身份、用戶終端設備的不確定性、Internet數據傳輸、用戶訪問權限的不受限以及網絡攻擊等等都可能對內部網絡、內部信息造成極大的安全威脅。內部資源對外開放的安全性問題，是企業在搭建VPN的過程需要重點保障的。

（3）兼容性

隨著智能終端的日益多樣化、普及化，用戶使用的終端類型越來越豐富。而移動辦公的頻繁化，使得接入的地點和場景越來越復雜，用戶可能使用的終端并不是自有的，如何保證VPN遠程接入不受限于終端類型以及終端系統的軟件環境，就要求VPN客戶端具備盡可能全面的兼容能力。

（4）易用性

隨著VPN應用的日益普及，VPN的使用者也在呈幾何級的膨脹。這些使用者不僅是終端用戶，還包括了VPN設備的管理員。這些用戶和管理員的操作水平不一，復雜的配置可能對VPN業務的使用造成不小的障礙，并且影響工作效率。

2.VPN的模式與類型

2.1 VPN的連接模式

VPN技術有兩種基本的連接模式：隧道模式和傳輸模式，這兩種模式實際上定義了兩臺實體設備之間傳輸數據時所采用的不同的封裝過程。

（1）傳輸模式

傳輸模式一個最顯著的特點就是：在整個VPN的傳輸過程中，IP包頭并沒有被封裝進去，這就意味著從源端到目的端數據始終使用原有的IP地址進行通信。而傳輸的實際數據被封裝在VPN報文中。對于大多數VPN傳輸而言，VPN的報文封裝過程就是數據的加密過程，因此攻擊者截獲數據后將無法破解數據內容，但卻可以清晰地知道通信雙方的地址信息。

（2）隧道模式

在該模式中，VPN設備將整個三層數據報文封裝在VPN數據內，再為封裝后的數據報文添加新的IP包頭。由于在新IP包頭中封裝的是VPN設備的IP地址信息，所以當攻擊者截取數據后，不但無法了解實際載荷數據的內容，同時也無法知道實際通信雙方的地址信息。

由于隧道模式的VPN在安全性和靈活性方面具有很大的優勢，在企業環境中應用十分廣泛，總公司和分公司跨廣域網的通信，移動用戶在公網訪問公司內部資源等很多情況，都會應用隧道模式的VPN對數據傳輸進行加密。

2.2 VPN的類型

通常情況下，VPN的類型可以分為站點到站點VPN和遠程訪問VPN。

（1）站點到站點VPN

站點到站點VPN就是通過隧道模式在VPN網關之間保護兩個或更多的站點之間的流量，站點間的流量通常是指局域網之間（L2L）的通信流量。L2L VPN多用于總公司與分公司、分公司之間在公網上傳輸重要業務數據。

（2）遠程訪問VPN

遠程訪問VPN通常用于單用戶設備與VPN網關之間的通信鏈接，單用戶設備一般為一臺PC或小型辦公網絡等。VPN連接的一端為PC，可能會讓很多人誤解遠程訪問VPN使用傳輸模式，但因為該種VPN往往也是從公網傳輸關鍵數據，而且單一用戶更容易成為黑客的攻擊對象，所以遠程訪問VPN對于安全性的要求較高，更適用于隧道模式。

要想實現隧道模式的通信，就需要給遠程客戶端分配兩個IP地址：一個是它自己的NIC地址，另一個是內網地址。也就是說遠程客戶端在VPN建立過程中同時充當VPN網關（使用NIC地址）和終端用戶（使用內網地址）。

3.VPN數據的加解密算法

在所有的加解密算法中，可以分為對稱式加密和非對稱式加密，以下是差異及優缺點。

3.1 對稱加密算法

對稱加密算法使用同一密鑰對信息提供安全的保護。加密時首先將待加密的數據及密鑰提供給加密算法，這樣即可將信息加密，而加密后的內容就變成了一堆無法被閱讀的數據，但是當我們需要閱讀這些數據時，就必須將被加密后的數據及解密時所需要的密鑰提供給解密算法，這樣即可將被加密過的數據還原成我們可以直接閱讀的信息了。如果加密和解密使用的密鑰相同，就稱為對稱式加密。該方式最大的優點是加解密速度快，缺點是保證密鑰安全傳遞不易。

3.2 非對稱加密算法

非對稱加密算法使用兩個不同的密鑰：公鑰和私鑰進行加密和解密。用一個密鑰加密的數據僅能被另一個密鑰解密，且不能從一密鑰推導出另一個密鑰。假設接收方的公鑰和私鑰分別為A和B，客戶端傳輸的明文數據為D，VPN網關加密后的數據為C，而M與N分別分加密和解密函數。數據加密過程如下：

（1）通信雙方交換公鑰。

（2）發送方的VPN網關通過公鑰將明文數據D加密成為密文數據C。

（3）接收方VPN網關通過自己的私鑰解密數據，整個私鑰始終沒有在網絡中傳輸。

該算法的優點在于安全性很高，缺點是計算過程復雜，占用CPU資源，運算速度慢。

4.IPSec VPN連接

IPSec協議是一個標準的第三層安全協議，它是在隧道外面再封裝，保證了在傳輸過程中的安全。IPSec的主要特征在于它可以對所有IP級的通信進行加密。

在對等體之間建立IPSec VPN的連接需要三個步驟：

（1）流量觸發IPSec

一般來說，IPecS建立過程是由對等體之間發送的流量觸發。一旦有VPN流量經過VPN網關，連接過程便開始建立了，當然，手工配置也可以實現這一過程。在配置設備實現此步驟前，網絡工程師需要明確哪些流量需要被保護。

（2）建立管理連接

IPSec使用ISAKMP/IKE階段1來構建一個安全的管理連接。這里需要注意的是，這個管理連接只是一個準備工作，它不被用來傳輸實際的數據。在配置設備實現此步驟前，網絡工程師需要明確設備如何實現驗證，使用何種加密及認證算法，使用哪種DH組等問題。

（3）建立數據連接

IPSec基于安全的管理連接協商建立安全的數據連接，而ISAKMP/IKE階段2就是用來完成這個任務的，數據連接用于傳輸真正的用戶數據。在配置設備實現此步驟前，網絡工程師需要明確使用何種協議，針對具體的安全協議應使用加密或驗證算法，以及數據的傳輸模式（隧道模式或傳輸模式）等問題。

經過IPSec建立的三步之后，VPN流量便可以按照協商的結果被加密解密了。但是VPN連接并不是一次性的，無論是管理連接還是數據連接都有一個生存周期與之關聯，一旦到期連接便會被中止，如果需要繼續傳輸VPN數據，連接需要重新被構建，這種設計主要是出于安全性的考慮。

參考文獻

[1]譚浩強.BENET網絡工程師認證教程[Z].2009，11.

[2]袁津生，吳硯龍.計算機網絡安全基礎[M].北京：人民郵電出版社，2004，7.

[3]張雙，史浩山.VPN實現技術研究[J].計算機工程，2002 （08）.

[4]黃允聰.網絡安全基礎[M].北京：清華大學出版社，1999.