IPSec VPN技術在企業中的應用

湯偉

摘 要：本文介紹了IPSec vpn使用的技術及協議，講述了企業利用IPSec 部署VPN的形式和方法。

關鍵詞：VPN；隧道技術；加密技術；IPSec

隨著信息化技術的發展，信息技術也應用到企業生產活動的各個方面。越來越多的信息系統開始上線運行，如ERP，LES系統，MRO系統，辦公自動化系統等。不光是企業內部員工，出差員工、眾多分支企業及合作伙伴也需要訪問上述系統。這些應用需求都要求有一種網絡技術能夠實現遠程接入到企業內網。這種網絡技術不但要保證網絡的聯通性，還要保證數據傳輸過程中的安全性，和解決方案的經濟性。

傳統租用線路或通道的方式使用費用高、鏈路速率低、開通過程繁瑣；近年來出現的IPSEC VPN（虛擬專用網）技術提供了一種更好的解決方案。它只需要用戶開通Internet就能夠實現與總部的連接，并通過多種安全技術，如身份認證、隧道技術、加密技術等保證數據傳輸的安全性。由于VPN的開通與電信運營商無關，VPN的開通和撤銷都由企業用戶自己控制，使用也比較靈活。

1.vpn中的關鍵技術

vpn關鍵技術包括：隧道技術，身份認證技術，和數據加密技術。

隧道技術：為了使企業網內一個局域網的數據透明的穿過公用網到達另一個局域網，虛擬專用網采用一種稱之為隧道的技術。隧道技術（Tunneling Technology）在計算機網絡和數據通信領域有著十分重要的作用。它是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。利用它可在一條廣域網鏈路上，從數據源到目的節點之間建立一條隧道。使用隧道傳遞的數據（或負載）可以是不同協議的數據幀或包。

隧道技術包含了數據封裝、傳輸和解包在內的全過程。如果將加密技術引人隧道協議，即數據包經過加密后按隧道協議進行封裝，沿隧道傳輸，就可以確保其安全性，從而在一條不安全的共享鏈路上建立一條能確保數據安全的有效通道，達到延伸網絡的目的。

身份認證技術： 用戶認證技術（User Authentication Technology）是指在隧道連接正式開始之前確認用戶的身份，以便系統進一步實施資源訪問控制或用戶授權（Authorization）。認證協議一般都要采用一種稱為摘要的技術。摘要技術主要是采用HASH函數將一段長度可變的長報文通過函數變換，映射為一段長度固定的段報文即摘要。由于HASH函數的特性，使得要找到兩個不同的報文具有相同的摘要是非常困難的。該特性使得摘要技術在VPN中有兩個用途：

驗證數據的完整性。

用戶認證。

常用的HASH函數有MD5，SHA-1等。在IPSec VPN中缺省的認證算法HMAC-MD5和HAC-SHAI。

數據加密技術：當數據包傳遞時，數據加密技術用來隱藏數據包。如果數據包通過不安全的Internet ，那么即使一級建立了用戶認證，VPN也不完全是安全的。因為如果沒有加密的話，普通的嗅探技術也能捕獲數據包，甚至更改信息流。所以在隧道的發送端，認證用戶要先加密，再傳送數據：在接收端，認證用戶后再解密。同時，大多數的隧道協議沒有指出使用那種加密和認證技術，這使得在加密 和認證技術上存在著許多不同的算法。

在IPSec VPN中可選算法包括3DES（Triple-DES），RCS，IDEA，CAST，BLOWFISH，RC4，RSA和橢圓曲線算法等，缺省的加密算法是DES-CBC。

2.IPSec的協議組成

IPSec安全體系結構把多種安全技術集合到一起，可以建立一個安全、可靠的隧道。IPSec由IETF的IPSec工作組制訂，是一個開放性的標準框架。

IPSec為保障IP數據包的安全，定義了一個特殊的方法，它規定了要保護什么通道、如何保護它以及通信數據發給任何人。IPSec可保障主機之間、網絡安全網關（如路由器或防火墻）之間或主機與安全網關之間的數據包的安全。

IPSec 協議主要由三個部分組成：驗證包頭協議AH（Authentication Header）、封裝安全載荷協議ESP（Encapsulating Security Payload），Internet 密鑰交換協議IKE（Interne Key Exchange）。

AH

設計認證頭（AH）協議的目的是用來增加IP數據報的安全性。AH協議提供無連接的完整性、數據源認證和抗重放保護服務，然而，AH不提供任何保密性服務，它不加密所保護的數據包。AH的作用是為IP數據流提供高強度的數碼認證，以確保被修改的數據包可以被檢查出來。AH使用消息認證碼（MAC）對IP進行認證。

AH的工作機制如下：利用單向的信息摘要算法，對整個IP分組或上層協議計算一個摘要并作為該IP分組的一部分一起轉發出去，在分組的接收端，重新計算摘要并與原摘要進行比較，如果分組在傳輸過程中被修改過，則會由于摘要不一致而被丟棄，從而實現數據源鑒別和數據的完整性保護。 AH頭的位置依賴于AH 的操作模式。AH有兩種操作模式：傳輸模式和隧道模式。

ESP

封裝安全載荷ESP（Encapsulating Security Payload）是一種IPSec協議，用于確保IP數據包的機密性、數據的完整性以及數據源的身份驗證。此外，它也要負責對重播攻擊的抵抗。RFC2406定義了最新版本的ESP，而RFC1827還定義了一個早期版本的ESP。該版本的ESP沒有提供對數據完整性的支持，IPSec工作組現已明確不再推薦對它提供支持。

ESP可以在隧道模式和傳輸模式兩種模式下運行。在隧道模式下，ESP對整個IP數據包進行封裝和加密，隱蔽了源和目的IP地址，從外部看不到數據包的路由過程；在傳輸模式下，ESP只對IP有效數據載荷進行封裝和加密，IP源和目的IP地址不加密傳送，安全程度相對隧道模式較低。傳輸模式下，ESP頭插在IP頭和上層協議頭（如TCP或UDP頭）之間；隧道模式下，要對整個IP包封裝，ESP頭位于內外IP頭之間。

Internet 密鑰交換

IPSec默認的自動密鑰管理協議是IKE（Internet 密鑰交換）。IKE是Oakley（由亞利桑那大學的一名安全專家Hilarie Orman 開發的一種密鑰交換協議）和SKEME（由加密專家Hugo Krawczyk涉及的密鑰交換協議）協議的一種混合，并在由ISAKMP規定的框架內運行。

Intenet密鑰交換（IKE）用于動態建立SA。IKE代表IPSec對SA進行協商，并對安全關聯庫SAD進行填充。ISAKMP提供了Internet密鑰管理框架，并為專用協議提供支持，包括格式、安全屬性的協商。

IKE 使用了兩個階段的ISAKMP。在第一階段，通信各方彼此建立一個已通過身份驗證和安全保護的通道，即建立IKE安全聯盟。在第二階段，利用這個既定的安全聯盟，為IPSec協商具體的安全聯盟。

3.IPSec VPN在企業的應用

企業網絡可以用IPsec 建立兩種形式的vpn，為不同的用戶提供接入服務。一種是點對點vpn，為分支機構，合作伙伴提供網絡接入；一種是客戶端vpn，為個人提供網絡接入。

3.1 點對點VPN

點對點vpn主要是采用設備對聯的方式，在企業網絡邊緣部署ipsec vpn的集中設備，作為與分支機構網絡互聯的核心；在各分支機構使用防火墻或專門的vpn設備與企業核心設備互聯。網絡結構使用星形結構。連接拓撲圖如圖1。

企業內部設備與分支機構做互聯時，正常情況下，雙方設備都配置公網地址，兩端設備都使用公網地址協商隧道。此種情況下雙方都可以向對方發起協商請求，建立連接。協商過程如圖2 所示。

由于外網接入的環境不同，部分分支機構使用撥號方式連接到Internet ，外網出口設備使用動態IP地址，或分支機構出口設備存在NAT的情況，此時只能由分支機構端發起連接，建立隧道。協商過程如圖3所示。

點對點模式下遠端設備與中心設備建立VPN隧道后，遠端設備相當于企業內網的一個節點，故遠端設備的內網均使用與企業內網的私網網段；為了保證地址劃分的統一、規范，邏輯拓撲合理，所有點對點VPN連接的對端地址均由總部統一指定。在保證帶寬的前提下，IPSec VPN能夠滿足日常的訪問需求。

3.2 客戶端 VPN應用

客戶端 VPN主要為個人網絡接入提供服務，是ipsec vpn的一種應用形式。客戶可以安裝客戶端軟件，或者直接使用操作系統自帶的vpn接入客戶端。客戶端安裝完成后，個人用戶只要在具備訪問Internet的網絡環境下，就可以通過撥號認證的方式接入到企業內網。與點對點VPN不同的是，遠端對等體不是專用的VPN設備，而是裝有專門客戶端軟件的終端設備，如計算機、智能手機、平板電腦等。拓撲圖如圖4所示。

個人使用客戶端vpn時，由于網絡環境的不確定性，為了保證用戶的正常接入，在企業端設備上應開放vpn客戶端連接時的NAT穿越功能。

由于客戶端vpn采用用戶認證的方式，為了保證網絡安全，可以與第三方的認證平臺結合，采用認令牌，USB KEY等更安全的認證方式。同時還可以通過第三方認證平臺對用戶的登錄信息進行審計，保證用戶信息的安全性。

4 結論

隨著網絡設備廠家的支持，IPsec vpn已經成為安全設備一種標準配置。IPsec vpn 也成為遠程接入企業網絡方便快捷的接入方式，為企業提供了極大的方便。隨著技術的發展近年來，SSL vpn 成為了新的企業網個人網絡接入方式。