虛擬專用網絡（VPN）及其標準淺析1）

信息安全管理系列之五十一

如何將異地的網絡連在一起？虛擬專用網絡（VPN）是目前最為常見的方案之一。嚴格講，VPN并不是安全產品，但是由于VPN的重要性，以及其中安全的重要性，在關于網絡安全（network security）的國際標準ISO/IEC 27033中，就有關于VPN安全的專門部分。下文中，同專欄的前幾期一樣，也是從使用的角度介紹VPN安全。

謝宗曉（特約編輯）

摘要：介紹虛擬專用網絡（VPN）的概念，主要的隧道協議，以及相關的國際標準、國家標準和密碼行業標準。

關鍵詞：信息安全 網絡安全 虛擬專用網絡

Virtual Private Network （VPN） and Related Standards

Xie Zongxiao （China Financial Certification Authority）

Wang Xingqi （School of Economics and Management， Taishan University）

Abstract： This paper introduces the concept of virtual private network （VPN）， the main tunneling protocol， as well as the relevant international standards， national standards and cryptographic industry standards.

Key words： information security， network security， virtual private network （VPN）

1 為什么需要VPN

連接不同的網絡，最直接的方法是拉一條線纜，一般只用于軍事用途。既然物理專線的方式不可行，可以考慮采用邏輯上的專線，這就是我們平時所指的“專線”。專線的實現最常見的實現方式為數字數據網（Digital Data Network，DDN）和幀中繼（Frame Relay，FR）。但是，幾乎所有的專線存在最嚴重的問題是成本太高，租用專線的組織一般都是對數據和網絡高度依賴的金融和證券等特殊行業用戶，大部分企業沒有能力也完全沒有必要采用專線方式。

VPN的出現正是為了解決以上缺點。事實上，VPN是目前最常見，也是最“虛擬”的方式。通俗講，VPN就是在公用網絡上搭建一個私有網絡，所以VPN（Virtual Private Network）實際應翻譯為虛擬私有網絡。VPN就是利用已經建成的網絡（例如，Internet）將多個私有局域網連接在一起。

2 VPN的服務質量

由于VPN建立在互聯網上，因此也不能提供服務質量（Quality of Service， QoS）。

數據在互聯網上傳輸，如同汽車在公路網上運輸，大致的時間可以確定，但不是很準確。在數據高峰時候，數據不能及時到達，這與堵車是差不多的場景，不過情形比堵車更糟糕，堵車很少有把車直接丟了的情況，而鏈路堵塞則可能導致數據直接被丟棄。與此不同的場景是，專用于語音通話服務的電信網能夠保證QoS，如同鐵路運輸，在某一時刻火車（如同數據包）獨占了該線路。

傳輸方式（或連接類型）與QoS并沒有必然的聯系。例如，“面向有連接型”和“面向無連接型”，前者如TCP協議，后者如IP協議。面向有連接型如同平時打電話，一方在撥號之后會等待對方應答，只有在對方應答之后才能開始通話。面向無連接型則不同，發送端隨時發送，接收端也隨時接收，如同我們去郵局寄包裹，不需要雙方確定好時間，寄的只管按地址寄，收的只管按地址收。

3 VPN的主要技術

VPN屬于遠程訪問技術，一個典型的VPN應用如圖1所示。

VPN的技術實現包括諸多方面，例如，隧道技術（Tunneling）、加密/解密技術和身份認證技術等，如圖1所示，這其中最基本的是隧道技術。隧道技術是在公用網上建立一條數據通道（隧道），讓數據包通過這條隧道進行傳輸[1]。在隧道中，數據包會被重新封裝。所謂封裝，就是在原IP分組上添加新的表頭，因此操作也叫IP封裝化，就如同將數據包裝進信封一樣。一般而言，只對數據加密的通信路徑不能稱為隧道，在一個數據包上再添加一個報頭才叫做封裝化。

隧道的建立需要通過隧道協議。由于隧道技術在VPN實現中的重要性，隧道協議有時候也被稱為VPN協議，VPN本身有時候也被稱為隧道。隧道協議可以工作在開放式系統互聯（Open System Interconnection，OSI）參考模型的第2～4層，即數據鏈路層、網絡層或傳輸層，常見的大多在第2層或者第3層，具體如表1所示。

表1中，較為重要的協議為PPTP、IPSec和MPLS。

PPTP是在已經存在的IP連接上封裝點對點協議（Point to Point Protocol，PPP）會話，可以認為是PPP的擴展，主要是增強了認證和加密功能。PPTP對PPP本身并沒有做任何修改，只是使用PPP撥號連接，然后獲取這些PPP包，并把它們封裝進GRE中。PPTP采用TCP1723 端口，且PPTP也沒有定義任何加密機制，因此其安全性不如IPSec VPN 和TLS VPN。

IPSec VPN提供端對端的安全性，是以后安全聯網的趨勢[2]。因為所有支持TCP/IP的主機在進行通信時都要經過IP層的處理，所以提供了IP層的安全性就相當于為整個網絡提供了安全通信的基礎。IPSec基本的工作原理是對于收到的數據包，先查詢安全策略數據庫（Security Policy Database， SPD），以確定對其進行丟棄、轉發還是封裝。IPSec VPN提供傳輸模式和隧道模式兩種封裝模式，傳輸模式僅加密載荷數據，隧道模式則對IP包頭和載荷數據都會加密。這是由于剛發布時，當時的網絡設備性能和網速比較慢，傳輸模式不加密可以提高速度。

IPSec提供了認證頭（Authenticaton Header，AH）和封裝安全載荷（Encapsulate Security Payload，ESP）兩類協議，兩者既可以單獨使用，也可以同時使用。AH指的是將原IP數據包使用AH進行封裝，并添加新的IP包頭，然后對整個包簽名[3]。ESP在原IP數據包基礎上添加ESP包頭，IP包頭和ESP認證尾[4]。AH和ESP的區別在于，ESP提供加密，AH不提供。

MPLS就是在數據包上加個標簽，標記一下流量等諸多要素。標記可以很多種，不只流量。加一堆別的標記，在MPLS上很容易實現VPN。加了標記后，叫標簽交換路徑（LSP）。這種技術原理的，稱為MPLS VPN。每個VPN子網分配有一個標識符，叫做路由標識符（RD），RD在服務商提供的網絡中是唯一的。RD與IP地址連接，形成新的地址，稱為VPN-IP。MPLS VPN本身也沒有加密機制，也就是說，安全性不如IPSec。

安全套接層（Secure Sockets Layer，SSL）最初由Netscape公司開發，后來國際互聯網工程任務組（IETF）將其更名為傳輸層安全（TLS）。SSL/ TLS VPN主要用于HTTPS協議中，作為構造VPN的技術，其最大優點是不需要安裝客戶端。

4 相關的國際/國家標準

在已經發布的ISO/IEC 27000標準族中，與VPN相關的如ISO/IEC 27033-5：2013，其全稱為：

Information technology—Security techniques—Network security—Part 5： Securing communications across networks using Virtual Private Networks （VPNs）

《信息技術 安全技術 IT網絡安全 第5部分：使用虛擬專用網的跨網通信安全保護》

ISO/IEC 27033-5：2013實際是將VPN作為一個安全域處理，首先描述了VPN所面臨的安全威脅，由此討論了VPN的安全要求，包括：機密性、完整性、真實性、授權和可用性等，根據安全需求導出安全控制（controls），重點討論的內容是設計，最后給出了產品選型指南。該標準中的安全設計內容，即第10章，從管理、架構和技術三個方面給出了指導，與ISO/ IEC 27001：2013附錄A的控制存在一致之處。

ISO/ IEC 27033-5：2013在之前被發布的版本為ISO/IEC 18028-5：2006，而該版本被等同采用為GB/T 25068.5—2010。在ISO/IEC 18028-5：2006前言中很明確地指出該標準拓展了ISO/ IEC TR 13335 與 ISO/ IEC 17799的安全管理指南。關于ISO/ IEC TR 13335后續的開發，可以參考文獻[5]，關于ISO/IEC 17799的詳細發展過程及后續開發，可以參考文獻[6]。

在國家標準中，發布有：GB/ T 32922—2016《信息安全技術 IPSec VPN安全接入基本要求與實施指南》。實際上，與VPN相關的標準大多以密碼行業標準的形式發布，具體如表2所示。

5 小結

虛擬專用網絡（VPN）是連接異地網絡最常見的技術之一，作為遠程訪問技術，VPN的安全就顯得格外重要。在本文中，首先分析了VPN的需求及其要解決的問題，然后討論了在VPN實現中最為基礎的隧道技術/協議，最后給出了目前VPN相關的標準。

參考文獻

[1] 劉建偉， 王育民. 網絡安全——技術與實踐（第2版）[M].北京：清華大學出版社，2015.

[2] MARK RHODES-OUSLEY. 信息安全完全參考手冊（第2版）[M].李洋，段洋，葉天斌，譯. 北京：清華大學出版社，2014.

[3] RFC2402， https：//tools.ietf.org/html/rfc2402.

[4] RFC2406， https：//www.ietf.org/rfc/rfc2406.txt.

[5] 謝宗曉，許定航.ISO/IEC 27005：2018解讀及其三次版本演化[J].中國質量與標準導報，2018（9）：16-18.

[6] 謝宗曉，王靜漪.ISO/IEC 27001與ISO/IEC 27002標準的演變[J].中國標準導報，2015（7）：48-52.