面向公有云的國密IPSec VPNaaS系統(tǒng)研究

蔣汶芮，羅俊，胡曉勤，龔勛

(1.四川大學網(wǎng)絡(luò)空間安全學院，成都610065；2.衛(wèi)士通信息產(chǎn)業(yè)股份有限公司，成都610041)

0 引言

2020年，隨著市場的發(fā)展，以及“新基建”政策的利好，我國云計算相關(guān)技術(shù)和市場規(guī)模都在快速地發(fā)展[1]。由于公有云廉價、便利、易擴展等特性，越來越多的企業(yè)在數(shù)字化轉(zhuǎn)型中都將業(yè)務(wù)遷移到公有云上。但是出于安全性的考慮，許多企業(yè)只遷移業(yè)務(wù)，重要數(shù)據(jù)依然要存儲在本地數(shù)據(jù)中心。在這種應(yīng)用場景下，如何保障公有云上業(yè)務(wù)系統(tǒng)與本地數(shù)據(jù)中心的數(shù)據(jù)安全傳輸成為關(guān)注重點。對此，常用的解決方案是使用IPSec VPN技術(shù)來搭建數(shù)據(jù)安全傳輸通道。在公有云平臺上，目前有兩種IPSec VPN網(wǎng)關(guān)可供選擇，一種是公有云平臺提供的虛擬IPSec VPN網(wǎng)關(guān)，另一種是傳統(tǒng)VPN廠商提供的IPSec VPN網(wǎng)關(guān)鏡像。

由于IPSec VPN技術(shù)關(guān)乎國家的網(wǎng)絡(luò)安全，國家密碼局提出了一套國密標準的IPSec安全體系，并頒發(fā)了國密IPSec VPN網(wǎng)關(guān)標準。傳統(tǒng)的國密IPSec VPN網(wǎng)關(guān)是軟硬件一體，公有云上的兩種虛擬IPSec VPN網(wǎng)關(guān)由于缺乏國密密碼設(shè)備不能滿足國密IPSec VPN網(wǎng)關(guān)標準。但是近年來隨著云密碼機在公有云上的廣泛應(yīng)用，這個問題出現(xiàn)了破局的希望。基于對公有云平臺、國密IPSec VPN網(wǎng)關(guān)和云密碼機的研究，本文提出了一種面向公有云并滿足國密要求的IPSec VPNaaS系統(tǒng)(后文簡稱VPNaaS系統(tǒng))。

1 相關(guān)技術(shù)

1.1 IPSec VPN

IPSec(Internet Protocol Security)即互聯(lián)網(wǎng)安全協(xié)議，它是IETF于1998年11月提供Internet網(wǎng)絡(luò)安全通信的規(guī)范，是提供私有信息通過公網(wǎng)傳輸?shù)囊环N安全保障[2]。

IPSec VPN指采用IPSec來實現(xiàn)遠程接入的一種VPN技術(shù)，是由IETF(Internet Engineering Task Force)定義的安全標準框架，在公網(wǎng)上為兩個私有網(wǎng)絡(luò)提供加密的安全通信通道。IPSec VPN使用IKE協(xié)議驗證IPSec通信雙方身份、建立安全關(guān)聯(lián)SA(Security Association)，以及生成安全密鑰[3]。

國家密碼管理局對于國密IPSec VPN網(wǎng)關(guān)設(shè)備要求詳見于《GMT 0023-2014 IPSec VPN 網(wǎng)關(guān)產(chǎn)品規(guī)范》，本文主要討論密鑰管理要求，即IPSec VPN網(wǎng)關(guān)產(chǎn)品應(yīng)采用經(jīng)過國家密碼管理主管部門審批的加密芯片或加密卡作為主要加密部件[4]。

1.2 云密碼機

云密碼機是使用經(jīng)國家密碼管理局檢測認證的硬件密碼機作為服務(wù)底層，通過虛擬化技術(shù)生成的虛擬密碼機[5]。其通過VXLAN等安全隔離技術(shù)，確保各個密碼機之間密鑰的安全。

它的主要功能有：生成、存儲、導(dǎo)入、導(dǎo)出、管理加密密鑰，包括對稱密鑰和非對稱密鑰對；使用對稱和非對稱算法來加密和解密數(shù)據(jù)；使用加密哈希函數(shù)來計算消息摘要和基于哈希的消息身份驗證代碼；對數(shù)據(jù)進行加密簽名并驗證簽名。

1.3 云連接

云連接是公有云廠商為用戶提供一種能夠快速構(gòu)建跨區(qū)域VPC(Virtual Private Cloud)之間的高速、優(yōu)質(zhì)、穩(wěn)定的網(wǎng)絡(luò)能力[6]。通過創(chuàng)建云連接，將用戶所需要實現(xiàn)互通的不同區(qū)域的網(wǎng)絡(luò)實例加載到創(chuàng)建的云連接實例中，這里的網(wǎng)絡(luò)實例可以是用戶自己創(chuàng)建的VPC實例或其他用戶授予權(quán)限允許加載的VPC實例，最后通過配置需要互通的網(wǎng)絡(luò)實例之間的域間帶寬，就可以快速的提供VPC之間的網(wǎng)絡(luò)互通服務(wù)。

2 面向公有云的國密IPSec VPNaaS系統(tǒng)

2.1 系統(tǒng)工作流程

如圖1所示，有三個角色，分別是公有云廠商、VPN服務(wù)商、租戶。公有云廠商提供公有云基礎(chǔ)設(shè)施租用服務(wù)。VPN服務(wù)商把VPNaaS系統(tǒng)部署在公有云上，并在自己的鏡像倉庫上傳三種網(wǎng)關(guān)設(shè)備鏡像(公網(wǎng)代理機、私網(wǎng)代理機、處理機)。租戶擁有云上業(yè)務(wù)系統(tǒng)和本地數(shù)據(jù)中心，現(xiàn)在需要搭建在這兩者之間搭建IPSec VPN通道。

圖1 面向公有云的國密IPSec VPNaaS 系統(tǒng)網(wǎng)絡(luò)拓撲圖

公網(wǎng)代理機、私網(wǎng)代理機、處理機、云密碼機四者將協(xié)同工作來完成傳統(tǒng)國密IPSec VPN網(wǎng)關(guān)的任務(wù)。其中，公網(wǎng)代理機負責與本地數(shù)據(jù)中心的VPN網(wǎng)關(guān)進行IKE協(xié)商并在協(xié)商完成后將來自公網(wǎng)的數(shù)據(jù)包分發(fā)給處理機集群處理；私網(wǎng)代理機的任務(wù)是把來自私網(wǎng)的數(shù)據(jù)包分發(fā)給處理機集群處理；處理機需要把來自私網(wǎng)代理機的明文數(shù)據(jù)包封裝進安全載荷并轉(zhuǎn)發(fā)給公網(wǎng)代理機，或者把來自公網(wǎng)代理機的密文數(shù)據(jù)包解封裝并轉(zhuǎn)發(fā)給私網(wǎng)代理機；云密碼機存儲關(guān)鍵的密鑰并進行相關(guān)密碼運算。

具體工作流程如下：

(1)租戶通過VPNaaS 系統(tǒng)租用IPSec VPN服務(wù)。

(2)VPNaaS 系統(tǒng)根據(jù)租戶需求創(chuàng)建VPC_1并自動租用ECS加載三種鏡像創(chuàng)建公網(wǎng)代理機、私網(wǎng)代理機、處理機集群和云密碼機集群。

(3)VPNaaS系統(tǒng)通過云連接網(wǎng)的方式連通VPC_1與租戶VPC。

(4)租戶通過互聯(lián)網(wǎng)訪問公網(wǎng)代理機，安全管理員負責設(shè)備參數(shù)配置、策略配置、設(shè)備密鑰的生成(在云密碼機的加密卡內(nèi)生成并存儲)、導(dǎo)入/備份和恢復(fù)等操作；系統(tǒng)管理員負責對管理員的管理和權(quán)限分配，以及對系統(tǒng)的備份和恢復(fù)；審計管理員負責對系統(tǒng)中的日志進行安全審計。

(5)公網(wǎng)代理機與本地數(shù)據(jù)中心的VPN網(wǎng)關(guān)進行IKE協(xié)商，生成會話密鑰，然后將SP(Security Policy)和SA發(fā)送給所有處理機，并保持SA與SP的信息在處理機池中同步。由于處理機都是選用一樣的虛擬機，所以負載均衡算法采用數(shù)據(jù)包粒度的輪轉(zhuǎn)(Round Robin)算法。公網(wǎng)代理機把來自公網(wǎng)的數(shù)據(jù)包依次輪轉(zhuǎn)調(diào)度到每臺處理機上，私網(wǎng)代理機把來自私網(wǎng)的數(shù)據(jù)包依次輪轉(zhuǎn)調(diào)度到每臺處理機上，即所有處理機均攤數(shù)據(jù)包的處理工作。

(6)IPSec VPN加密通道建立完畢，租戶本地數(shù)據(jù)中心與公有云上業(yè)務(wù)系統(tǒng)能夠進行安全通信。云上業(yè)務(wù)系統(tǒng)的明文數(shù)據(jù)包先流向私網(wǎng)代理機，然后私網(wǎng)代理機按照負載均衡算法分發(fā)給處理機，處理機完成調(diào)用云密碼機加密后將密文數(shù)據(jù)包經(jīng)由轉(zhuǎn)發(fā)至公網(wǎng)代理機，最后公網(wǎng)代理機通過互聯(lián)網(wǎng)把數(shù)據(jù)包轉(zhuǎn)發(fā)到租戶本地VPN網(wǎng)關(guān)。租戶本地數(shù)據(jù)中心發(fā)出的密文數(shù)據(jù)包經(jīng)由互聯(lián)網(wǎng)之后首先到達公網(wǎng)代理機，公網(wǎng)代理機接著分發(fā)給處理機，處理機利用云密碼機解密后，將明文數(shù)據(jù)包轉(zhuǎn)發(fā)私網(wǎng)代理機，私網(wǎng)代理機再發(fā)至云上業(yè)務(wù)系統(tǒng)。值得注意的是，VPN服務(wù)商僅僅擁有VPN網(wǎng)關(guān)集群的設(shè)備基本管理權(quán)(創(chuàng)建、休眠、處理機的增減等)，只有租戶能登錄公網(wǎng)代理機的系統(tǒng)進行具體的配置操作。

2.2 國密密鑰管理

按照國密標準，IPSec VPN網(wǎng)關(guān)設(shè)備主要關(guān)注三種密鑰。

(1)設(shè)備密鑰：非對稱算法使用的公私鑰對，包括簽名密鑰對和加密密鑰對，用于實體驗證、數(shù)字簽名和數(shù)字信封等。(設(shè)備密鑰中的私鑰必須存儲在符合國密規(guī)定的加密設(shè)備中，VPNaaS系統(tǒng)將其存放在云密碼機的加密卡內(nèi)。)

(2)工作密鑰：在密鑰交換第一階段得到的密鑰，用于會話密鑰交換過程的保護。

(3)會話密鑰：在密鑰交換第二階段得到的密鑰，用于數(shù)據(jù)報文及報文MAC的加密。

設(shè)備密鑰的生成和存儲流程如圖2所示。

圖2 設(shè)備密鑰生成和存儲流程圖

具體工作流程如下：

(1)設(shè)備密鑰中的簽名密鑰對由安全管理員登錄公網(wǎng)代理機進行生成，公網(wǎng)代理機通過調(diào)用云密碼機的接口在云密碼機內(nèi)部生成簽名密鑰對并存儲，然后導(dǎo)出簽名公鑰。

(2)安全管理員使用簽名公鑰向CA(Certificate Authority)申請簽名證書。

(3)安全管理員將簽名證書導(dǎo)入公網(wǎng)代理機，公網(wǎng)代理機在本地存儲簽名證書，為密鑰交換做準備。

(4)安全管理員通過加密通道導(dǎo)入加密證書和私鑰到公網(wǎng)代理機，公網(wǎng)代理機在本地存儲加密證書，并把加密私鑰導(dǎo)入云密碼機存儲。

工作密鑰和會話密鑰在IKE階段生成，存儲在云密碼機上且定時協(xié)商更新，具體協(xié)商流程于下節(jié)內(nèi)容展示。

3 改進后的國密密鑰交換(IKE)

本文所采用的符號中，HDR 表示一個ISAKMP(Internet Security Association Key Management Protocol)頭；HDR*表示ISAKMP頭后面的載荷是加密的；p表示需要保護的信息集合；?表示空集合；+表示串接；pub_i是租戶本地VPN網(wǎng)關(guān)公鑰；pub_r是公網(wǎng)代理機公鑰；prv_i是租戶本地VPN網(wǎng)關(guān)私鑰；prv_r是公網(wǎng)代理機私鑰；key_w表示公網(wǎng)代理機的工作密鑰；key_s表示公網(wǎng)代理機的會話密鑰；key_g表示公網(wǎng)代理機與云密碼機通信的加密密鑰；IDi是租戶本地VPN網(wǎng)關(guān)的標識載荷；IDr是公網(wǎng)代理機的標識載荷；HASHi是租戶本地VPN網(wǎng)關(guān)的雜湊載荷；HASHr是公網(wǎng)代理機的雜湊載荷；SIGi是租戶本地VPN網(wǎng)關(guān)的簽名載荷；SIGr是公網(wǎng)代理機的簽名載荷；CERT_sig_r是簽名證書載荷；CERT_enc_r是加密證書載荷；Ni是租戶本地VPN網(wǎng)關(guān)的nonce載荷；Nr是公網(wǎng)代理機的nonce載荷；SM1_Encrypt(msg，key)表示把key作為密鑰對數(shù)據(jù)msg進行SM1加密運算后的結(jié)果；SM2_Encrypt(msg，key)表示把key作為密鑰對數(shù)據(jù)msg進行SM2加密運算的結(jié)果；SM2_Sign(msg，key)表示把key作為密鑰對數(shù)據(jù)msg進行SM2簽名運算后的結(jié)果。

圖3 改進后的IKE第一階段流程圖

消息1、2、3、8、10、15和傳統(tǒng)國密IKE過程一樣，不再贅述，本文只說明新增的消息4、5、6、7、9、11、12、13、14。

消息4：m=SM1_ Encrypt(XCHi+SIGi，key_g)。公網(wǎng)代理機向云密碼機發(fā)送需要解密的數(shù)據(jù)XCHi。云密碼機先使用加密私鑰解密獲得密鑰Ski，再用Ski解密獲得Ni和IDi，最后用CERT_sig_i對SIGi驗簽。

消息5：m=SM1_ Encrypt(Ni+IDi，key_g)。云密碼機向公網(wǎng)代理機發(fā)送Ni和IDi。

消息6：m=SM1_ Encrypt(Skr+Nr+IDr+CERT_enc_r，key_g)。公網(wǎng)代理機向云密碼機發(fā)送需要簽名的數(shù)據(jù)，云密碼機用簽名私鑰進行簽名運算得到SIGr。SIGr=SM2_Sign(Skr+Nr+Idr+CERT_enc_b，priv_r)。

消息7：m=SM1_ Encrypt(SIGr，key_g)。云密碼機向公網(wǎng)代理機發(fā)送SIGr。

消息9：m=SM1_ Encrypt(SKEYID，key_g)。公網(wǎng)代理機向云密碼機發(fā)送基本密鑰參數(shù)SKEYID，云密碼機用SKEYID生成并存儲工作密鑰。

消息11：m=SM1_ Encrypt(SM1_ Encrypt(HASHi，key_w)，key_g)。公網(wǎng)代理機向云密碼機發(fā)送被工作密鑰加密過的HASHi，云密碼機用工作密鑰進行解密運算得到HASHi。

消息12：m=SM1_ Encrypt(HASHi，key_g)。云密碼機向公網(wǎng)代理機發(fā)送HASHi。

消息13：m=SM1_ Encrypt(HASHr，key_g)。公網(wǎng)代理機向云密碼機發(fā)送需要加密的數(shù)據(jù)HASHr，云密碼機用工作密鑰加密得到SM1_ Encrypt(HASHr，key_w)。

消息14：m=SM1_ Encrypt(SM1_ Encrypt(HASHr，key_w)，key_g)。云密碼機向公網(wǎng)代理機發(fā)送SM1_ Encrypt(HASHr，key_w)。

IKE第一階段完成后雙方都生成ISAKMP SA。在工作密鑰的保護下，進行IKE第二階段，生成IPSec SA。參照圖4，消息1、6、7和傳統(tǒng)國密IKE過程一樣，亦不再說明，只說明新增的消息2、3、4、5、8、9、10。

圖4 改進后的IKE第二階段流程圖

消息2：m=SM1_ Encrypt(SM1_ Encrypt(HASH(1)+SA+Ni，key_w)，key_g)。公網(wǎng)代理機向云密碼機發(fā)送需要解密的數(shù)據(jù)。云密碼機使用工作密鑰解密獲得HASH(1)、SA 和 Ni。

消息3：m=SM1_ Encrypt(HASH(1)+SA+Ni，key_g)。云密碼機向公網(wǎng)代理機發(fā)送解密之后的{ HASH(1)+SA+Ni }。

消息4：m=SM1_ Encrypt(HASH(2)+SA+Nr，key_g)。公網(wǎng)代理機向云密碼機發(fā)送需要加密的數(shù)據(jù)，云密碼機用工作密鑰進行加密運算得到SM1_ Encrypt(HASH(2)+SA+Nr，key_w)。

消息5：m=SM1_ Encrypt(SM1_ Encrypt(HASH(2)+SA+Nr，key_w)，key_g)。云密碼機向公網(wǎng)代理機發(fā)送SM1_ Encrypt(HASH(2)+SA+Nr，key_w)。

消息8：m=SM1_ Encrypt(SM1_ Encrypt(HASH(3)，key_w))。公網(wǎng)代理機向云密碼機發(fā)送需要解密的數(shù)據(jù)，云密碼機用工作密鑰進行解密運算得到HASH(3)。

消息9：m=SM1_ Encrypt(HASH(3)，key_g)。云密碼機向公網(wǎng)代理機發(fā)送HASH(3)。

消息10：m=SM1_ Encrypt(KEYMAT，key_g)。公網(wǎng)代理機向云密碼機發(fā)送會話密鑰素材KEYMAT，云密碼機生成并存儲會話密鑰ker_s。

3.1 改進后的IKE安全性分析

對改進后的IKE的新增消息進行安全性分析，設(shè)p為需要保護的信息集合；compare(m，p)表示把m和p進行對比運算，若m中有p運算結(jié)果為1，否則為0。

改進后的IKE第一階段中，

消息4：p={Ski，Ni，IDi}，m=SM1_ Encrypt(XCHi+SIGi，key_g)，XCHi=SM2_Encrypt(Ski，pub_r)+SM1_ Encrypt(Ni，Ski)+SM1_ Encrypt(IDi，Ski)+CERT_sig_i+CERT_enc_i，SIGi=SM2_Sign(Ski+Ni+IDi+CERT_enc_i，priv_i)，compare(m，p)=0。

消息5：p={Ni，IDi}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息6：p={Skr，Nr，IDr}，m=SM1_ Encrypt(p+CERT_enc_r，key_g)，compare(m，p)=0。

消息7：p=?，無需保護。

消息9：p={SKEYID}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息11：p={HASHi}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息12：p={HASHi}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息13：p={HASHr}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息14：p={HASHr}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

改進后的IKE第二階段中，

消息2：p={HASH(1)，SA，N}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息3：p={HASH(1)，SA，Ni}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息4：p={HASH(2)，SA，Nr}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息5：p={HASH(2)，SA，Nr}，m=SM1_ Encrypt(SM1_ Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息8：p={HASH(3)}，m=SM1_ Encrypt(SM1_Encrypt(p，key_w)，key_g)，compare(m，p)=0。

消息9：p={HASH(3)}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

消息10：p={KEYMAT}，m=SM1_ Encrypt(p，key_g)，compare(m，p)=0。

可見，改進后的IKE流程中p均受到加密保護，攻擊者無法從數(shù)據(jù)包中直接獲取p，即改進后的IKE流程是安全可靠的。

3.2 實驗與分析

實驗?zāi)康氖球炞CVPNaaS系統(tǒng)的可行性，實驗設(shè)備清單見表1。

表1 實驗設(shè)備清單表

依照圖5部署相關(guān)設(shè)備，在租戶VPN網(wǎng)關(guān)和公網(wǎng)代理機建立IPSec VPN通道，然后在租戶應(yīng)用服務(wù)器用iperf3測試與租戶數(shù)據(jù)庫服務(wù)器是否能夠通信。

圖5 VPNaaS 系統(tǒng)功能測試網(wǎng)絡(luò)拓撲圖

由圖6知，位于兩個私網(wǎng)的租戶應(yīng)用服務(wù)器和租戶數(shù)據(jù)庫服務(wù)器已經(jīng)能夠進行通信，還需要進行ESP測試驗證通信內(nèi)容被加密保護。在租戶應(yīng)用服務(wù)器上使用Wireshark抓包，可以成功抓到ESP數(shù)據(jù)包，如圖7所示。

圖6 iperf3測試結(jié)果圖

圖7 ESP測試結(jié)果圖

經(jīng)過兩次實驗，證明了VPNaaS系統(tǒng)成功的在租戶應(yīng)用服務(wù)器和租戶數(shù)據(jù)庫服務(wù)器之前成功搭建了IPSec 通道，所以VPNaaS系統(tǒng)具備可行性。

4 結(jié)語

文中提出的面向公有云的國密IPSec VPNaaS系統(tǒng)，為公有云上的國密IPSec VPN需求提供了解決方案。它的特點有：VPN網(wǎng)關(guān)的設(shè)備密鑰由云密碼機的加密卡存儲，滿足國密標準的密鑰安全要求；支持三員管理，滿足國密標準的管理模式要求；VPN網(wǎng)關(guān)集群的VPC都是針對租戶獨立創(chuàng)建的，具備良好的隔離性；VPN網(wǎng)關(guān)設(shè)備的初始化部署與維護由VPN服務(wù)商來負責，租戶可以直接使用。

由于虛擬VPN網(wǎng)關(guān)設(shè)備在性能上和傳統(tǒng)硬件VPN網(wǎng)關(guān)設(shè)備存在一定的差距，未來的工作的重點是如何降低虛擬VPN網(wǎng)關(guān)的性能損耗。