种地址转换,如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等,对于VPN而言,数据包封装(隧道)是最常用的技术。数据包封装发生在VPN的发送节点,此时需将原数据包打包,添加合法的外层IP包头,这个包可通过公网被传送到接收端的VPN节点,该节点接收后进行拆包处理,还原出原报文后传述给目标主机。几乎所有的VPN技术均采用了数据包封装技术,下图为IPSec VPN隧道模式下对数据包的封装过程:
1.2.2 密码技术
密码技术是实现网络安全的最有效的技术之一,实际上,数据加密作为一项基本技术已经成为所有通信数据安全的基石。在多数情况下,数据加密是保证信息机密性的唯一方法。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法,这使得它能以较小的代价提供很强的安全保护。
数据加密过程是由各种加密算法来具体实施,按照收发双方密钥是否
相同来分类,可以将这些加密算法分为对称密码算法和非对称密码算法(公钥算法)。
对称密钥密码算法的收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。最着名的对称密码算法为美国的DES算法及其各种变形。对称密码算法的优点是有很强的保密强度和较快的运算速度,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
非对称密钥(公钥)密码算法的收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥,这些特性使其成为实现数字签名的最佳选择。由于非对称密码算法加密速度慢,不适宜直接对实时的和大量的数据加密。在IPSec实现中,非对称算法(证书)用于自动协商隧道密钥(对称密钥),从而可大大简化密钥的管理工作。在IP最着名也是应用最为广泛的公钥密码算法是RSA算法。
1.2.3 网络访问控制技术
网络访问控制技术对出入广域网的数据包进行过滤,即传统的防火墙功能。由于防火墙和VPN均处于公网出口处,在网络中的位置基本相同,而其功能具有很强的互补性,因此一个完整的VPN产品应同时提供完善的网络访问控制功能,这可以在系统的安全性、性能及统一管理上带来一系列的好处。
IPSec VPN网络安全体系
目前建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。各种标准的侧重点有所不同,其中IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础。实际上,IPV6版本就将IPSec作为其组成部分,而L2TP协议草案中也规定它(L2TP标准)必须以IPSec为安全基础。目前,采用IPSec标准的VPN技术已经基本成熟,得到国际上几乎所有主流网络和安全供应商的鼎力支持,并且正在不断丰富完善。可以断定,IPSec将成为未来相当一段时间内企业构筑VPN的主流标准,因此企业在构造VPN基础设施时应该首先考虑IPSec标准。
1.3.1 IPSec的优势
IPSec(IP Security)是IETF IPSec工作组为了在IP层提供通信安全而制订的一整套协议标准,IPSec的结构文档RFC2401定义了IPSec的基本结构,所有具体的实施方案均建立在它的基础之上。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内多种应用程序的安全。尽管现在发行的许多Internet应用软件中已包含了安全特征。例如,Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议(SSL),还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。然而,VPN需要的是网络级的安全功能,这也正是IPSec
所提供的。下面为IPSec的一些优点:
IPSec在传输层之下,对于应用程序来说是透明的。当在广域网出口处安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。
如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
1.3.2 IPSec的原理
IPSec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IETF的IPSec工作组已经制定了很多个RFC文档,对IPSec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:认证协议头(AH)、安全载荷封装(ESP)和互联网密钥管理协议(IKMP)。
认证协议头(AH)协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
安全载荷封装(ESP)协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。和AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性。
在IPSec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。大部分的应用实例中都采用了ESP或同时使用ESP和AH,但对于某些仅需要保证完整性的应用(如股市行情的发送),也可仅使用AH。
IPSec支持手工密钥设置和自动协商两种密钥管理方式。手工密钥管理方式是指管理员使用自己的密钥手工设置每个系统。这种方法在小型网络环境和有限的安全需要时可以工作得很好。自动协商管理方式则能满足其它所有的应用要求。使用自动协商管理方式,通讯双方在建立安全连接(SA)时可以动态地协商本次会话所需的加密密钥和其它各种安全参数,无须用户的介入。
IPSec使用Internet密钥交换(IKE)协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(SA)。IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商。IKE通过两个阶段的协商来完成安全关联(SA)的建立,第一阶段,由IKE交换的发起方发起一个主模式交换或野蛮模式交换,交换的结果是建立一个名为ISAKMP SA的安全关联;第二
联想网御VPN产品白皮书V
