Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
2.VPN技术核心
2.1 VPN分类 VPN可分为三种类型:
?
远程访问虚拟网(Access VPN)
Access VPN是指单位员工或单位的小分支机构通过公网远程拨号的方式构筑的
虚拟网。
?
内部虚拟网(Intranet VPN)
Intranet VPN是指单位的总部与分支机构间通过公网构筑的虚拟网
?
扩展虚拟网(Extranet VPN)
Extranet VPN是指单位间发生收购、兼并或单位间建立战略联盟时,不同内联
网通过公网来构筑的虚拟网。
这三种类型的VPN分别与传统的远程访问网络、内部Intranet以及内联网和相关合作伙伴的内联网所构成的Extranet相对应。其中我们通常把Access VPN叫做拨号VPN,即VPDN;将Intranet VPN 和Extranet VPN统称为专线VPN。 2.2 VPN技术标准
VPN的具体实现是采用隧道技术,将内联网的数据封装在隧道中进行传输。隧道协议中最为典型的有GRE、IPSec、L2TP、PPTP、L2F等。其中GRE、IPSec属于第三层隧道协议,L2TP、PPTP、L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的IP数据包是被封装在何种数据包中在隧道里传输的。
L2TP与IPSec是与VPN相关的两个最重要的协议。IETF制定的与IPSec相关的RFC文档主要包括RFC2104、RFC2401~2409、RFC2451;而L2TP协议是由3Com、Cisco、Ascend、Microsoft及Bay等厂商共同制定的,其控制包和数据包都是在LAC和LNS间通过UDP/IP传输;此外MPLS、RADIUS、LDAP、VPMT等协议都有部分涉及到VPN。 IPSec协议
IPSec是由IETF正式定制的开放性IP安全标准,是虚拟专网的基础,已经相当成熟可靠。IPSec实际上是一套协议包而不是一个单个的协议,这一点对于我们认
Xxxxxxxx有限公司. http://www.mycompany.com 第 5 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
识IPSec是很重要的。自从1995年开始IPSec的研究工作以来, IETF IPSec工作组在它的主页上发布了几十个宽带城域网草案文献和12个RFC文件。其中,比较重要的有RFC2409 IKE互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH验证包头、RFC2406 ESP 加密数据等文件。 IPSec安全结构包括3个基本协议:
IPSec协议族 子协议 功能 ?
AH验证包头协议 IPSec验证 ESP封包安全协议 IPSec数据加密 IKE密钥管理协议 IPSec密钥交换加密 AH协议(Authentication Header)
IPSec认证包头(AH)是一个用于提供IP数据报完整性和认证的机制。其完整
性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。AH本身其实并不支持任何形式的加密,它不能保证通过宽带城域网发送的数据的可信程度。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球宽带城域网的安全性。当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。消息文摘5算法(MD5)是一个单向数学函数。当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时,MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发
Xxxxxxxx有限公司. http://www.mycompany.com 第 6 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
送的。
?
ESP封包安全协议
封包安全协议(ESP)包头提供IP数据报的完整性和可信性服务ESP协议是设
计以两种模式工作的:隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为宽带城域网发送的普通数据。这种模式的一种典型用法就是在Site-Site之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准(DES)是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的,最初是用于商业应用。到现在所有DES专利的保护期都已经到期了,因此全球都有它的免费实现。IPSec ESP标准要求所有的ESP实现支持密码分组链方式(CBC)的DES作为缺省的算法。DES-CBC通过对组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。DES-CBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组,以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此,它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。目前最流行的安全加密标准提供3倍DES的算法,可以使用168比特的密钥长度进行数据安全加密。
?
密钥交换协议IKE
IKE属于一种混合型协议,由宽带城域网安全关联和密钥管理协议(ISAKMP)和
两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式。
Xxxxxxxx有限公司. http://www.mycompany.com 第 7 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
IKE使用了两个阶段的ISAKMP:第一阶段,协商创建一个通信信道(IKE SA),并对该信道进行验证,为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务;第二阶段,使用已建立的IKE SA建立IPsec SA 。
IKE共定义了5种交换。阶段1有两种模式的交换:对身份进行保护的“主模式”交换以及根据基本ISAKMP 文档制订的“野蛮模式”交换。阶段2 交换使用“快速模式”交换。IKE 自己定义了两种交换:①为通信各方间协商一个新的Diffie?Hellman 组类型的“新组模式”交换;②在IKE 通信双方间传送错误及状态消息的ISAKMP信息交换。
ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。最后,解释域(DOI)通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。
由于IPSec的存在,VPN的安全性得到了巨大的提高,从而使VPN广泛的应用成为广大单位用户的福音。VPN利于开展电子商务应用,扩展性好,不受地理位置限制,节约费用的优越性将得到充分的发挥,VPN的发展潜力巨大。
?
数据(隧道)加密深度
对于在宽带城域网络中,根据对每个数据包加密的手段实现密文隧道传递,是
IPSec VPN建立有效、安全数据传输的基本依据。为支持更高的数据安全(不可见)性能,加密深度成为评价IPSec VPN的优劣的重要标准。(下表为全球领先) 2.3 VPN的优势
VPN作为一种新技术的出现,带来了很多优点,给单位带来了无限的商机和发展机遇。VPN的主要优势有:
?
开展电子政/商务
有了VPN,各级政府和单位可以通过宽带城域网实现远程办公和会议,也可以
和用户直接远程谈判,协商业务,签订合同;有了这些,VPN不但给我们的工作带来了巨大的方便,节省大量的时间,大大提高了工作效率,而且直接节约了大量的费用。之所以有这些,正是因为VPN能通过安全的数据通道将加密的技术数据和关键性的商务应用及数据进行传输。离开这一点,不难想象进行远程商务谈判和技术数据传输对各级政府和单位的影响有多大。
?
不受地理位置的限制
宽带城域网发展到现在几乎无处不在,它的接入是到处都有的,我们只要将各
Xxxxxxxx有限公司. http://www.mycompany.com 第 8 页
Xxxxxxxx系统集成有限公司 xxxxxxxx有限公司VPN解决方案
个接入点都接在宽带城域网上,然后再实现VPN,就可以将有关关键性的数据进行安全的传输。要达到安全的传输,当然还有专线传输。例如ATM,光纤等等。一来他们的费用高昂,二来他们的接入点找起来是不方便的。
?
可扩展性强
宽带城域网的无处不在决定了增加或减少用户接入是非常容易的。而专线就不
同,减少几个接入点还好办,要是增加几个用户,首先用户得搞清楚附近有没有接入点,即使有了接入点,也必须进行工程布线才能接入。
?
节省大量费用
使用VPN通过远程办公,远程商务洽谈,远程技术支持,节约大量的时间,办
公费用,节约了庞大的出差费。根据Infonetics Research单位的一个VPN研究报告,将租用线路替换成VPN来连接远程站点可以节约20%-40%的开支。对于远程访问VPN,节约下来的费用可以达到单位远程拨号费用的60%-80%。还可节省由于带宽升级而重新布线所产生的费用。
?
节省投资
由于宽带城域网网络技术的飞速发展,网络带宽将会无限增长。如要升级,单
位只需考虑自己的机器的升级就行,而无需考虑宽带城域网的升级。如果使用专线则不同,由于时代的进步,单位的发展,线路的带宽就会成为瓶颈。
基于IPSec标准的VPN技术,不限制用户的接入方式,带宽取决于用户的接入带宽,中国电信常用的宽带接入方式为:ADSL或FTTX+LAN,一般ADSL最大带宽可达8Mbps,FTTX+LAN可达到100Mbps,同时可以支持以后的VDSL,具有非常良好的性能价格比和扩展性。
3.VPN的发展前景
安全VPN隧道技术能够拓展各级单位的业务和工作、并为单位节省资金。随着全球化进程的不断深入和移动办公队伍的不断增长,这种网络技术也正在越来越多地被加以采用。一个新的、属于VPN的时代正在各类大、中、小型单位中成为现实。VPN迎合了用户对安全性和网络性能的追求,并且可以较以前的产品提供更为丰富的特性和功能。越来越多的政府和企业开始注意到VPN网络为公司带来的效率和效益。我们坚信在未来的发展历程中, VPN技术将为各行各业带来经济效益的高速增
Xxxxxxxx有限公司. http://www.mycompany.com 第 9 页