第三章 VPN技术实现企业内部网的应用研究
3.1 IPSec VPN
3.1.1 IPSec 介绍
IPSec(Internet Protocol Security)并不是一个独立的安全协议,而是由IETF(互联网工程任务组)制定的一个协议族,它是一个标准的三层协议框架,由安全协议部分和密钥协商部分组成,具有不可否认性、反重播性、数据完整性、可靠性及认证等特性。安全协议部分AH和ESP定义了数据通信的安全机制,而密钥协商部分IKE则定义了如何为安全协议协商保护参数。[9]
IPSec 的主要目的是在 IP 协议中增加密码学的安全机制,从而弥补 IP 协议安全性能的不足,在 IP 层上对数据包进行加密等安全处理,从而为客户带来可靠的安全服务。 IPSec协议支持传输和隧道两种安全模式。传输模式保护数据包从源主机到目的主机间的安全,数据包的最终目的地就是安全终点,它保护的是数据包的上层协议数据(如TCP、UDP和ICMP等);而隧道模式为整个数据包提供安全保护,但只保护数据包从源安全网关到目的安全网关间的安全,数据包的最终目的地并不是安全终点。传输模式通常用于两台主机间的安全通信而隧道模式通常用于通信双方至少一端是安全网关或路由器的情况。AH和ESP都支持这两种安全保护模式。[10]
IPSec 的安全体系结构如下图 3-1 所示:
图 3-1 IPSec 安全体系结构
15
下面我们来介绍 IPSec 体系结构中的几个安全元素。 3.1.1.1 认证头协议AH
认证头协议 AH 可使用 MD5、SHA-1 和 DES 算法进行加密。传输模式的 AH 头位于 IP 报头与 TCP 或 UDP 报头之间,对整个的 IP 组进行认证保护。而隧道模式的 AH 报头位于原始 IP 报头与隧道 IP 报头之间,对添加隧道 IP 报头之后的整个新 IP 组进行 认证保护。
3.1.1.2 封装载荷安全协议ESP
ESP协议可使用的认证算法有MDS、SHA-l、DES,加密算法有DES、3DES、IDEA、3IDEA、RC4、RCS、BLOWFISH、CAST、NULL等。传输模式中ESP报头位于IP报头与上层协议报头之间,对上层协议报头、数据及ESP报尾部分进行加密,对从ESP报头到ESP报尾的整个区域进行认证,而IP报头及ESP认证数据部分则未保护。而隧道模式中ESP报头位于隧道IP头和原始IP头之间,对原始IP头到ESP报尾区域进行加密,对ESP报头到ESP报尾区域进行认证,而隧道IP头和ESP认证数据部分则未保护。[11] 3.1.1.3 密匙交换协议IKE
IKE 是 IPSec 体系默认的安全密匙协商方法,它通过一系列报文交换为网络终端或网关备经协商而建立的安全约定的通信生成密匙。它同时为 IPSec 的 AH 和 ESP 协议提供密匙交换管理和 SA 管理。 3.1.1.4 安全关联SA
SA 是两个通信设备通信双方保护数据所使用的安全协议、编码方式以及安全协议所使用的认证算法、加密算法和密匙及其生存期等。 3.1.1.5 安全策略数据库SPD
SPD专门用来存储和管理相应过滤器动作的集合,用以决定IPSec策略何时以及如何保护IP通信。规则具有自动触发和控制安全通信的能力,通过应用包过滤技术,可以精确地定义哪些IP数据流需要被保护,哪些数据流需要被拦截,哪些则可以绕过IPSec策略(即被旁路)。每一条规则包含一个IP过滤器列表及与其相匹配的安全设置,通常包括过滤器动作、认证方法、IP隧道设置、连接类型等。过滤器动作为需要保护的IP通信设置安全需求,如安全算法,安全协议和使用的密钥属性等。[12] 3.1.1.6 解释域 DOI
IPSec 的解释域遵从通用命名空间的协议标识符集的命名方案、保护情形域、适用的安全策略集、SA 属性语法、载荷内容语法、附加的密钥交换类型、附加的通知消息类型等。
16
这些规则和定义只有 IPSe。体系中的成员才能识别和理解,从而实现预定义的功能。 3.1.2 IPSec VPN 实现
IPSec VPN 的通信原理
图 3-2 IPSec VPN 通信原理图
当VPN用户之间需要进行通信时,首先要把包含用户私有地址的IP包用一个公有的 IP地址报头进行封装,然后才能在公共网络上进行转发。然后IPSec协议对新的IP数据包 进行IPSec处理,增加AH报头或ESP报头,是IP数据包封装为IPSec分组。因为IPSec的传输模式难以支持私有网络地址穿越公共网络进行数据传输,因此IPSec VPN多采用隧 道模式进行实现。IPSec多采用IP-IP方式对IPSec分组进行再封装,从而实现VPN功能进行数据传输。[13]
3.1.2.1 IPSec VPN的优缺点 3.1.2.2 IPSec VPN优点
● 高安全性。对数据提供高安全级别的保护是 IPSec VPN 最核心的功能。 ● 部署迅速。不需要改变网络服务提供商的任何网络结构,而只需在客户侧网络网关上进行部署即可,能迅速部署并投入使用。
● 支持多用户连接方式。既能够适应专网接入又能够方便地支持拨号用户的远程接入。
3.1.2.3 IPSec VPN缺点
● 有限的 QoS 支持。在经过 IPSec 的加密和封装后,数据包对网络服务提供商 的网络透明,网络服务提供商无法根据数据包报头的信息对数据实施 QoS 服务。
17
● 不支持多协议封装。IPSec 只支持 IP 封装,并在 IP 网络上进行传输,无法在其他非 IP 传输网络(如 ATM、帧中继等)进行传输。 ● 由于 IPSec 的高安全性能,会导致通信性能的下降。
● 组建及维护成本高。由于 IPSec VPN 需要特定的客户端支持,而且配置复杂,因此,IPSec VPN 的部署、维护、管理都需要高技术人才进行管理,导致了网络的高组建成本。
3.2 SSL VPN
3.2.1 SSL介绍
SSL(Secure Sockets Layer,安全套接层协议)由Netscape公司提出的基于WEB应用的安全协议。客户端可以利用Web浏览器和SSL VPN网关之间建立起SSL加密通道,在通过数字证书对用户信息进行认证后,SSL VPN网关将客户端加密的请求进行解释后再转发给相关的服务器进行通信。SSL VPN具有免客户端安装,维护简单等优点,只需要能够支持SSL协议的Web浏览器就可以使用SSL VPN,因此,SSL VPN被广泛应用于网上银行、邮箱等互联网服务当中。[14] 3.2.1.1 SSL 通信原理
SSL 协议本身是个分层的协议,由消息子层和承载消息的记录子层两部分组成。它指定了一种在应用层协议和 TCP/IP 协议之间提供数据安全性分层的机制。SSL 协议的组成部件及其关系如图 3-3 所示:
图 3-3 SSL 协议的组成
●握手协议:
SSL 握手协议示意图如下图 3-4 所示
18
a图 3-4 SSL 握手协议示意图 第一阶段:
⑴ 客户端发送出一个 client_hello 消息给服务器,包括参数:ssl 的版本、随机数(32位时间戳+28 字节随机序列)、会话 ID、客户支持的密码套件(CipherSuite)及客户支持的压缩方法列表
⑵ 服务器发送 server_hello 消息,包含参数:客户建议的低版本以及服务器支持的最高版本、服务器产生的随机数、会话 ID、服务器从客户建议的密码算法中挑出一套、服务器从客户建议的压缩方法中挑出一个。 第二阶段:
⑶ 服务器发送自己的证书,消息包含一个 X.509 证书或一条证书链 。 ⑷ 服务器发送 server_key_exchange消息。 ⑸ 服务器发送 certificate_request 消息 ⑹ 服务器发送 server_done, 然后等待应答 第三阶段:
⑺ 客户收到 server_done 消息后,它根据需要检查服务器提供的证书,并判断server_hello 的参数是否可以接受,如果都没有问题的话,发送一个或多个消息给服务器,
19