VPN技術演義
2019-11-03 19:07:31
供稿:網友
(廖錚) 本文提要:隨著Internet訪問的增加,傳統的Internet接入服務已越來越滿足不了用戶需求�,因為傳統的Internet只提供瀏覽����、電子郵件等單一服務,沒有服務質量保證��,沒有權限和安全機制�,界面復雜不易掌握��,VPN的提出就是來解決這些問題�����。VPN的組網方式為企業提供了一種低成本的網絡基礎設施,并增加了企業網絡功能���,擴大了其專用網的范圍�����。本文首先介紹了VPN的原理��,然后介紹了幾種基于Internet組建VPN的技術。
一.什么是VPN(VirtualPrivateNetwork�����,虛擬專用網)�?
1.VPN的魅力�。
隨著Internet訪問的增加,傳統的Internet接入服務已越來越滿足不了用戶需求��,因為傳統的Internet只提供瀏覽��、電子郵件等單一服務�,沒有服務質量保證�,沒有權限和安全機制,界面復雜不易掌握�,VPN的提出就是來解決這些問題����。
VPN實際上就是一種服務,用戶感覺好象直接和他們的個人網絡相連�����,但實際上是通過服務商來實現連接的。VPN可以為企業和服務提供商帶來以下益處:
采用遠程訪問的公司提前支付了購買和支持整個企業遠程訪問基礎結構的全部費用����; 公司能利用無處不在的Internet通過單一網絡結構為職員和商業伙伴提供無縫和安全的連接�����; 對于企業�,基于撥號VPN的Extranet能加強與用戶�、商業伙伴和供應商的聯系; 電話公司通過開展撥號VPN服務可以減輕終端阻塞�; 通過為公司提供安全的外界遠程訪問服務�,ISP能增加收入;通過Extranet分層和相關競爭服務��,ISP也可以提供不同的撥號VPN�����。
2.VAN的自白
隨著企業與外界交流的增加及自身不斷地發展�,越來越多的企業已開始組建企業計算機內部網絡���。過去,企業組建自己健全的數據通信網絡的唯一辦法就是從頭做起����,當企業局限在某一特定的范圍內,可以采用LAN技術實現�����;當企業處在一個很大范圍時����,大都用VAN(Value-AddedNetwork���,增值網)技術���,即在公共網絡上租用模擬或數字專線組成專用網絡來實現�����。但這樣做的代價太大�����,很多企業難以承受。另外,現代跨國企業其分支機構和業務范圍遍及全球����,其負責銷售工作的員工在世界各地流動���,且越來越多的員工傾向在家上班���,內部網絡必須滿足這部分員工隨時對其進行訪問。因此傳統的租用專線組成VAN的方式越來越不適用����。VPN(VirtualPrivateNetwork,虛擬專用網)技術應運而生���。
一般說來�,VPN就是指利用公共網絡�,如公共分組交換網、幀中繼網���、ISDN或Internet等的一部分來發送專用信息,形成邏輯上的專用網絡。目前,Internet已成為全球最大的網絡基礎設施��,幾乎延伸到世界的各個角落,于是基于Internet的VPN技術越來越受到關注����。
3.究竟如何在Internet上組建VPN呢?
基于Internet組建企業VPN����,第一步就是將其地理上分布的各網段以及各遠程用戶接入Internet。遠程用戶可利用MODEM通過PSTN或ISDN撥號至本地ISP的NAS(NetworkAccessServer�,網絡接入服務器)接入Internet;分支機構網段可通過路由器經專線或通過撥號接入Internet�;公司總部網段配有VPN中心���,它通過路由器接入Internet。
Internet中�,只要通信的兩端點均支持TCP/IP協議���,主機無需特別安排即可連到遠程網絡。但由于企業內部網絡也可能是IPX�、Appletalk或OSI網絡,或者雖然使用IP協議����,但其內部網絡的地址為未經登記的專用地址����,不能在Internet中合法使用����。企業數據如要穿越Internet,必須在VPN解決方案中有特別的機制���。
二.VPN解決方案的核心技術:第二層隧道技術����。
當前VPN解決方案中���,很多都采用了第二層隧道技術。所謂“隧道”就是這樣一種封裝技術�,它利用一種網絡傳輸協議,將其他協議產生的數據報文封裝在它自己的報文中����,在網絡中傳輸。第二層隧道就是將第二層(數據鏈路層)幀封裝在網絡層報文中����,形成IP報文����,在Internet中傳輸�。在已問世的第二層隧道解決方案中,以PPTP協議和L2F協議最為成熟。
1.PPTP協議
(1)PPTP協議概述
Microsoft和Ascend公司在PPP協議基礎上開發的PPTP協議就是支持Client—LAN型隧道VPN實現的一種隧道傳送方案���。PPTP對PPP協議本身并沒有做任何修改����,只是將用戶的PPP幀(對應于OSI協議體系結構中的七層協議���,PPP協議為第二層即數據鏈路層規范)基于GRE封裝成IP報文���,在Internet中經隧道傳送。
傳統上����,NAS執行以下的功能:是PSTN或ISDN的本地接口,控制著外部MODEM或終端適配器;是PPP鏈路控制協議會話的邏輯終點���;是PPP鑒別協議的執行者�;為PPP多鏈路協議進行信道匯聚管理����;是各種PPP網絡控制協議的邏輯終點。PPTP協議將上述功能分解成由兩部分即PAC(PPTP接入集中器)和PNS(PPTP網絡服務器)來分別執行���。這樣一來,撥號PPP鏈路的終點就延伸至PNS����。
PPTP協議正是利用了“NAS功能的分解”這樣的機制支持在Internet上的VPN實現����。ISP的NAS將執行PPTP協議中指定的PAC的功能。而企業VPN中心服務器將執行PNS的功能���,通過PPTP���,遠程用戶首先撥號到本地ISP的NAS,訪問企業的網絡和應用����,而不再需要直接撥號至企業的網絡,這樣����,由GRE將PPP報文封裝成IP報文就可在PAC—PNS之間經由Internet傳遞,即在PAC和PNS之間為用戶的PPP會話建立了一條PPTP隧道���。
(2) 建立PPTP連接
建立PPTP連接,首先需要建立客戶端與本地ISP的PPP連接����。一旦成功地接入Internet,下一步就是建立PPTP連接����。
從最頂端PPP客戶端����、PAC和PNS服務器之間開始����,由已經安裝好PPTP的PAC建立并管理PPTP任務�。如果PPP客戶端將PPTP添加到它的協議中�,所有列出來的PPTP通信都會在支持PPTP的客戶端上開始與終止����。由于所有的通信都將在IP包內通過隧道,因此PAC只起著通過PPP連接進Internet的入口點作用����。從技術上講�,PPP包從PPTP隧道的一端傳輸到另一端,這種隧道對用戶是完全透明的����。
(3)PPTP的優越性
通過PPTP����,遠程用戶經由Internet訪問企業的網絡和應用����,而不再需要直接撥號至企業的網絡�。這樣大大減小了建立和維護專用遠程線路的費用����。且為企業提供比較充分的安全保證���。
PPTP還在IP網絡中支持非IP協議,PPTP“隧道”將IP���,IPX,Appletalk等協議封裝在IP包中�,使用戶能夠運行基于特定網絡協議的應用程序。同時���,“隧道”采用現有的安全檢測和鑒別政策�,還允許管理員和用戶對數據進行加密���,使數據更安全�。PPTP還提供了靈活的IP地址管理�。如果企業專用網絡使用未經注冊的IP地址����,那么PNS將把此地址和企業專用地址聯系起來���。
2.?��。?F及L2TP協議
除PPTP協議外�,CISCO公司的L2F協議也是一種第二層隧道協議�,它通過提供“虛擬撥號”服務,支持LAN—LAN型的VPN連接�。
綜合了PPTP協議和L2F協議的另一種第二層隧道協議L2TP(LayerTwoTunnelingProtocol)具有PPTP協議和L2F協議兩者的特點����,它既支持Client—LAN型的VPN連接,也支持LAN—LAN型的VPN連接���。
L2TP協議正在進行當中。L2TP協議通過“虛擬撥號”業務將初始撥號服務器的地點和撥號協議所連接的終點分離開來����。當“虛擬撥號”客戶開始接入時����,遠程用戶和它們的ISP的NAS之間就建立了一個PPP鏈路���。ISP接著對端系統或用戶進行部分鑒別以判斷此用戶是否需要“虛擬撥號”業務���,一旦確定需要���,那么此用戶名就會和VPN網絡中心服務器聯系起來。然后����,NAS將檢查有沒有至VPN中心服務器的L2TP連接存在���,如果沒有���,那么L2TP協議就會在NAS端啟動一個到VPN中心服務器的L2TP隧道協商���。如果協商成功�,那么在NAS和VPN中心服務器之間就建立了一條L2TP隧道,并建立了用戶和VPN中心之間端到端的連接�。L2TP協議還定義了一些隧道的管理與維護操作���,如定期發送Hello報文以判斷隧道的連通性,利用協議提供的發送序號(Ns)域和接收序號(Nr)域進行隧道的流量控制和擁塞控制等����。
3. 第二層隧道協議的不足
第二層隧道協議具有簡單易行的優點���,但是它們的可擴展性都不好����。更重要的是���,它們都沒有提供內在的安全機制�,它們不能支持企業和企業的外部客戶以及供應商之間會話的保密性需求����,因此它們不支持用來連接企業內部網和企業的外部客戶及供應商的企業外部網Extranet的概念�。Extranet需要對隧道進行加密并需要相應的密鑰管理機制����。
三.?��。桑校螅澹憬鉀Q方案
在使用TCP/IP協議的Internet協議體系結構中���,IP層是一個附加安全措施的很好場所,因為:IP層處于整個協議體系的中間點���,它既能捕獲所有從高層來的報文����,也能捕獲所有從低層來的報文;從IP層的定義來看�,在這一層附加安全措施是與低層協議無關的���,可對高層協議和應用進程透明����。許多Internet網絡應用可以從IP層提供的安全服務中得益����。IETF已制定了安全協議標準IPsec和IKMP密鑰管理協議�,用來提供IP層安全服務。目前已有多種產品支持IPsec安全協議�。IPsec和一些密鑰管理協議為組建VPN提供了另一條很好的途徑����。
在IPsec中�,定義了兩個特殊的報頭����,它們分別是AH(AuthenticationHeader,鑒別報頭)和ESP(EncapsulatingSecurityPayload�,封裝安全載荷)�。AH報頭用來在沒有IP報文加密機制的條件下提供多個主機或網關之間通信的數據完整性保護和鑒別功能。在缺少加密措施的情況下���,AH在Internet中被廣泛使用���。而ESP報頭用來對在多個主機或網關之間通信的IP報文提供完整性保護����、鑒別和加密。
SA(SecurityAssociation)的概念是IPsec協議的基礎���。一個特定的SA由一特定的SPI(SecurityParameterIndex���,安全參數索引)和DA(DestinationAddress���,目的地址)的組合唯一確定���。SA通常包括下列參數:AH的實現中所使用的鑒別算法和算法模式;AH的實現中鑒別算法所使用的密鑰�;ESP的實現中所使用的加密算法和算法模式;ESP的實現中加密算法所使用的密鑰���;密碼同步器的存在與否及大小或ESP中加密算法的初始向量域����;密鑰生存周期或密鑰修改的時間�;SA的生存周期����;SA的源地址����;敏感性級別。SA通常是單向的���,兩主機間的信任會話通常都有兩個SPI在使用���,每個方向使用一個���。
1.IPsec的安全機制
AH對IP報文提供鑒別信息和強大的完整性保護。如果鑒別算法以及密鑰采用非對稱密碼體制如RSA���,則還可提供無否認的數字簽名�。AH通過對IP報文增加鑒別信息來提供完整性保護�,此鑒別信息是通過計算整個IP報文�,包括IP報頭、其他報頭和用戶數據中的所有信息而得到的���。AH通常總是出現在IP報頭之后�。鑒別算法在計算前必須將AH的數據域本身以及其他在發送中改變的域作為全“0”考慮。
發送方計算發出IP報文的鑒別數據的第一步就是為發送端分配恰當的SA���。所有的SA都是單向的。SA的選擇基于發送方標識和目的地址����,將指定鑒別算法�、密鑰和其他安全應用的參數。鑒別數據得到以后���,被放入AH的鑒別數據區���。
當接收方收到包含IPAH的報文時,首先利用地址和SPI值得到恰當的SA���,然后獨立校驗鑒別數據區和接收的報文數據是否一致。如果一致且此IP報文在發送過程中未被非法修改����,則接收。否則���,接收方放棄此IP報文����,并在系統中記錄此次失效����。
IPESP是通過對數據進行加密來提供數據的私密性和完整性保護的�,從而避免數據在傳輸過程中的泄密和非法篡改。根據用戶的安全需求���,ESP機制可用于只對運輸層PDU(ProtocolDataUnit���,協議數據單元)加密或對整個IP報文進行加密。與此相對應的是ESP有兩種工作模式���,一是隧道模式�,二是運輸模式����。
在隧道模式的ESP中�,發送方首先利用自己的標識和目的地址來分派恰當的SA���,用它指定的加密算法和密鑰對整個IP報文(包括IP報頭)進行加密����,構成ESP報文�,此ESP報文然后作為載荷被IP協議再封裝一次,加上全新的IP報頭和路由報頭�,在Internet中透明傳送����。接收方收到后���,首先剝去IP報頭,它利用目的地址和SPI的組合得到正確的會話密鑰對ESP報文解密����。
在運輸模式的ESP中����,其工作流程和隧道差不多,只是被加密的部分僅僅是IP報文的載荷即運輸層PDU���,其中不包括IP報頭�。
如果ESP中沒有采用鑒別機制,那么AH就必須和ESP聯合使用�,根據哪些數據需要鑒別(AH報頭的位置表明了哪些數據是經鑒別的)采用以下兩種方法聯合使用AH和ESP。
第一種用法是:整個接收到的IP報文都是經鑒別的���,包括經加密和未經加密部分。在這種用法中���,發送方首先利用ESP進行加密�,接著一個明文的IP報頭添加到ESP報頭前�,形成一個新的IP報文����。然后���,再用AH對此新的IP報文進行鑒別�,此鑒別過程和前面描述過的AH工作過程一樣���。對接收方來講���,接收者首先對利用常規IPAH過程整個報文進行校驗����。如果鑒別成功����,再利用常規ESP過程進行解密。解密過程完成后���,結果被提交至高層協議處理����。
第二種用法是:首先由AH對初始IP報文進行鑒別���,AH報頭添加到IP報頭和載荷之間,得到一經鑒別的IP報文�,再用ESP對此IP報文進行加密。
如果鑒別過程僅僅用來對隧道模式的ESP所保護的數據進行鑒別���,那么AH報頭通常被放入此經保護的報文??墒侨绻腥藨昧诉\輸模式的ESP,那么AH報頭將被放在ESP報頭前面�,AH也將對整個IP報文進行計算得到鑒別信息。
IP層的安全機制需要密鑰管理協議�。有幾種密鑰管理系統可用于IPsec的安全機制AH和ESP中���,包括人工密鑰分配、自動密鑰分配���。IETF也正在進行Internet標準密鑰管理協議(ISKMP)的開發����。
2.用IPsec構筑VPN
IPsec可以在網絡中主機內實現,也可在位于內部網和外部網的邊界上實現訪問控制功能的防火墻(Firewall)中實現����。利用IPsec構筑的VPN可以在企業網絡的各站點間提供安全IP隧道(由隧道模式ESP加密并重新構造的新IP報文的源到目的地址之間的網段稱為安全IP隧道)���,使企業的敏感數據不被偷窺和篡改。
如遠程站點A需和位于防火墻F后的站點B通信�,有下列幾種方法:
(1)從A構筑IP隧道至防火墻F
在A主機本身和防火墻F之間建立一個SA,IP報文通過IP隧道至F再轉發給B���。在這種情況下,F對報文進行解密/鑒別操作�,并根據規則決定是否將報文轉發給B。F和B之間的報文可以是明文����。對于由B向外部發出給A的報文來說,必也經過F�,B并不對報文進行保護���。防火墻F在收到目的地址為A的報文后,對報文進行保護���。這種情況的前提是端系統B必須和防火墻F之間存在信任關系�。其內部網絡也是可信任的�。
(2)經保護的報文直到端系統
在這種情況下����,防火墻F僅僅作為它兩端的端系統的密鑰管理代理,當A想要和B開始安全會話時���,它必須和F進行密鑰管理交換����,這時F代表B����。從A的觀點來看�,它已經和B之間建立了一個SA,盡管報文將由F轉發給B�,F可以對報文進行解密并察看其內容以決定是否轉發至B還是丟棄�。在這里防火墻F僅僅作為一個報文過濾設備����,并不對流量作任何修改。
(3)報文保護至端系統并由隧道至防火墻在這種情況下����,內部載荷由運輸模式的ESP及AH保護至端系統B�,外部載荷由隧道至防火墻F,防火墻F可以不用報文過濾規則而對報文進行鑒別以決定是否轉發���,在利用撥號PPP網絡進入企業網絡的連接中����,這種方法是非常典型的�。對從B發往A的報文來講�,B用運輸模式ESP及AH對報文進行保護�。防火墻F至A之間由隧道傳送���。
假定專用網內部是可信任的而僅僅Internet是不可信任的,在此條件下���,可僅由在地理上分布的各LAN的邊界路由器之間對IP報文用AH和ESP機制進行保護。即僅在兩個邊界路由器之間建立SA�,邊界路由器代表了它內部的所有端系統�。IPsec機制僅由邊界路由器實現。
用IPsec機制實現VPN�,當企業內部網使用了專用IP地址時,必須采用NAT(NetworkAddressTranslation����,網絡地址轉換)�。對使用專用IP地址的IP報文,必須由IPsec網關用隧道模式ESP封裝�,新的IP報文的地址由IPsec網關用合法地址進行替換。
四.VPN展望:前景廣闊�!
由于Internet最初的設計不保證網絡服務質量QoS�,所以現有的VPN解決方案必須和一些QoS解決方案結合在一起�,才能給用戶提供高性能的虛擬專用網絡���。目前IETF已經提出了支持QoS解決方案的帶寬資源預留協議RSVP����。RSVP協議將保證在數據流經過的各個節點預留相應的網絡資源,具有RSVP功能的路由器能實時地調整網絡的能力以適應不同的QoS的需求����。IPv6協議也提供了處理QoS業務的能力����。隨著QoS在技術上越來越成熟,VPN技術可以通過QoS保證來獲得越來越好的Internet服務����,享受到和真正的專用網絡一樣的應用。
VPN是計算機網絡的新技術����,它將使Internet成為一種商業工具,并為Intranet及Extranet的應用帶來良好的前景���。在幾種VPN解決方案中,IPsec因為利用了Internet固有的可用性而代表了未來的方向�。
