汤伟

摘 要：本文介绍了IPSec vpn使用的技术及协议，讲述了企业利用IPSec 部署VPN的形式和方法。

关键词：VPN；隧道技术；加密技术；IPSec

随着信息化技术的发展，信息技术也应用到企业生产活动的各个方面。越来越多的信息系统开始上线运行，如ERP，LES系统，MRO系统，办公自动化系统等。不光是企业内部员工，出差员工、众多分支企业及合作伙伴也需要访问上述系统。这些应用需求都要求有一种网络技术能够实现远程接入到企业内网。这种网络技术不但要保证网络的联通性，还要保证数据传输过程中的安全性，和解决方案的经济性。

传统租用线路或通道的方式使用费用高、链路速率低、开通过程繁琐；近年来出现的IPSEC VPN（虚拟专用网）技术提供了一种更好的解决方案。它只需要用户开通Internet就能够实现与总部的连接，并通过多种安全技术，如身份认证、隧道技术、加密技术等保证数据传输的安全性。由于VPN的开通与电信运营商无关，VPN的开通和撤销都由企业用户自己控制，使用也比较灵活。

1.vpn中的关键技术

vpn关键技术包括：隧道技术，身份认证技术，和数据加密技术。

隧道技术：为了使企业网内一个局域网的数据透明的穿过公用网到达另一个局域网，虚拟专用网采用一种称之为隧道的技术。隧道技术（Tunneling Technology）在计算机网络和数据通信领域有着十分重要的作用。它是一种通过使用互联网络的基础设施在网络之间传递数据的方式。利用它可在一条广域网链路上，从数据源到目的节点之间建立一条隧道。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。

隧道技术包含了数据封装、传输和解包在内的全过程。如果将加密技术引人隧道协议，即数据包经过加密后按隧道协议进行封装，沿隧道传输，就可以确保其安全性，从而在一条不安全的共享链路上建立一条能确保数据安全的有效通道，达到延伸网络的目的。

身份认证技术： 用户认证技术（User Authentication Technology）是指在隧道连接正式开始之前确认用户的身份，以便系统进一步实施资源访问控制或用户授权（Authorization）。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长度可变的长报文通过函数变换，映射为一段长度固定的段报文即摘要。由于HASH函数的特性，使得要找到两个不同的报文具有相同的摘要是非常困难的。该特性使得摘要技术在VPN中有两个用途：

验证数据的完整性。

用户认证。

常用的HASH函数有MD5，SHA-1等。在IPSec VPN中缺省的认证算法HMAC-MD5和HAC-SHAI。

数据加密技术：当数据包传递时，数据加密技术用来隐藏数据包。如果数据包通过不安全的Internet ，那么即使一级建立了用户认证，VPN也不完全是安全的。因为如果没有加密的话，普通的嗅探技术也能捕获数据包，甚至更改信息流。所以在隧道的发送端，认证用户要先加密，再传送数据：在接收端，认证用户后再解密。同时，大多数的隧道协议没有指出使用那种加密和认证技术，这使得在加密 和认证技术上存在着许多不同的算法。

在IPSec VPN中可选算法包括3DES（Triple-DES），RCS，IDEA，CAST，BLOWFISH，RC4，RSA和椭圆曲线算法等，缺省的加密算法是DES-CBC。

2.IPSec的协议组成

IPSec安全体系结构把多种安全技术集合到一起，可以建立一个安全、可靠的隧道。IPSec由IETF的IPSec工作组制订，是一个开放性的标准框架。

IPSec为保障IP数据包的安全，定义了一个特殊的方法，它规定了要保护什么通道、如何保护它以及通信数据发给任何人。IPSec可保障主机之间、网络安全网关（如路由器或防火墙）之间或主机与安全网关之间的数据包的安全。

IPSec 协议主要由三个部分组成：验证包头协议AH（Authentication Header）、封装安全载荷协议ESP（Encapsulating Security Payload），Internet 密钥交换协议IKE（Interne Key Exchange）。

AH

设计认证头（AH）协议的目的是用来增加IP数据报的安全性。AH协议提供无连接的完整性、数据源认证和抗重放保护服务，然而，AH不提供任何保密性服务，它不加密所保护的数据包。AH的作用是为IP数据流提供高强度的数码认证，以确保被修改的数据包可以被检查出来。AH使用消息认证码（MAC）对IP进行认证。

AH的工作机制如下：利用单向的信息摘要算法，对整个IP分组或上层协议计算一个摘要并作为该IP分组的一部分一起转发出去，在分组的接收端，重新计算摘要并与原摘要进行比较，如果分组在传输过程中被修改过，则会由于摘要不一致而被丢弃，从而实现数据源鉴别和数据的完整性保护。 AH头的位置依赖于AH 的操作模式。AH有两种操作模式：传输模式和隧道模式。

ESP

封装安全载荷ESP（Encapsulating Security Payload）是一种IPSec协议，用于确保IP数据包的机密性、数据的完整性以及数据源的身份验证。此外，它也要负责对重播攻击的抵抗。RFC2406定义了最新版本的ESP，而RFC1827还定义了一个早期版本的ESP。该版本的ESP没有提供对数据完整性的支持，IPSec工作组现已明确不再推荐对它提供支持。

ESP可以在隧道模式和传输模式两种模式下运行。在隧道模式下，ESP对整个IP数据包进行封装和加密，隐蔽了源和目的IP地址，从外部看不到數据包的路由过程；在传输模式下，ESP只对IP有效数据载荷进行封装和加密，IP源和目的IP地址不加密传送，安全程度相对隧道模式较低。传输模式下，ESP头插在IP头和上层协议头（如TCP或UDP头）之间；隧道模式下，要对整个IP包封装，ESP头位于内外IP头之间。

Internet 密钥交换

IPSec默认的自动密钥管理协议是IKE（Internet 密钥交换）。IKE是Oakley（由亚利桑那大学的一名安全专家Hilarie Orman 开发的一种密钥交换协议）和SKEME（由加密专家Hugo Krawczyk涉及的密钥交换协议）协议的一种混合，并在由ISAKMP规定的框架内运行。

Intenet密钥交换（IKE）用于动态建立SA。IKE代表IPSec对SA进行协商，并对安全关联库SAD进行填充。ISAKMP提供了Internet密钥管理框架，并为专用协议提供支持，包括格式、安全属性的协商。

IKE 使用了两个阶段的ISAKMP。在第一阶段，通信各方彼此建立一个已通过身份验证和安全保护的通道，即建立IKE安全联盟。在第二阶段，利用这个既定的安全联盟，为IPSec协商具体的安全联盟。

3.IPSec VPN在企业的应用

企业网络可以用IPsec 建立两种形式的vpn，为不同的用户提供接入服务。一种是点对点vpn，为分支机构，合作伙伴提供网络接入；一种是客户端vpn，为个人提供网络接入。

3.1 点对点VPN

点对点vpn主要是采用设备对联的方式，在企业网络边缘部署ipsec vpn的集中设备，作为与分支机构网络互联的核心；在各分支机构使用防火墙或专门的vpn设备与企业核心设备互联。网络结构使用星形结构。连接拓扑图如图1。

企业内部设备与分支机构做互联时，正常情况下，双方设备都配置公网地址，两端设备都使用公网地址协商隧道。此种情况下双方都可以向对方发起协商请求，建立连接。协商过程如图2 所示。

由于外网接入的环境不同，部分分支机构使用拨号方式连接到Internet ，外网出口设备使用动态IP地址，或分支机构出口设备存在NAT的情况，此时只能由分支机构端发起连接，建立隧道。协商过程如图3所示。

点对点模式下远端设备与中心设备建立VPN隧道后，远端设备相当于企业内网的一个节点，故远端设备的内网均使用与企業内网的私网网段；为了保证地址划分的统一、规范，逻辑拓扑合理，所有点对点VPN连接的对端地址均由总部统一指定。在保证带宽的前提下，IPSec VPN能够满足日常的访问需求。

3.2 客户端 VPN应用

客户端 VPN主要为个人网络接入提供服务，是ipsec vpn的一种应用形式。客户可以安装客户端软件，或者直接使用操作系统自带的vpn接入客户端。客户端安装完成后，个人用户只要在具备访问Internet的网络环境下，就可以通过拨号认证的方式接入到企业内网。与点对点VPN不同的是，远端对等体不是专用的VPN设备，而是装有专门客户端软件的终端设备，如计算机、智能手机、平板电脑等。拓扑图如图4所示。

个人使用客户端vpn时，由于网络环境的不确定性，为了保证用户的正常接入，在企业端设备上应开放vpn客户端连接时的NAT穿越功能。

由于客户端vpn采用用户认证的方式，为了保证网络安全，可以与第三方的认证平台结合，采用认令牌，USB KEY等更安全的认证方式。同时还可以通过第三方认证平台对用户的登录信息进行审计，保证用户信息的安全性。

4 结论

随着网络设备厂家的支持，IPsec vpn已经成为安全设备一种标准配置。IPsec vpn 也成为远程接入企业网络方便快捷的接入方式，为企业提供了极大的方便。随着技术的发展近年来，SSL vpn 成为了新的企业网个人网络接入方式。