基于IPsec的VPN技术应用与研究

李长春

（滁州职业技术学院，安徽滁州 239000）

随着经济的全球化，企业的规模不断扩大，分支机构、商业伙伴、外出员工随时随地都要和企业进行数据的传输，这就需要某种技术机制来保证在网络中传输数据的安全性.在传统的网络建设方案中，可以通过自己建设一个专用网络或租用一条专线，实现处于不同区域位置的机构、员工通信.前者操作起来几乎是不可行的，后者需要支付比较昂贵的专线租金.在这种的背景下，可以采用基于IP的VPN技术，在公用通信网上建立隧道的方式虚拟出专线来解决这个问题.

1 VPN技术概述

1.1 VPN 的概念

VPN（Virtual Private Network）又称虚拟专用网，其实就是通过一个公用网络（Internet）使用一系列安全技术建立一个临时且安全的专用网络，它是可以穿过混乱公用网络的一条隧道，其具有一定安全性和稳定性.可以在不可信任的公共网络上使分布在不同地方的专用网络进行安全的通信，在远程公司和客户之间，供应商及合作伙伴同公司的内部之间，建立一条信任可靠的安全通道，使传输中的数据得到更好的安全保护［1］.

1.2 VPN技术的优势

在网络的组建中VPN技术展现出了其低成本性、组网灵活性、可扩展性的优势，相信未来VPN技术将会得到较多用户的重视和广泛应用.VPN技术与其他网络技术相比有着无可拟比的优势:

（1）用户可以通过ISP提供的公用网络建立VPN网络，这样可以节省一定的通信费用降低使用成本.另外，对于VPN网络的相关设备维护全部由ISP完成.

（2）用户可以在目前具有IPsec功能的防火墙设备基础上建立VPN，在软硬件不受影响前提下，最大限度的保护了前期设备投资.如要扩展其VPN的服务范围，只需要和ISP协商签订协议，用户无需进行其他任何操作.

（3）用户虽然利用ISP的网络设备和技术服务组建使用VPN网络，但是用户可以自己完全掌握和控制，对网络的安全性、访问权、网络地址配置等都能够有效方便的管理.

1.3 VPN的安全技术

目前VPN安全技术主要采用隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术［2］.VPN技术主要是利用隧道封装技术以及用户身份认证、数据信息加密等技术在通信终端实体的双方建立链路，具有与专用网络同样的安全性和可管理性，以保证用户的安全通信服务.其中实现VPN功能的核心技术是隧道技术.

（1）隧道技术.隧道技术是通过使用互联网络的基础设施在网络之间传递数据的一种方式.隧道协议分为二层隧道协议和三层隧道协议.二层隧道协议对数据封装在数据链路层完成（如:PPTP、L2TP、L2F），主要用来对远程用户提供拨号接入的服务.三层隧道协议对数据封装在网络层完成（如:GRE、IPsec），主要用于VPN的用户在Internet上构建一个对等的虚拟专网络.

二层隧道协议仅仅保证在隧道终端实体进行认证和加密，而对在隧道传输过程中每个数据报文未能进行认证.其无法抵御插入、拒绝服务和地址欺骗等攻击行为［3］，因此不能完全保证通信过程的安全.IPSec是可以在隧道的外面进行加密封装，有效地保证了隧道在传输过程中的安全性.IP-sec是把几种安全技术融合在一起形成了比较完整的安全体系，更加有效地在IP层提供安全保障.

（2）加解密技术.在VPN隧道上传输的数据是经过加密处理的，在数据发送前发送者对数据加密，接收者在数据到达时对数据进行解密.加密技术可以增强信息系统及数据的完整性、私有性和保密性，有效防止数据被第三方截获和破析［4］.

（3）密钥管理技术.由于在IPsec中所使用的密码算法都是众所周知的公开算法，实现信息的安全就不能完全依靠密码算法，这要求通信终端实体密钥生成时具有安全性和机密性.对于密钥的产生、分发、存储、使用、销毁的管理过程，IPsec要求使用自动密钥管理协议.IPsec定义的密钥交换协议是IKE，IKE具有一套自身的安全机制，可以在非安全的网络中确保密钥安全的分发.

IKE是基于ISAKMP框架上的使用OAKLEY和ISAKMP的“混合型”协议［1］.IKE协议通过Diffie－Hellman算法进行一系列信息的交换，为通信双方计算出共享密钥，密钥不需要在网络上传送而泄露.由于IPSec是基于通信端实体或操作系统内核IP层的实现，因此IPSec的密钥管理协议还需要进一步完善.

（4）用户身份认证技术.在隧道连接时需要通过对用户的身份进行认证，便于系统对资源访问控制和用户授权的实施.如远程访问需要对用户身份进行认证，当拨号用户要求建立会话时，就要鉴定用户的身份，确定用户是否合法以及能够使用哪些资源.常见的有基于用户名/口令认证、卡片式认证、基于PKI的认证等认证方式.

2 基于IPSec协议的VPN实现

2.1 IPSec安全体系结构

由于IPv4协议开始设计的问题，缺乏相应的安全性.IETF在开发IPv6时研究制定了一套用于保护IP数据包通信的IP安全协议（IPsec），是IPv6协议的一个组成部分，也是IPv4的可选的扩展协议.IPsec提供较强的互操作性能力，具有完善的基于密码学的安全功能.在通信终端实体间的IP层通过加密与数据源验证等方式，来保证数据传输的保密性、完整性、可靠性和防重放［5］.

IPsec不是单一的协议而是由一系列协议组成.IPSec体系结构包括认证头AH协议和封装安全载荷ESP协议，安全关联 SA，Internet密钥交换协议及验证算法和加密算法等［2］.IPSec协议族的体系结构、组件及各组件间的相互关系如图1所示.

图1 IPsec安全体系结构

2.2 IPSec的操作模式

IPSec协议有传输模式和隧道模式两种操作.传输模式主要用于端到端的通信保护，对数据的操作都由终端实体完成.隧道模式主要用于站点到站点间数据的保护，对数据的操作都由安全网关完成.传送模式主要是对上层协议保护，隧道模式主要是对整个IP数据报保护［6］.

2.3 基于IPsec构建VPN解决方案

由于虚拟的方式、虚拟的网络层次不同，有着多种不同构建VPN的解决方案.基于IPsec的VPN解决方案是在IP层实现，能够更好的适应通信介质的多样性，具备极好的安全协议性能等优势.IPsec在网络层实现了安全保护，对于高层的应用是完全透明的，安全服务完全独立于应用程序，无需修改操作系统中原有的软件就能实现IPsec提供的安全服务.

VPN实体可以在网络中不同位置具有IPsec功能的网络设备（如防火墙、路由器、主机）上实现.IPsec基于主机的实施可以实现端到端的安全服务;基于IPsec功能的路由器构建VPN实现网关间安全服务;将这两种解决方案有效地融合可以实现漫游接入（road warrior）的安全，为移动办公员工访问公司资源时提供安全服务［1］.

在实际应用中可能需要对受保护网络内部的某个子网进一步提供保护，可应用基于IPsec的嵌套式隧道的解决方案，提供多级的网络安全保护.需要提供多级保护的一般是指单位一些关键部门（财务处），未经授权的员工是不能进入的.假设某公司员工外地出差，每天需要将当天的业务报表提交给公司财务处.财务处为公司的关键部门，出差员工提交的报表在到达公司VPN网关后，报表将会以明文的形式在公司内部网络传输，就可能被公司内部网络（如人事部、市场部）的人员窃取到，即将造成报表信息的泄漏或者内容恶意的篡改.采用基于IPsec协议的嵌套式隧道可以解决这个问题.利用IPsec协议，远程员工首先建立一个安全隧道到公司VPN网关，在这个隧道内部再建一个安全隧道到达公司财务处VPN网关，如图2所示.

图2 嵌套式隧道

数据包处理过程:

公司VPN网关和财务处VPN网关是出差员工将数据包发给财务处的必经之路，数据包经过时两个网关上的IPsec都进行了相关的处理，一层一层的对数据进行解封装，数据最终到达目的地，如图3所示.而从财务处返回给出差员工的数据将一层一层的封装.首先财务处的原始数据包在本地策略库中找到一个安全策略数据库与之匹配.查找相应的IPsec SA，将数据包进行财务处VPN网关的封装.再匹配另外一个安全策略数据库，再查找相应的IPsec SA，将数据包进行公司VPN网关的封装［1］.此时IPsec数据包就可以在互联网传输，在这样两条隧道的共同作用，对数据实现的多级的、灵活的安全保护.

图3 数据解封装

3 基于IPSec的VPN网关系统性能分析

3.1 实验模拟环境搭建

通过实验室的模拟环境对VPN网关性能进行测试分析，实验模拟搭建环境如图4所示.在具有IPsec功能的RTA和RTB之间采用IKE方式建立 IPsec SA，对Network A和Network B间的交换数据进行安全保护.一台PC机连接在交换机上（交换机上配置端口镜像），安装wireshark抓包程序对Network A和Network B间所截获的数据进行分析.Network A中配置FTP服务器，服务器上放置一个内容为“IPsec VPN”的文本文件.

根据实验测试环境要求，VPN网关间采用隧道方式并实施ESP协议，ESP协议中加密算法采用DES，认证算法采用SHA1.在IKE的提议中确定IKE交换过程的安全保护级别，设置共享密钥.RTA和RTB分别充当Network A的VPN网关和Network B的VPN网关.在VPN网关上应用安全策略时，安全策略内容双方必须完全一致，这样双方才能够进行正常通信［7］.

图4 网关性能测试实验环境

3.2 安全性测试

VPN网络的出现主要是为了解决网络的安全性问题，对VPN网关的安全性进行测试是必须的.实验初期路由器只做路由的配置实现全网连通，不加载IPSec功能，路由器只是起到一个普通的网关作用.Network B中的客户机从Network A中FTP服务器上下载文本文件，安装wireshark软件的PC机对从FTP上下载的数据进行截获.被截获的FTP数据内容是明文形式显示，清晰的看到通信终端的IP地址和协议信息，实验结果如图5所示.通过实验表明当前的网络是一个没有安全性的网络.

图5 ESP封装前数据

实验的第二步，在路由器上加载IPSec功能，同样安装wireshark软件的PC机截获数据包，此时文件内容显示为ESP协议封装数据.实验中采用ESP协议，通信端双方的IP地址被加密算法加密.在对截获到的数据包进行分析后，只能看到两个VPN安全网关的IP地址通信信息，如图6所示.实验结果表明在VPN网关间的网络通信是能够得到安全保护的.

图6 ESP封装后数据

3.3 数据处理性能测试

我们在实验中采用了Ping命令对网关进行数据处理性能测试.Ping命令用于测试两节点间连通性的验证，是基于ICMP的应用程序.Ping命令利用Echo Request（回显请求）报文发给目的主机探测其可达性，源主机等待返回Echo Reply（回显应答）来判断目的主机是否可达［6］.

实验中我们在Network A PC机和Network B客户机间发送多个大小不同报文，通过分别计算出不同数据包传输的平均时间，比较分析VPN网关和普通网关包处理的性能.

具体实验数据如表1所示，通过实验结果看出VPN网关对数据的处理速度明显要慢些.由于采用隧道模式，在处理过程中对数据进行了加解密及验证操作，增加了VPN安全网关的处理负载，处理数据的延迟将变大一点.在实际应用中可以采用专门的硬件来进行加密和解密，来提高安全网关系统对IPSec处理的能力［7］.

表1 实验数据

4 结束语

随着互联网不断发展，基于互联网的网络应用越来越多，网络的安全性问题也随之而来.运用VPN技术可以在不安全的公用通信网络基础上建立安全的通道，保护数据信息通信的安全.VPN应用在近几年也得到了飞速的发展，相信在未来的网络应用中VPN技术有着广阔的发展前景.

:

［1］李涛著.网络安全概论［M］.北京:电子工业出版社，2004.

［2］吴功宜.计算机网络高级教程［M］.北京:清华大学出版社，2007.

［3］卿斯汉，蒋建春.网络攻防技术原理与实践［M］.北京:科学出版社，2004.

［4］蔡立军.计算机网络安全技术［M］.北京:中国水利水电出版社，2002.

［5］王卫红，李晓明.计算机网络与互联网［M］.北京:机械工业出版社，2009.

［6］杭州华三通信技术有限公司.路由交换技术［M］.北京:清华大学出版社，2011.

［7］杨文武.基于IPSec的VPN网关设计与实现［D］.长沙:国防科学技术大学，2008.