軟件VPN的安全性

軟件VPN的安全性本文主要論述基于業(yè)界公認的IPSec加密安全通訊協(xié)議之上開發(fā)的軟件VPN的安全性，其它基于非加密通訊協(xié)議（如：L2TP、PPTP等）或一些企業(yè)自定義通訊協(xié)議（如：VNN、金萬維天聯(lián)VPN）的軟件VPN等不在本文的討論范圍內(nèi)。IPSec安全機制Internet網(wǎng)絡無處不在，是一個非常理想的數(shù)據(jù)傳輸廣域網(wǎng)絡，但是傳統(tǒng)的Internet網(wǎng)上的應用數(shù)據(jù)傳輸都是采用明文直接傳輸?shù)?，易于被惡意地監(jiān)聽和竊取，因此一直以來大家在使用Internet傳輸敏感信息時，都在當心其信息數(shù)據(jù)的安全性。在使用TCP/IP協(xié)議的Internet體系結構中，IP層是一個附加安全措施的很好場所，因為IP層處于整個協(xié)議體系的中間點，它既能捕獲所有從高層來的報文，也能捕獲所有從低層來的報文。從IP層的定義來看，在這一層附加安全措施是與低層協(xié)議無關的，可對高層協(xié)議和應用進程透明。許多Internet網(wǎng)絡應用可以從IP層提供的安全服務中得益。正是基于這一考慮，Internet標準協(xié)議制定組織IETF已制定了一系列安全協(xié)議標準IPSec和IKMP密鑰管理協(xié)議，用來提供IP層安全服務。目前已有多種產(chǎn)品支持IPSece安全協(xié)議。IPSec和一些密鑰管理協(xié)議為組建安全的VPN提供了一條很好的途徑。IPSec是一個能在Internet上保證通道安全的開放標準，IPSec生成一個標準平臺，來開發(fā)安全網(wǎng)絡和機器之間的安全數(shù)據(jù)隧道。通過IPsec的安全隧道，在數(shù)據(jù)包可以傳送的網(wǎng)絡中生成像電路那樣的專用連接。利用IPsec來確保數(shù)據(jù)網(wǎng)絡的安全，通過使用數(shù)字證書和自動認證設備，來相互驗證發(fā)送信息雙方的用戶身份。對需要在很多設備之間安全連接的大型網(wǎng)絡中確保數(shù)據(jù)安全，IPsec是一個理想的安全VPN解決方案。部署了IPsec的用戶能確保其網(wǎng)絡基礎設施的安全，而不會影響各臺計算機上的應用程序。此套協(xié)議是用作對網(wǎng)絡基礎設施的純軟件升級，這既允許實現(xiàn)安全性，又沒有花什么錢對每臺計算機進行改造。最重要的是，IPsec允許不同的網(wǎng)絡設備、PC機和其他計算機系統(tǒng)之間實現(xiàn)互通。IPsec有兩種模式——傳輸模式和隧道模式。傳輸模式只對IP分組應用IPsec協(xié)議，對IP報頭不進行任何修改，它只能應用于主機對主機的IPsec虛擬專用網(wǎng)VPN中。隧道模式中IPsec將原有的IP分組封裝成帶有新的IP報頭的IPsec分組，這樣原有的IP分組就被有效地隱藏起來了。IPsec協(xié)議中有兩點是我們所關心的：鑒定報頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulationSecurityPayload）。鑒定報頭AH可與很多各不相同的安全認證算法一起工作。它要校驗源地址和目的地址這些標明發(fā)送設備的字段是否在路由過程中被改變過，如果校驗沒通過，分組就會被拋棄。通過這種方式AH就為數(shù)據(jù)的完整性和原始性提供了鑒定，對IP報文提供鑒別信息和強大的完整性保護。如果鑒別算法以及密鑰采用非對稱密碼體制如RSA，則還可提供無法否認的數(shù)字簽名。AH通過對IP報文增加鑒別信息來提供完整性保護，此鑒別信息是通過計算整個IP報文，包括IP報頭、其他報頭和用戶數(shù)據(jù)中的所有信息而得到的，AH鑒別信息通常總是出現(xiàn)在IP報頭之后。封裝安全載荷（ESP）包頭提供數(shù)據(jù)載荷的完整性和IP數(shù)據(jù)的可靠性。數(shù)據(jù)載荷的完整性保證了用戶數(shù)據(jù)沒有被惡意網(wǎng)客破壞，可靠性保證使用密碼技術的安全。對IPv4和IPv6，ESP包頭都列在其它IP包頭后面。ESP編碼只有在不被任何IP包頭擾亂的情況下才能正確發(fā)送包。ESP協(xié)議非常靈活，可以在多種加密算法下工作，可選擇算法包括Triple－DES、AES、RC5、IDEA、CAST、BLOWFISH和RC4。ESP是通過對數(shù)據(jù)進行加密來提供數(shù)據(jù)的私密性和完整性保護的，從而避免數(shù)據(jù)在傳輸過程中的泄密和非法篡改。根據(jù)用戶的安全需求，ESP機制可用于只對用戶數(shù)據(jù)加密或?qū)φ麄€IP報文進行加密。IP層的安全機制需要密鑰管理協(xié)議。有幾種密鑰管理系統(tǒng)可用于IPSec的安全機制AH和ESP中，包括人工密鑰分配、自動密鑰分配。IETF已經(jīng)開發(fā)出Internet標準密鑰管理協(xié)議（ISAKMP：InternetSecurityAssociationandKeyManagementProtocol），實現(xiàn)Internet網(wǎng)上安全的自動密鑰分配。傳統(tǒng)IPSecVPN的局限性易聯(lián)網(wǎng)服務是一種全新的安全VPN解決方案，它有別于其任何傳統(tǒng)的以IPSec為基礎的安全VPN解決方案。在這里，有必要把傳統(tǒng)的IPSecVPN的實現(xiàn)方式說明一下。傳統(tǒng)的IPSecVPN的實現(xiàn)方式是指那些采用VPN（IPSec）網(wǎng)關的實現(xiàn)方式，如下圖所示：在這種實現(xiàn)方式中，不同的VPN網(wǎng)關之間，或者是在個人用戶與VPN網(wǎng)關之間建立一條IPSec隧道，互相之間建立信任關系。不同的私有網(wǎng)絡或者是個人用戶與私有網(wǎng)絡之間通過該IPSec隧道來交換數(shù)據(jù)，從而實現(xiàn)VPN。傳統(tǒng)的IPSecVPN的解決方案都有一些致命的問題和實施維護的復雜性導致了這些解決方案難以被企業(yè)用戶所采用，而不可能在Internet中得到大規(guī)模的應用。這些致命的問題已經(jīng)是廣為人知了：IPSec密鑰的管理非常復雜：當網(wǎng)絡的規(guī)模大到一定程度時，例如當需要在數(shù)十個以上節(jié)點間建立虛擬專網(wǎng)時，人工管理密鑰幾乎不可能做到，就更無法完成上百個節(jié)點的虛擬專網(wǎng)組建。企業(yè)內(nèi)網(wǎng)傳輸安全問題：由于IPSec安全隧道已經(jīng)在VPN網(wǎng)關設備上被終結了，應用數(shù)據(jù)在企業(yè)內(nèi)部網(wǎng)中只能采用明文傳輸，得不到安全保護。網(wǎng)關瓶頸問題：由于企業(yè)的IPSec網(wǎng)關需要來終結所有的IPSec隧道，需要大量的CPU資源來進行加減密的運算，這對網(wǎng)關的性能提出了非常高的要求,而高性能的網(wǎng)關又需要大規(guī)模的初試網(wǎng)絡設備投資。用戶界面的不友好：用戶必須采用抽象的IP地址來訪問VPN內(nèi)部的主機資源，這樣對很多不熟悉IP技術的商務人員來說，使用傳統(tǒng)的VPN接入技術顯得過于復雜，不易于使用。易聯(lián)網(wǎng)的功能特點易聯(lián)網(wǎng)服務采用DNR（域名路由：DomainNameRouting）專利技術將IPSec安全加密和域名服務（DNS：DomainNameService）標準結合在一起，構造出靈活的“虛擬專用網(wǎng)（VPN：VirtualPrivateNetwork）”，透明地覆蓋于互聯(lián)網(wǎng)基礎之上，為企業(yè)用戶提供VPN安全接入解決方案。這一高安全的、基于軟件的、協(xié)同工作的通訊架構使企業(yè)可以便捷地將其安全的接入手段擴展到全國范圍甚至世界各地，同時提供用戶身份驗證、集中的安全策略控制、無阻礙的全球可移動性和敏感信息的端到端安全交流。易聯(lián)網(wǎng)服務是業(yè)界唯一的一種提供可運營服務的、全軟件的、全球范圍的IPSecVPN解決方案，基于現(xiàn)有的互聯(lián)網(wǎng)，在不需要改動企業(yè)現(xiàn)有IP網(wǎng)絡架構的前提下，就可以協(xié)助企業(yè)建立基于IPSec的安全VPN網(wǎng)絡——虛擬企業(yè)網(wǎng)。易聯(lián)網(wǎng)服務使企業(yè)用戶可以通過Internet遠程安全地連接到企業(yè)私有網(wǎng)中，它有著當今IPSecVPN的全部優(yōu)點：安全、節(jié)省開支和便捷的遠程登錄。易聯(lián)網(wǎng)安全VPN解決方案與傳統(tǒng)IPSecVPN技術相比，還具有以下的優(yōu)勢：優(yōu)越的安全性能，采用IPSec完全的端到端連接：所有需要相互安全通信的用戶都是端到端進行IKE密鑰協(xié)商、數(shù)字證書交換、AES/3DES加解密，不需要將其IPSec的安全隧道終結在任何中間節(jié)點上，避免了敏感的信息在傳輸過程中出現(xiàn)泄密，為用戶提供了安全通信的信心保證；靈活的網(wǎng)絡覆蓋，穿透多層NAT，無須改動現(xiàn)有的網(wǎng)絡配置，不僅可以在中國（含香港）范圍內(nèi)使用，一樣可以在全球范圍內(nèi)使用；以域名為基礎的技術，易聯(lián)網(wǎng)用戶采用域名進行相互的訪問，無須關心其IP的規(guī)劃，而且用戶使用VPN的界面更加友好簡便，適合與商務人員和管理人員使用；沒有網(wǎng)關瓶頸，完全的分布式計算；易聯(lián)網(wǎng)系統(tǒng)中IPSec數(shù)據(jù)的加解密運算和密鑰的計算都是分布在每一個易聯(lián)網(wǎng)客戶端軟件終端自動完成的，是一種分布式的計算架構，避免了其它VPN網(wǎng)關式架構中容易出現(xiàn)的網(wǎng)關瓶頸問題。簡單的以策略為基礎的中央管理，便于企業(yè)系統(tǒng)管理員維護管理，基于Web瀏覽器頁面的集中配置管理，維護工作量極少。；迅速的建立、拆除、配置，可以在幾分鐘內(nèi)就可以為用戶提供VPN服務；成員的完全可移動性，成員可以采用任何方便的IP接入方式連接到Internet網(wǎng)上，就可以加入到其VPN域中；完全的互操作性，對上層所有IP應用完全透明（如文件共享、Email、遠程網(wǎng)絡打印等），并支持企業(yè)用戶日常協(xié)同工作的所需應用程序（如ERP、CRM、CAD和NetMeting等）。不需要硬件設備的增加、修改和配置，完全的軟件安裝和配置，而且安裝和配置步驟簡單易行，用戶只需要下載易聯(lián)網(wǎng)客戶端軟件到電腦上，雙擊開始安裝，然后根據(jù)屏幕上的指示操作，點擊“確認”、“下一步”或“繼續(xù)安裝”按鈕就可以了(整個安裝過程僅需幾分鐘時間)。易聯(lián)網(wǎng)產(chǎn)品所實現(xiàn)的安全技術規(guī)范如下：基于標準的安全和隧道協(xié)議：安全協(xié)議架構：IPSec密鑰的安全管理：PKIIKE（ISAKMP/Oakley）IPSec加密算法（企業(yè)系統(tǒng)管理員可以自行選擇使用任何一種加密算法）：——168位3DES、128位AESIPSec加密認證算法：——HMACwithSHA-1（160bit）用戶身份驗證方式：——雙因子驗證：用戶名/密碼和用戶身份數(shù)字證書支持第三方認證服務器：——基于RADIUS協(xié)議，企業(yè)用戶可以自行維護基于Radius協(xié)議的認證服務器，提供用戶名和密碼的二次認證支持硬件USBKey身份證書和動態(tài)口令卡驗證易聯(lián)網(wǎng)服務的安全性企業(yè)租用易聯(lián)網(wǎng)服務組建企業(yè)VPN網(wǎng)絡時，獲得一個企業(yè)客戶管理員帳號。企業(yè)客戶管理員在接到通知后就可以通過Web瀏覽器遠程安全登錄到易聯(lián)網(wǎng)服務平臺管理服務器上，自行管理企業(yè)內(nèi)部用戶帳號和密碼、VPN用戶分組和定制安全策略（如：是否阻止與互聯(lián)網(wǎng)的任何數(shù)據(jù)訪問、用戶能訪問虛擬專網(wǎng)中的那些服務器資源、屬于哪一個組等等）和安全加密算法等。企業(yè)用戶使用易聯(lián)網(wǎng)服務加入公司的VPN網(wǎng)絡時，首先啟動易聯(lián)網(wǎng)客戶端軟件，易聯(lián)網(wǎng)客戶端軟件先到易聯(lián)網(wǎng)中心服務器上進行身份驗證（雙因子身份驗證：用戶名/密碼和用戶身份證書）和相關網(wǎng)絡位置信息的登記，并將企業(yè)客戶管理員預設置的安全策略從易聯(lián)網(wǎng)中心服務器上下載到本地的電腦終端上，按照企業(yè)管理員預設置的安全策略安全地接入企業(yè)VPN網(wǎng)中（如果企業(yè)管理員強調(diào)網(wǎng)絡的安全性，可以采用加入VPN網(wǎng)絡同時強制斷開與互聯(lián)網(wǎng)任何數(shù)據(jù)連接的安全策略）。當企業(yè)用戶加入到企業(yè)VPN內(nèi)網(wǎng)中時，安全策略就會被推送給每個成員的易聯(lián)網(wǎng)客戶端軟件，易聯(lián)網(wǎng)客戶端軟件將安全策略加載到在其電腦終端的微軟操作系統(tǒng)TCP/IP堆棧網(wǎng)絡內(nèi)核中（類似軟件防火墻技術），由易聯(lián)網(wǎng)客戶端軟件檢測所有進出用戶電腦終端的數(shù)據(jù)流量，只有符合安全策略定義的數(shù)據(jù)流量（如：企業(yè)VPN內(nèi)部特定的應用數(shù)據(jù)訪問流量）才可以正確地發(fā)送和接收，任何其它非法的數(shù)量流量（如：訪問互聯(lián)網(wǎng)的數(shù)量流量、來自互聯(lián)網(wǎng)的數(shù)據(jù)訪問請求）則被丟棄。數(shù)據(jù)流量的檢測是在每一個用戶的電腦終端上完成，即在網(wǎng)絡的最邊緣完成數(shù)據(jù)流量的檢測。采用這種方法就可以將流量檢測處理工作量分散和最小化，就不在需要額外的網(wǎng)絡設備來對每一個數(shù)據(jù)包執(zhí)行安全策略的檢查，因此避免了專用網(wǎng)絡設備在物理網(wǎng)絡層進行包過濾處理時容易出現(xiàn)的性能瓶頸問題。即使用戶加入企業(yè)VPN內(nèi)網(wǎng)中，易聯(lián)網(wǎng)客戶端軟件還可以通過安全策略來控制終端用戶只能訪問企業(yè)VPN內(nèi)網(wǎng)中指定的服務器和指定的應用服務端口（如：數(shù)據(jù)庫服務上的數(shù)據(jù)訪問端口），這樣用戶只能通過授權的服務端口訪問服務器上的應用服務，除了這些指定的服務之外的其它服務都無從訪問，從而減少了很多對企業(yè)VPN內(nèi)網(wǎng)系統(tǒng)進行攻擊的途徑，達到了對企業(yè)VPN內(nèi)部網(wǎng)絡的最大保護；采用易聯(lián)網(wǎng)服務的企業(yè)用戶端到端終結IPSec隧道，即：端到端進行IKE密鑰的協(xié)商、數(shù)字證書交換和AES/3DES數(shù)據(jù)加解密，通訊過程中不需要將其IPSec的安全隧道終結在任何中間傳輸節(jié)點上，有效地避免了敏感的信息在傳輸過程中出現(xiàn)泄密，為企業(yè)用戶提供了足夠的安全信心保證。相比較而言，傳統(tǒng)企業(yè)自行建設的VPN網(wǎng)關產(chǎn)品在實現(xiàn)用戶VPN網(wǎng)絡需求時具有以下不足：傳統(tǒng)的VPN組網(wǎng)方式僅僅提供了用戶數(shù)據(jù)在IP公網(wǎng)上傳輸?shù)陌踩裕髽I(yè)關鍵數(shù)據(jù)在企業(yè)的內(nèi)部網(wǎng)往往是明文傳輸?shù)?，沒有安全保護；而易聯(lián)網(wǎng)服務不僅保證了用戶數(shù)據(jù)在IP公網(wǎng)上傳輸?shù)陌踩?，還同時保證了用戶數(shù)據(jù)在企業(yè)內(nèi)部網(wǎng)中傳輸?shù)陌踩浴Ｒ虼瞬捎靡茁?lián)網(wǎng)服務的VPN組網(wǎng)方案要企業(yè)自行建設VPN網(wǎng)關方式的VPN組網(wǎng)方案有著更高的安全性。傳統(tǒng)的VPN組網(wǎng)方式不支持透明穿透防火墻和NAT的訪問(例如：訪問位于企業(yè)私網(wǎng)中的服務器)，而且需要在防火墻上打開向內(nèi)訪問的端口，容易給企業(yè)內(nèi)網(wǎng)帶來網(wǎng)絡安全隱患；而易聯(lián)網(wǎng)服務可以透明地穿透企業(yè)的防火墻和NAT設備，也無須在防火墻上打開向內(nèi)訪問的端口，用戶的電腦終端、服務器和應用服務端口都不需要暴露在公網(wǎng)