基于协议的VPN技术分析

[摘要] 本文对IPSec与SSL两种协议进行剖析，从协议层面分析比较了两种VPN主流技术在应用范围、安全性、访问控制、管理成本方面的技术特点，进而提出各自发展方向。

[关键词] VPN IPSec SSL 协议 安全

一、引言

随着各种网络应用的快速发展，人们对网络上数据传输的安全性越来越重视。然而由于 TCP/ IP 协议在设计过程中主要考虑的是易用性和开放性，缺少服务质量保证以及相应的安全机制，因此如何通过 Internet 建立一条安全的信息传输通道，以保证所传输数据的安全性和完整性，成为网络管理者和使用者所关心的问题。

传统的租用专线方式虽然可以实现企业与企业、企业与分支机构间的安全通信，但专线方式的高通信费用以及扩展性差等缺点使其难以适应现代企业的需求。VPN (Virtual Private Network) ，即虚拟专用网，利用 Internet或其他公共互联网络的基础设施为用户创建隧道，提供与专用网络一样的安全和功能保障，实现不同网络的组件和资源之间的相互连接。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输，以其高安全性、低成本、扩展性强和易于管理等优点为企业提供服务。当前，IPSec VPN 和SSL VPN为主流技术。

二、IPSec 协议分析

IPSec是指 IETF (因特网工程任务组)以 RFC形式公布的一组安全 IP协议集，是为 IP及其以上协议(TCP和 UDP等)提供安全保护的安全协议标准。其目标是把安全机制引入 IP协议，通过使用密码学方法支持机密性和认证服务等安全服务。IPSec通过在 IP协议中增加两个基于密码的安全机制―认证头(AH)和封装安全载荷(ESP)来支持 IP数据报的认证、完整性和机密性。

IPSec协议族包括:IP安全架构、认证头 AH、封闭安全载荷 ESP和 Internet密钥交换(IKE)等协议。IP安全架构协议指定了 IPSec的整个框架，是 IP层安全的标准协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为 IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为 AH和 ESP提供密钥交换机制，在实际进行 IP通信时，可以根据实际安全需求，同时使用 AH和 ESP协议，或选择使用其中的一种。AH和 ESP都可以提供认证服务，AH提供的认证服务要强于 ESP，但不对数据报文进行加密，如下图所示。

IPSec的安全服务是由通讯双方建立的安全联盟(SA)来提供的。SA为通讯提供了安全协议、模式、算法和应用于单向 IP流的密钥等安全信息，这些信息由 SAD管理提供。当 IP报文流经 IPSec设备时，系统对比安全策略库(SPD)中相应的安全策略，对 IP报文进行不同的处理。处理方法一般有三种：丢弃、绕过和 IPSec保护。如果选择了 IPSec保护，根据 SPD和 SAD的对应关系，找到相应的 SA，进行指定的 IPSec处理。

三、SSL协议分析

SSL(Secure Socket Layer)是Netscape公司设计的主要用于web的安全传输协议。SSL被设计为使TCP提供一个可靠的端到端的安全服务，它不是一个单一的协议，而是由多个协议组成，包括 SSL记录协议(SSLRecord Protocol)，SSL握手协议(SSL handshake Protocol)、SSL修改密文规约协议(SSL ChangeCipher Spec Protocol)、SSL警告协议(SSL Alert Protocol)，其体系结构如下图所示。

记录协议定义了要传输数据的格式，它位于可靠的的传输协议TCP之上，用于各种更高层协议的封装。记录协议主要完成分组和组合，压缩和解压缩，以及消息认证和加密等功能。所有传输数据包括握手消息和应用数据都被封装在记录中。握手协议允许服务器与客户机在应用程序传输和接收数据之前互相认证、协商加密算法和密钥。通信双方首先通过SSL握手协议建立客户端与服务器之间的安全通道，SSL记录协议通过分段、压缩、添加 MAC以及加密等操作步骤把应用数据封装成多条记录，最后再进行传输。

四、基于协议的VPN技术分析

IPSec是一种健壮的可扩展的安全机制，其工作在网络层，对终端站点间所有传输数据进行保护，提供数据的加密性、完整性、数据源身份认证以及抗重播保护。故IPSec VPN对IP层上的各种服务提供安全保障，确保数据传输的安全性。而SSL处于TCP之上，只对TCP上的通信数据提供安全服务。因此，IPSec VPN较SSL VPN有更广泛的应用范围。

从安全性上看，由于工作在网络层，IPSec VPN要求远程接入客户端适当安装和配置IPSec客户端软件和接入设备，这大大提高了安全级别，因为访问受到特定的接入设备、软件客户端、用户认证机制和预定义安全规则的限制。因此，IPSec VPN在站点之间建立了一条安全的通道。但在安全通道两端，IPSec VPN则存在不安全因素。远程客户端通过IPSec VPN将拥有内部网用户一样的权限和操作功能。故IPSec VPN只能做到客户到VPN网关的安全，也意味者通道两端安全性低的一端有可能通过IPSec VPN将安全隐患传递给安全性高的一端。而SSL VPN主要应用基于B/S结构，其安全性不如基于C/S结构的IPSec VPN。但是，SSL协议直接作用于应用层各种服务，SSL VPN是一种基于应用层的、以某个应用为目标的安全方案，只有经认证的用户才能对资源进行访问。故SSL VPN 安全通道是在客户到所访问的资源之间建立的，确保点到点的全程安全。

在访问控制方面，IPSec VPN的目标是建立起一个虚拟的 IP网络，保证数据在通道上的安全，而无法保护内部数据的安全。而SSL VPN 重点在于保护具体的敏感数据，可以根据用户的不同身份，给予不同的访问权限。这种精确的接入控制功能对远程接入IPSec VPN来说几乎是难以实现的。

在管理成本方面，由于IPSec工作在网络层，用作远程接入的IPSec VPN客户端实现较困难，配置和维护工作复杂。而对于SSL VPN，由于SSL工作于TCP协议与各种应用层协议之间，又浏览器内嵌了SSL协议，则基于B/S结构的业务时，可以直接使用浏览器完成SSL VPN的建立，无需安装客户端。

五、结论

IPSec VPN提供完整的网络层连接功能，在网对网(Site -Site)的VPN连接中具备先天优势，是实现多专用网安全连接的最佳选项，而 SSL VPN 的“零客户端”架构特别适合于移动用户的远程接入(Client - Site)，为他们提供一种简单的安全接入方式，通过任何 Web浏览器访问企业网 Web应用。

参考文献:

[1]Gleeson B. A framework for IP based virtual private networks〔S〕. RFC2764，2000

[2]Kent S, Atkinson R. Security architecture for the internet protocol[S]. RFC2401，1998

[3]张扬:基于Ipsec的VPN研究[J].重庆工学院学报（自然科学），2008，22（1）：115～117

[4]马军锋:SSL VPN技术原理及其应用[J].电信网技术，2005（8）：6～8