软件VPN的安全性本文主要论述基于业界公认的IPSec加密安全通讯协议之上开发的软件VPN的安全性,其它基于非加密通讯协议(如:L2TP、PPTP等)或一些企业自定义通讯协议(如:VNN、金万维天联VPN)的软件VPN等不在本文的讨论范围内。IPSec安全机制Internet网络无处不在,是一个非常理想的数据传输广域网络,但是传统的Internet网上的应用数据传输都是采用明文直接传输的,易于被恶意地监听和窃取,因此一直以来大家在使用Internet传输敏感信息时,都在当心其信息数据的安全性。在使用TCP/IP协议的Internet体系结构中,IP层是一个附加安全措施的很好场所,因为IP层处于整个协议体系的中间点,它既能捕获所有从高层来的报文,也能捕获所有从低层来的报文。从IP层的定义来看,在这一层附加安全措施是与低层协议无关的,可对高层协议和应用进程透明。许多Internet网络应用可以从IP层提供的安全服务中得益。正是基于这一考虑,Internet标准协议制定组织IETF已制定了一系列安全协议标准IPSec和IKMP密钥管理协议,用来提供IP层安全服务。目前已有多种产品支持IPSece安全协议。IPSec和一些密钥管理协议为组建安全的VPN提供了一条很好的途径。IPSec是一个能在Internet上保证通道安全的开放标准,IPSec生成一个标准平台,来开发安全网络和机器之间的安全数据隧道。通过IPsec的安全隧道,在数据包可以传送的网络中生成像电路那样的专用连接。利用IPsec来确保数据网络的安全,通过使用数字证书和自动认证设备,来相互验证发送信息双方的用户身份。对需要在很多设备之间安全连接的大型网络中确保数据安全,IPsec是一个理想的安全VPN解决方案。部署了IPsec的用户能确保其网络基础设施的安全,而不会影响各台计算机上的应用程序。此套协议是用作对网络基础设施的纯软件升级,这既允许实现安全性,又没有花什么钱对每台计算机进行改造。最重要的是,IPsec允许不同的网络设备、PC机和其他计算机系统之间实现互通。IPsec有两种模式——传输模式和隧道模式。传输模式只对IP分组应用IPsec协议,对IP报头不进行任何修改,它只能应用于主机对主机的IPsec虚拟专用网VPN中。隧道模式中IPsec将原有的IP分组封装成带有新的IP报头的IPsec分组,这样原有的IP分组就被有效地隐藏起来了。IPsec协议中有两点是我们所关心的:鉴定报头AH(AuthenticationHeader)和封装安全载荷ESP(EncapsulationSecurityPayload)。鉴定报头AH可与很多各不相同的安全认证算法一起工作。它要校验源地址和目的地址这些标明发送设备的字段是否在路由过程中被改变过,如果校验没通过,分组就会被抛弃。通过这种方式AH就为数据的完整性和原始性提供了鉴定,对IP报文提供鉴别信息和强大的完整性保护。如果鉴别算法以及密钥采用非对称密码体制如RSA,则还可提供无法否认的数字签名。AH通过对IP报文增加鉴别信息来提供完整性保护,此鉴别信息是通过计算整个IP报文,包括IP报头、其他报头和用户数据中的所有信息而得到的,AH鉴别信息通常总是出现在IP报头之后。封装安全载荷(ESP)包头提供数据载荷的完整性和IP数据的可靠性。数据载荷的完整性保证了用户数据没有被恶意网客破坏,可靠性保证使用密码技术的安全。对IPv4和IPv6,ESP包头都列在其它IP包头后面。ESP编码只有在不被任何IP包头扰乱的情况下才能正确发送包。ESP协议非常灵活,可以在多种加密算法下工作,可选择算法包括Triple-DES、AES、RC5、IDEA、CAST、BLOWFISH和RC4。ESP是通过对数据进行加密来提供数据的私密性和完整性保护的,从而避免数据在传输过程中的泄密和非法篡改。根据用户的安全需求,ESP机制可用于只对用户数据加密或对整个IP报文进行加密。IP层的安全机制需要密钥管理协议。有几种密钥管理系统可用于IPSec的安全机制AH和ESP中,包括人工密钥分配、自动密钥分配。IETF已经开发出Internet标准密钥管理协议(ISAKMP:InternetSecurityAssociationandKeyManagementProtocol),实现Internet网上安全的自动密钥分配。传统IPSecVPN的局限性易联网服务是一种全新的安全VPN解决方案,它有别于其任何传统的以IPSec为基础的安全VPN解决方案。在这里,有必要把传统的IPSecVPN的实现方式说明一下。传统的IPSecVPN的实现方式是指那些采用VPN(IPSec)网关的实现方式,如下图所示:在这种实现方式中,不同的VPN网关之间,或者是在个人用户与VPN网关之间建立一条IPSec隧道,互相之间建立信任关系。不同的私有网络或者是个人用户与私有网络之间通过该IPSec隧道来交换数据,从而实现VPN。传统的IPSecVPN的解决方案都有一些致命的问题和实施维护的复杂性导致了这些解决方案难以被企业用户所采用,而不可能在Internet中得到大规模的应用。这些致命的问题已经是广为人知了:IPSec密钥的管理非常复杂:当网络的规模大到一定程度时,例如当需要在数十个以上节点间建立虚拟专网时,人工管理密钥几乎不可能做到,就更无法完成上百个节点的虚拟专网组建。企业内网传输安全问题:由于IPSec安全隧道已经在VPN网关设备上被终结了,应用数据在企业内部网中只能采用明文传输,得不到安全保护。网关瓶颈问题:由于企业的IPSec网关需要来终结所有的IPSec隧道,需要大量的CPU资源来进行加减密的运算,这对网关的性能提出了非常高的要求,而高性能的网关又需要大规模的初试网络设备投资。用户界面的不友好:用户必须采用抽象的IP地址来访问VPN内部的主机资源,这样对很多不熟悉IP技术的商务人员来说,使用传统的VPN接入技术显得过于复杂,不易于使用。易联网的功能特点易联网服务采用DNR(域名路由:DomainNameRouting)专利技术将IPSec安全加密和域名服务(DNS:DomainNameService)标准结合在一起,构造出灵活的“虚拟专用网(VPN:VirtualPrivateNetwork)”,透明地覆盖于互联网基础之上,为企业用户提供VPN安全接入解决方案。这一高安全的、基于软件的、协同工作的通讯架构使企业可以便捷地将其安全的接入手段扩展到全国范围甚至世界各地,同时提供用户身份验证、集中的安全策略控制、无阻碍的全球可移动性和敏感信息的端到端安全交流。易联网服务是业界唯一的一种提供可运营服务的、全软件的、全球范围的IPSecVPN解决方案,基于现有的互联网,在不需要改动企业现有IP网络架构的前提下,就可以协助企业建立基于IPSec的安全VPN网络——虚拟企业网。易联网服务使企业用户可以通过Internet远程安全地连接到企业私有网中,它有着当今IPSecVPN的全部优点:安全、节省开支和便捷的远程登录。易联网安全VPN解决方案与传统IPSecVPN技术相比,还具有以下的优势:优越的安全性能,采用IPSec完全的端到端连接:所有需要相互安全通信的用户都是端到端进行IKE密钥协商、数字证书交换、AES/3DES加解密,不需要将其IPSec的安全隧道终结在任何中间节点上,避免了敏感的信息在传输过程中出现泄密,为用户提供了安全通信的信心保证;灵活的网络覆盖,穿透多层NAT,无须改动现有的网络配置,不仅可以在中国(含香港)范围内使用,一样可以在全球范围内使用;以域名为基础的技术,易联网用户采用域名进行相互的访问,无须关心其IP的规划,而且用户使用VPN的界面更加友好简便,适合与商务人员和管理人员使用;没有网关瓶颈,完全的分布式计算;易联网系统中IPSec数据的加解密运算和密钥的计算都是分布在每一个易联网客户端软件终端自动完成的,是一种分布式的计算架构,避免了其它VPN网关式架构中容易出现的网关瓶颈问题。简单的以策略为基础的中央管理,便于企业系统管理员维护管理,基于Web浏览器页面的集中配置管理,维护工作量极少。;迅速的建立、拆除、配置,可以在几分钟内就可以为用户提供VPN服务;成员的完全可移动性,成员可以采用任何方便的IP接入方式连接到Internet网上,就可以加入到其VPN域中;完全的互操作性,对上层所有IP应用完全透明(如文件共享、Email、远程网络打印等),并支持企业用户日常协同工作的所需应用程序(如ERP、CRM、CAD和NetMeting等)。不需要硬件设备的增加、修改和配置,完全的软件安装和配置,而且安装和配置步骤简单易行,用户只需要下载易联网客户端软件到电脑上,双击开始安装,然后根据屏幕上的指示操作,点击“确认”、“下一步”或“继续安装”按钮就可以了(整个安装过程仅需几分钟时间)。易联网产品所实现的安全技术规范如下:基于标准的安全和隧道协议:安全协议架构:IPSec密钥的安全管理:PKIIKE(ISAKMP/Oakley)IPSec加密算法(企业系统管理员可以自行选择使用任何一种加密算法):——168位3DES、128位AESIPSec加密认证算法:——HMACwithSHA-1(160bit)用户身份验证方式:——双因子验证:用户名/密码和用户身份数字证书支持第三方认证服务器:——基于RADIUS协议,企业用户可以自行维护基于Radius协议的认证服务器,提供用户名和密码的二次认证支持硬件USBKey身份证书和动态口令卡验证易联网服务的安全性企业租用易联网服务组建企业VPN网络时,获得一个企业客户管理员帐号。企业客户管理员在接到通知后就可以通过Web浏览器远程安全登录到易联网服务平台管理服务器上,自行管理企业内部用户帐号和密码、VPN用户分组和定制安全策略(如:是否阻止与互联网的任何数据访问、用户能访问虚拟专网中的那些服务器资源、属于哪一个组等等)和安全加密算法等。企业用户使用易联网服务加入公司的VPN网络时,首先启动易联网客户端软件,易联网客户端软件先到易联网中心服务器上进行身份验证(双因子身份验证:用户名/密码和用户身份证书)和相关网络位置信息的登记,并将企业客户管理员预设置的安全策略从易联网中心服务器上下载到本地的电脑终端上,按照企业管理员预设置的安全策略安全地接入企业VPN网中(如果企业管理员强调网络的安全性,可以采用加入VPN网络同时强制断开与互联网任何数据连接的安全策略)。当企业用户加入到企业VPN内网中时,安全策略就会被推送给每个成员的易联网客户端软件,易联网客户端软件将安全策略加载到在其电脑终端的微软操作系统TCP/IP堆栈网络内核中(类似软件防火墙技术),由易联网客户端软件检测所有进出用户电脑终端的数据流量,只有符合安全策略定义的数据流量(如:企业VPN内部特定的应用数据访问流量)才可以正确地发送和接收,任何其它非法的数量流量(如:访问互联网的数量流量、来自互联网的数据访问请求)则被丢弃。数据流量的检测是在每一个用户的电脑终端上完成,即在网络的最边缘完成数据流量的检测。采用这种方法就可以将流量检测处理工作量分散和最小化,就不在需要额外的网络设备来对每一个数据包执行安全策略的检查,因此避免了专用网络设备在物理网络层进行包过滤处理时容易出现的性能瓶颈问题。即使用户加入企业VPN内网中,易联网客户端软件还可以通过安全策略来控制终端用户只能访问企业VPN内网中指定的服务器和指定的应用服务端口(如:数据库服务上的数据访问端口),这样用户只能通过授权的服务端口访问服务器上的应用服务,除了这些指定的服务之外的其它服务都无从访问,从而减少了很多对企业VPN内网系统进行攻击的途径,达到了对企业VPN内部网络的最大保护;采用易联网服务的企业用户端到端终结IPSec隧道,即:端到端进行IKE密钥的协商、数字证书交换和AES/3DES数据加解密,通讯过程中不需要将其IPSec的安全隧道终结在任何中间传输节点上,有效地避免了敏感的信息