軟件VPN的安全性

軟件VPN的安全性本文主要論述基于業(yè)界公認(rèn)的IPSec加密安全通訊協(xié)議之上開發(fā)的軟件VPN的安全性，其它基于非加密通訊協(xié)議（如：L2TP、PPTP等）或一些企業(yè)自定義通訊協(xié)議（如：VNN、金萬維天聯(lián)VPN）的軟件VPN等不在本文的討論范圍內(nèi)。IPSec安全機(jī)制Internet網(wǎng)絡(luò)無處不在，是一個(gè)非常理想的數(shù)據(jù)傳輸廣域網(wǎng)絡(luò)，但是傳統(tǒng)的Internet網(wǎng)上的應(yīng)用數(shù)據(jù)傳輸都是采用明文直接傳輸?shù)?，易于被惡意地監(jiān)聽和竊取，因此一直以來大家在使用Internet傳輸敏感信息時(shí)，都在當(dāng)心其信息數(shù)據(jù)的安全性。在使用TCP/IP協(xié)議的Internet體系結(jié)構(gòu)中，IP層是一個(gè)附加安全措施的很好場所，因?yàn)镮P層處于整個(gè)協(xié)議體系的中間點(diǎn)，它既能捕獲所有從高層來的報(bào)文，也能捕獲所有從低層來的報(bào)文。從IP層的定義來看，在這一層附加安全措施是與低層協(xié)議無關(guān)的，可對高層協(xié)議和應(yīng)用進(jìn)程透明。許多Internet網(wǎng)絡(luò)應(yīng)用可以從IP層提供的安全服務(wù)中得益。正是基于這一考慮，Internet標(biāo)準(zhǔn)協(xié)議制定組織IETF已制定了一系列安全協(xié)議標(biāo)準(zhǔn)IPSec和IKMP密鑰管理協(xié)議，用來提供IP層安全服務(wù)。目前已有多種產(chǎn)品支持IPSece安全協(xié)議。IPSec和一些密鑰管理協(xié)議為組建安全的VPN提供了一條很好的途徑。IPSec是一個(gè)能在Internet上保證通道安全的開放標(biāo)準(zhǔn)，IPSec生成一個(gè)標(biāo)準(zhǔn)平臺，來開發(fā)安全網(wǎng)絡(luò)和機(jī)器之間的安全數(shù)據(jù)隧道。通過IPsec的安全隧道，在數(shù)據(jù)包可以傳送的網(wǎng)絡(luò)中生成像電路那樣的專用連接。利用IPsec來確保數(shù)據(jù)網(wǎng)絡(luò)的安全，通過使用數(shù)字證書和自動(dòng)認(rèn)證設(shè)備，來相互驗(yàn)證發(fā)送信息雙方的用戶身份。對需要在很多設(shè)備之間安全連接的大型網(wǎng)絡(luò)中確保數(shù)據(jù)安全，IPsec是一個(gè)理想的安全VPN解決方案。部署了IPsec的用戶能確保其網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，而不會影響各臺計(jì)算機(jī)上的應(yīng)用程序。此套協(xié)議是用作對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的純軟件升級，這既允許實(shí)現(xiàn)安全性，又沒有花什么錢對每臺計(jì)算機(jī)進(jìn)行改造。最重要的是，IPsec允許不同的網(wǎng)絡(luò)設(shè)備、PC機(jī)和其他計(jì)算機(jī)系統(tǒng)之間實(shí)現(xiàn)互通。IPsec有兩種模式——傳輸模式和隧道模式。傳輸模式只對IP分組應(yīng)用IPsec協(xié)議，對IP報(bào)頭不進(jìn)行任何修改，它只能應(yīng)用于主機(jī)對主機(jī)的IPsec虛擬專用網(wǎng)VPN中。隧道模式中IPsec將原有的IP分組封裝成帶有新的IP報(bào)頭的IPsec分組，這樣原有的IP分組就被有效地隱藏起來了。IPsec協(xié)議中有兩點(diǎn)是我們所關(guān)心的：鑒定報(bào)頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulationSecurityPayload）。鑒定報(bào)頭AH可與很多各不相同的安全認(rèn)證算法一起工作。它要校驗(yàn)源地址和目的地址這些標(biāo)明發(fā)送設(shè)備的字段是否在路由過程中被改變過，如果校驗(yàn)沒通過，分組就會被拋棄。通過這種方式AH就為數(shù)據(jù)的完整性和原始性提供了鑒定，對IP報(bào)文提供鑒別信息和強(qiáng)大的完整性保護(hù)。如果鑒別算法以及密鑰采用非對稱密碼體制如RSA，則還可提供無法否認(rèn)的數(shù)字簽名。AH通過對IP報(bào)文增加鑒別信息來提供完整性保護(hù)，此鑒別信息是通過計(jì)算整個(gè)IP報(bào)文，包括IP報(bào)頭、其他報(bào)頭和用戶數(shù)據(jù)中的所有信息而得到的，AH鑒別信息通常總是出現(xiàn)在IP報(bào)頭之后。封裝安全載荷（ESP）包頭提供數(shù)據(jù)載荷的完整性和IP數(shù)據(jù)的可靠性。數(shù)據(jù)載荷的完整性保證了用戶數(shù)據(jù)沒有被惡意網(wǎng)客破壞，可靠性保證使用密碼技術(shù)的安全。對IPv4和IPv6，ESP包頭都列在其它IP包頭后面。ESP編碼只有在不被任何IP包頭擾亂的情況下才能正確發(fā)送包。ESP協(xié)議非常靈活，可以在多種加密算法下工作，可選擇算法包括Triple－DES、AES、RC5、IDEA、CAST、BLOWFISH和RC4。ESP是通過對數(shù)據(jù)進(jìn)行加密來提供數(shù)據(jù)的私密性和完整性保護(hù)的，從而避免數(shù)據(jù)在傳輸過程中的泄密和非法篡改。根據(jù)用戶的安全需求，ESP機(jī)制可用于只對用戶數(shù)據(jù)加密或?qū)φ麄€(gè)IP報(bào)文進(jìn)行加密。IP層的安全機(jī)制需要密鑰管理協(xié)議。有幾種密鑰管理系統(tǒng)可用于IPSec的安全機(jī)制AH和ESP中，包括人工密鑰分配、自動(dòng)密鑰分配。IETF已經(jīng)開發(fā)出Internet標(biāo)準(zhǔn)密鑰管理協(xié)議（ISAKMP：InternetSecurityAssociationandKeyManagementProtocol），實(shí)現(xiàn)Internet網(wǎng)上安全的自動(dòng)密鑰分配。傳統(tǒng)IPSecVPN的局限性易聯(lián)網(wǎng)服務(wù)是一種全新的安全VPN解決方案，它有別于其任何傳統(tǒng)的以IPSec為基礎(chǔ)的安全VPN解決方案。在這里，有必要把傳統(tǒng)的IPSecVPN的實(shí)現(xiàn)方式說明一下。傳統(tǒng)的IPSecVPN的實(shí)現(xiàn)方式是指那些采用VPN（IPSec）網(wǎng)關(guān)的實(shí)現(xiàn)方式，如下圖所示：在這種實(shí)現(xiàn)方式中，不同的VPN網(wǎng)關(guān)之間，或者是在個(gè)人用戶與VPN網(wǎng)關(guān)之間建立一條IPSec隧道，互相之間建立信任關(guān)系。不同的私有網(wǎng)絡(luò)或者是個(gè)人用戶與私有網(wǎng)絡(luò)之間通過該IPSec隧道來交換數(shù)據(jù)，從而實(shí)現(xiàn)VPN。傳統(tǒng)的IPSecVPN的解決方案都有一些致命的問題和實(shí)施維護(hù)的復(fù)雜性導(dǎo)致了這些解決方案難以被企業(yè)用戶所采用，而不可能在Internet中得到大規(guī)模的應(yīng)用。這些致命的問題已經(jīng)是廣為人知了：IPSec密鑰的管理非常復(fù)雜：當(dāng)網(wǎng)絡(luò)的規(guī)模大到一定程度時(shí)，例如當(dāng)需要在數(shù)十個(gè)以上節(jié)點(diǎn)間建立虛擬專網(wǎng)時(shí)，人工管理密鑰幾乎不可能做到，就更無法完成上百個(gè)節(jié)點(diǎn)的虛擬專網(wǎng)組建。企業(yè)內(nèi)網(wǎng)傳輸安全問題：由于IPSec安全隧道已經(jīng)在VPN網(wǎng)關(guān)設(shè)備上被終結(jié)了，應(yīng)用數(shù)據(jù)在企業(yè)內(nèi)部網(wǎng)中只能采用明文傳輸，得不到安全保護(hù)。網(wǎng)關(guān)瓶頸問題：由于企業(yè)的IPSec網(wǎng)關(guān)需要來終結(jié)所有的IPSec隧道，需要大量的CPU資源來進(jìn)行加減密的運(yùn)算，這對網(wǎng)關(guān)的性能提出了非常高的要求,而高性能的網(wǎng)關(guān)又需要大規(guī)模的初試網(wǎng)絡(luò)設(shè)備投資。用戶界面的不友好：用戶必須采用抽象的IP地址來訪問VPN內(nèi)部的主機(jī)資源，這樣對很多不熟悉IP技術(shù)的商務(wù)人員來說，使用傳統(tǒng)的VPN接入技術(shù)顯得過于復(fù)雜，不易于使用。易聯(lián)網(wǎng)的功能特點(diǎn)易聯(lián)網(wǎng)服務(wù)采用DNR（域名路由：DomainNameRouting）專利技術(shù)將IPSec安全加密和域名服務(wù)（DNS：DomainNameService）標(biāo)準(zhǔn)結(jié)合在一起，構(gòu)造出靈活的“虛擬專用網(wǎng)（VPN：VirtualPrivateNetwork）”，透明地覆蓋于互聯(lián)網(wǎng)基礎(chǔ)之上，為企業(yè)用戶提供VPN安全接入解決方案。這一高安全的、基于軟件的、協(xié)同工作的通訊架構(gòu)使企業(yè)可以便捷地將其安全的接入手段擴(kuò)展到全國范圍甚至世界各地，同時(shí)提供用戶身份驗(yàn)證、集中的安全策略控制、無阻礙的全球可移動(dòng)性和敏感信息的端到端安全交流。易聯(lián)網(wǎng)服務(wù)是業(yè)界唯一的一種提供可運(yùn)營服務(wù)的、全軟件的、全球范圍的IPSecVPN解決方案，基于現(xiàn)有的互聯(lián)網(wǎng)，在不需要改動(dòng)企業(yè)現(xiàn)有IP網(wǎng)絡(luò)架構(gòu)的前提下，就可以協(xié)助企業(yè)建立基于IPSec的安全VPN網(wǎng)絡(luò)——虛擬企業(yè)網(wǎng)。易聯(lián)網(wǎng)服務(wù)使企業(yè)用戶可以通過Internet遠(yuǎn)程安全地連接到企業(yè)私有網(wǎng)中，它有著當(dāng)今IPSecVPN的全部優(yōu)點(diǎn)：安全、節(jié)省開支和便捷的遠(yuǎn)程登錄。易聯(lián)網(wǎng)安全VPN解決方案與傳統(tǒng)IPSecVPN技術(shù)相比，還具有以下的優(yōu)勢：優(yōu)越的安全性能，采用IPSec完全的端到端連接：所有需要相互安全通信的用戶都是端到端進(jìn)行IKE密鑰協(xié)商、數(shù)字證書交換、AES/3DES加解密，不需要將其IPSec的安全隧道終結(jié)在任何中間節(jié)點(diǎn)上，避免了敏感的信息在傳輸過程中出現(xiàn)泄密，為用戶提供了安全通信的信心保證；靈活的網(wǎng)絡(luò)覆蓋，穿透多層NAT，無須改動(dòng)現(xiàn)有的網(wǎng)絡(luò)配置，不僅可以在中國（含香港）范圍內(nèi)使用，一樣可以在全球范圍內(nèi)使用；以域名為基礎(chǔ)的技術(shù)，易聯(lián)網(wǎng)用戶采用域名進(jìn)行相互的訪問，無須關(guān)心其IP的規(guī)劃，而且用戶使用VPN的界面更加友好簡便，適合與商務(wù)人員和管理人員使用；沒有網(wǎng)關(guān)瓶頸，完全的分布式計(jì)算；易聯(lián)網(wǎng)系統(tǒng)中IPSec數(shù)據(jù)的加解密運(yùn)算和密鑰的計(jì)算都是分布在每一個(gè)易聯(lián)網(wǎng)客戶端軟件終端自動(dòng)完成的，是一種分布式的計(jì)算架構(gòu)，避免了其它VPN網(wǎng)關(guān)式架構(gòu)中容易出現(xiàn)的網(wǎng)關(guān)瓶頸問題。簡單的以策略為基礎(chǔ)的中央管理，便于企業(yè)系統(tǒng)管理員維護(hù)管理，基于Web瀏覽器頁面的集中配置管理，維護(hù)工作量極少。；迅速的建立、拆除、配置，可以在幾分鐘內(nèi)就可以為用戶提供VPN服務(wù)；成員的完全可移動(dòng)性，成員可以采用任何方便的IP接入方式連接到Internet網(wǎng)上，就可以加入到其VPN域中；完全的互操作性，對上層所有IP應(yīng)用完全透明（如文件共享、Email、遠(yuǎn)程網(wǎng)絡(luò)打印等），并支持企業(yè)用戶日常協(xié)同工作的所需應(yīng)用程序（如ERP、CRM、CAD和NetMeting等）。不需要硬件設(shè)備的增加、修改和配置，完全的軟件安裝和配置，而且安裝和配置步驟簡單易行，用戶只需要下載易聯(lián)網(wǎng)客戶端軟件到電腦上，雙擊開始安裝，然后根據(jù)屏幕上的指示操作，點(diǎn)擊“確認(rèn)”、“下一步”或“繼續(xù)安裝”按鈕就可以了(整個(gè)安裝過程僅需幾分鐘時(shí)間)。易聯(lián)網(wǎng)產(chǎn)品所實(shí)現(xiàn)的安全技術(shù)規(guī)范如下：基于標(biāo)準(zhǔn)的安全和隧道協(xié)議：安全協(xié)議架構(gòu)：IPSec密鑰的安全管理：PKIIKE（ISAKMP/Oakley）IPSec加密算法（企業(yè)系統(tǒng)管理員可以自行選擇使用任何一種加密算法）：——168位3DES、128位AESIPSec加密認(rèn)證算法：——HMACwithSHA-1（160bit）用戶身份驗(yàn)證方式：——雙因子驗(yàn)證：用戶名/密碼和用戶身份數(shù)字證書支持第三方認(rèn)證服務(wù)器：——基于RADIUS協(xié)議，企業(yè)用戶可以自行維護(hù)基于Radius協(xié)議的認(rèn)證服務(wù)器，提供用戶名和密碼的二次認(rèn)證支持硬件USBKey身份證書和動(dòng)態(tài)口令卡驗(yàn)證易聯(lián)網(wǎng)服務(wù)的安全性企業(yè)租用易聯(lián)網(wǎng)服務(wù)組建企業(yè)VPN網(wǎng)絡(luò)時(shí)，獲得一個(gè)企業(yè)客戶管理員帳號。企業(yè)客戶管理員在接到通知后就可以通過Web瀏覽器遠(yuǎn)程安全登錄到易聯(lián)網(wǎng)服務(wù)平臺管理服務(wù)器上，自行管理企業(yè)內(nèi)部用戶帳號和密碼、VPN用戶分組和定制安全策略（如：是否阻止與互聯(lián)網(wǎng)的任何數(shù)據(jù)訪問、用戶能訪問虛擬專網(wǎng)中的那些服務(wù)器資源、屬于哪一個(gè)組等等）和安全加密算法等。企業(yè)用戶使用易聯(lián)網(wǎng)服務(wù)加入公司的VPN網(wǎng)絡(luò)時(shí)，首先啟動(dòng)易聯(lián)網(wǎng)客戶端軟件，易聯(lián)網(wǎng)客戶端軟件先到易聯(lián)網(wǎng)中心服務(wù)器上進(jìn)行身份驗(yàn)證（雙因子身份驗(yàn)證：用戶名/密碼和用戶身份證書）和相關(guān)網(wǎng)絡(luò)位置信息的登記，并將企業(yè)客戶管理員預(yù)設(shè)置的安全策略從易聯(lián)網(wǎng)中心服務(wù)器上下載到本地的電腦終端上，按照企業(yè)管理員預(yù)設(shè)置的安全策略安全地接入企業(yè)VPN網(wǎng)中（如果企業(yè)管理員強(qiáng)調(diào)網(wǎng)絡(luò)的安全性，可以采用加入VPN網(wǎng)絡(luò)同時(shí)強(qiáng)制斷開與互聯(lián)網(wǎng)任何數(shù)據(jù)連接的安全策略）。當(dāng)企業(yè)用戶加入到企業(yè)VPN內(nèi)網(wǎng)中時(shí)，安全策略就會被推送給每個(gè)成員的易聯(lián)網(wǎng)客戶端軟件，易聯(lián)網(wǎng)客戶端軟件將安全策略加載到在其電腦終端的微軟操作系統(tǒng)TCP/IP堆棧網(wǎng)絡(luò)內(nèi)核中（類似軟件防火墻技術(shù)），由易聯(lián)網(wǎng)客戶端軟件檢測所有進(jìn)出用戶電腦終端的數(shù)據(jù)流量，只有符合安全策略定義的數(shù)據(jù)流量（如：企業(yè)VPN內(nèi)部特定的應(yīng)用數(shù)據(jù)訪問流量）才可以正確地發(fā)送和接收，任何其它非法的數(shù)量流量（如：訪問互聯(lián)網(wǎng)的數(shù)量流量、來自互聯(lián)網(wǎng)的數(shù)據(jù)訪問請求）則被丟棄。數(shù)據(jù)流量的檢測是在每一個(gè)用戶的電腦終端上完成，即在網(wǎng)絡(luò)的最邊緣完成數(shù)據(jù)流量的檢測。采用這種方法就可以將流量檢測處理工作量分散和最小化，就不在需要額外的網(wǎng)絡(luò)設(shè)備來對每一個(gè)數(shù)據(jù)包執(zhí)行安全策略的檢查，因此避免了專用網(wǎng)絡(luò)設(shè)備在物理網(wǎng)絡(luò)層進(jìn)行包過濾處理時(shí)容易出現(xiàn)的性能瓶頸問題。即使用戶加入企業(yè)VPN內(nèi)網(wǎng)中，易聯(lián)網(wǎng)客戶端軟件還可以通過安全策略來控制終端用戶只能訪問企業(yè)VPN內(nèi)網(wǎng)中指定的服務(wù)器和指定的應(yīng)用服務(wù)端口（如：數(shù)據(jù)庫服務(wù)上的數(shù)據(jù)訪問端口），這樣用戶只能通過授權(quán)的服務(wù)端口訪問服務(wù)器上的應(yīng)用服務(wù)，除了這些指定的服務(wù)之外的其它服務(wù)都無從訪問，從而減少了很多對企業(yè)VPN內(nèi)網(wǎng)系統(tǒng)進(jìn)行攻擊的途徑，達(dá)到了對企業(yè)VPN內(nèi)部網(wǎng)絡(luò)的最大保護(hù)；采用易聯(lián)網(wǎng)服務(wù)的企業(yè)用戶端到端終結(jié)IPSec隧道，即：端到端進(jìn)行IKE密鑰的協(xié)商、數(shù)字證書交換和AES/3DES數(shù)據(jù)加解密，通訊過程中不需要將其IPSec的安全隧道終結(jié)在任何中間傳輸節(jié)點(diǎn)上，有效地避免了敏感的信息在傳輸過程中出現(xiàn)泄密，為企業(yè)用戶提供了足夠的安全信心保證。相比較而言，傳統(tǒng)企業(yè)自行建設(shè)的VPN網(wǎng)關(guān)產(chǎn)品在實(shí)現(xiàn)用戶VPN網(wǎng)絡(luò)需求時(shí)具有以下不足：傳統(tǒng)的VPN組網(wǎng)方式僅僅提供了用戶數(shù)據(jù)在IP公網(wǎng)上傳輸?shù)陌踩?，企業(yè)關(guān)鍵數(shù)據(jù)在企業(yè)的內(nèi)部網(wǎng)往往是明文傳輸?shù)?，沒有安全保護(hù)；而易聯(lián)網(wǎng)服務(wù)不僅保證了用戶數(shù)據(jù)在IP公網(wǎng)上傳輸?shù)陌踩?，還同時(shí)保證了用戶數(shù)據(jù)在企業(yè)內(nèi)部網(wǎng)中傳輸?shù)陌踩浴Ｒ虼瞬捎靡茁?lián)網(wǎng)服務(wù)的VPN組網(wǎng)方案要企業(yè)自行建設(shè)VPN網(wǎng)關(guān)方式的VPN組網(wǎng)方案有著更高的安全性。傳統(tǒng)的VPN組網(wǎng)方式不支持透明穿透防火墻和NAT的訪問(例如：訪問位于企業(yè)私網(wǎng)中的服務(wù)器)，而且需要在防火墻上打開向內(nèi)訪問的端口，容易給企業(yè)內(nèi)網(wǎng)帶來網(wǎng)絡(luò)安全隱患；而易聯(lián)網(wǎng)服務(wù)可以透明地穿透企業(yè)的防火墻和NAT設(shè)備，也無須在防火墻上打開向內(nèi)訪問的端口，用戶的電腦終端、服務(wù)器和應(yīng)用服務(wù)端口都不需要暴露在公網(wǎng)