软件VN的安全性

软件VPN的安全性本文主要论述基于业界公认的IPSec加密安全通讯协议之上开发的软件VPN的安全性，其它基于非加密通讯协议（如：L2TP、PPTP等）或一些企业自定义通讯协议（如：VNN、金万维天联VPN）的软件VPN等不在本文的讨论范围内。IPSec安全机制Internet网络无处不在，是一个非常理想的数据传输广域网络，但是传统的Internet网上的应用数据传输都是采用明文直接传输的，易于被恶意地监听和窃取，因此一直以来大家在使用Internet传输敏感信息时，都在当心其信息数据的安全性。在使用TCP/IP协议的Internet体系结构中，IP层是一个附加安全措施的很好场所，因为IP层处于整个协议体系的中间点，它既能捕获所有从高层来的报文，也能捕获所有从低层来的报文。从IP层的定义来看，在这一层附加安全措施是与低层协议无关的，可对高层协议和应用进程透明。许多Internet网络应用可以从IP层提供的安全服务中得益。正是基于这一考虑，Internet标准协议制定组织IETF已制定了一系列安全协议标准IPSec和IKMP密钥管理协议，用来提供IP层安全服务。目前已有多种产品支持IPSece安全协议。IPSec和一些密钥管理协议为组建安全的VPN提供了一条很好的途径。IPSec是一个能在Internet上保证通道安全的开放标准，IPSec生成一个标准平台，来开发安全网络和机器之间的安全数据隧道。通过IPsec的安全隧道，在数据包可以传送的网络中生成像电路那样的专用连接。利用IPsec来确保数据网络的安全，通过使用数字证书和自动认证设备，来相互验证发送信息双方的用户身份。对需要在很多设备之间安全连接的大型网络中确保数据安全，IPsec是一个理想的安全VPN解决方案。部署了IPsec的用户能确保其网络基础设施的安全，而不会影响各台计算机上的应用程序。此套协议是用作对网络基础设施的纯软件升级，这既允许实现安全性，又没有花什么钱对每台计算机进行改造。最重要的是，IPsec允许不同的网络设备、PC机和其他计算机系统之间实现互通。IPsec有两种模式——传输模式和隧道模式。传输模式只对IP分组应用IPsec协议，对IP报头不进行任何修改，它只能应用于主机对主机的IPsec虚拟专用网VPN中。隧道模式中IPsec将原有的IP分组封装成带有新的IP报头的IPsec分组，这样原有的IP分组就被有效地隐藏起来了。IPsec协议中有两点是我们所关心的：鉴定报头AH（AuthenticationHeader）和封装安全载荷ESP（EncapsulationSecurityPayload）。鉴定报头AH可与很多各不相同的安全认证算法一起工作。它要校验源地址和目的地址这些标明发送设备的字段是否在路由过程中被改变过，如果校验没通过，分组就会被抛弃。通过这种方式AH就为数据的完整性和原始性提供了鉴定，对IP报文提供鉴别信息和强大的完整性保护。如果鉴别算法以及密钥采用非对称密码体制如RSA，则还可提供无法否认的数字签名。AH通过对IP报文增加鉴别信息来提供完整性保护，此鉴别信息是通过计算整个IP报文，包括IP报头、其他报头和用户数据中的所有信息而得到的，AH鉴别信息通常总是出现在IP报头之后。封装安全载荷（ESP）包头提供数据载荷的完整性和IP数据的可靠性。数据载荷的完整性保证了用户数据没有被恶意网客破坏，可靠性保证使用密码技术的安全。对IPv4和IPv6，ESP包头都列在其它IP包头后面。ESP编码只有在不被任何IP包头扰乱的情况下才能正确发送包。ESP协议非常灵活，可以在多种加密算法下工作，可选择算法包括Triple－DES、AES、RC5、IDEA、CAST、BLOWFISH和RC4。ESP是通过对数据进行加密来提供数据的私密性和完整性保护的，从而避免数据在传输过程中的泄密和非法篡改。根据用户的安全需求，ESP机制可用于只对用户数据加密或对整个IP报文进行加密。IP层的安全机制需要密钥管理协议。有几种密钥管理系统可用于IPSec的安全机制AH和ESP中，包括人工密钥分配、自动密钥分配。IETF已经开发出Internet标准密钥管理协议（ISAKMP：InternetSecurityAssociationandKeyManagementProtocol），实现Internet网上安全的自动密钥分配。传统IPSecVPN的局限性吨易联保网服荐务篮是一冈种全燥新的族安全幕VP怨N解眯决方铸案，丽它有失别于让其任蹄何传蠢统的膛以酿IP设Se载c倡为基灶础的化安全拔VP侍N徐解决徒方案倾。在唤这里言，有链必要蚁把传典统的判IP禁Se途c追VP策N尤的实惩现方神式说韵明一驴下。永传统革的膨IP痕Se吐c威VP疼N漫的实纺现方欧式是酬指那任些采必用扫VP醉N雅（示IP稍Se判c谋）网猴关的筒实现钉方式抄，如舒下图吼所示帮：怎在这疏种实趣现方机式中锻，不罗同的续VP桥N罚网关准之间弱，或胳者是雕在个核人用西户与躺VP陈N泽网关拦之间玉建立淋一条毛IP窃Se碗c京隧道配，互饿相之罩间建渠立信绿任关饥系。陪不同考的私异有网祸络或涝者是待个人嫂用户永与私爹有网镜络之迎间通犬过该扔IP压Se钱c记隧道姿来交裤换数贝据，宾从而食实现碰VP逃N跳。六传统段的辽IP沿Se衬c柳VP戚N兆的解屑决方法案都上有一在些致验命的玉问题误和实桶施维颗护的近复杂朗性导肚致了式这些伐解决床方案砌难以亏被企选业用抓户所兆采用疤，而觉不可冠能在副In局te摘rn洪et赢中得美到大皂规模扰的应疤用。鼠这些篇致命宋的问煌题已泄经是设广为贫人知捧了：察IP棚Se晃c把密钥季的管奖理非捧常复玻杂：戒当网肠络的写规模植大到虎一定逐程度龙时，婚例如览当需齿要在碌数十夹个以菜上兆节点更间建背立虚赴拟专痛网时雨，人撑工管摇理密债钥几谢乎不西可能倡做到谱，就许更无解法完砖成上拆百个幸节点浅的虚桃拟专芹网组劝建嫂。披企业虏内网颂传输芹安全革问题碰：由折于相IP馋Se余c话安全油隧道捉已经艺在愤V辱PN党网关储设备常上被摄终结器了浑，拼应用染数据解在企积业内桃部网火中判只能巧采用省明文哨传输号，拉得不觉到安惠全保示护。谣网关双瓶颈隔问题止：由亮于企仔业的暮IP俊Se议c施网关丙需要贡来终神结所砍有的聪IP违Se丛c嫁隧道扇，需伙要大做量的溉CP装U连资源红来进羊行加陪减密寇的运将算，增这对哑网关卖的性熟能提煤出了例非常夜高的磨要求极,而溜高性现能的涌网关音又需够要大功规模迷的初恩试网乒络设股备投支资。娘用户郊界面萌的不窑友好朝：用捧户必渗须采蹦用抽替象的饰IP伞地址袜来访真问V愤PN么内部寒的主樱机资肠源，惧这样齿对很缝多不挤熟悉揭IP邪技术警的商递务人科员来赔说，腿使用旱传统汽的V放PN醒接入甜技术条显得税过于炕复杂丢，不愁易于咳使用额。辛易联棉网傅的捉功能惕特点浆易联艳网服井务采潜用D考NR劲（域届名路违由：堡Do饿ma被in测N荣am拉e歼Ro纺ut疑in圾g）轿专利雷技术旋将I做PS哑ec蚁安全纺加密衰和域鸟名服爱务（均DN尼S：江Do叉ma手in吊N完am床e妙Se特rv尊ic鹊e捞）标剩准结谅合在努一起酬，构较造出欧灵活饶的恰“浇虚拟揉专用顶网（基VP常N：碗Vi稳rt裤ua幸l耻Pr醋iv似at翼e马Ne骨tw慢or浇k）朽”遗，透慨明地葛覆盖谣于互眼联网垫基础闷之上捏，为贼企业旁用户抹提供铺VP腥N安哥全接佛入解倘决方还案。虑这一芒高安陡全的行、基趟于软臣件的认、协屿同工责作的系通讯师架构毕使企宜业可纽以便息捷地谊将其贱安全腐的接葡入手休段扩揪展到使全国某范围步甚至雹世界筒各地计，同源时提畏供用廉户身芳份验鸡证、压集中帮的安蛙全策耕略控观制、称无阻麻碍的倾全球精可移笔动性业和敏廉感信差息的赴端到详端安聋全交赤流。拢易联件网服太务谈是业姜界唯区一的沉一种学提供斤可运斜营列服务感的喂、全这软件呜的、淋全球撇范围披的I蠢PS希ec繁V锻PN买解决也方案田，基碧于现相有的厕互联急网悲，在纤不需个要改良动险企业虎现有很IP菠网络膝架构长的前翻提下理，晚就伴可以聋协助左企业橡建立港基于肿IP忘Se唯c怪的安摧全V纽PN请网络匠——谈虚拟读企业售网。谱易联尊网服围务辟使企占业用透户可筑以通少过I跪nt梯er眯ne芬t远田程安耀全地蜂连接齿到企纹业私神有网沟中，候它有梅着当塑今I泄PS钳ec仅V糠PN怖的全念部优驾点：斗安全处、节梁省开品支和睬便捷姐的远惨程登丙录。钉易联蔬网斗安全圈VP攀N解泽决方悠案与述传统段IP斗Se零c蜻VP膜N技滴术相阵比，躬还具啄有以陆下的和优势真：和优越现的安则全性悄能，摩采用宁IP悬Se梳c完焰全的嘴端到资端连独接：蝶所有姜需要德相互陵安全嫂通信偏的用鹿户都咏是端贪到端醒进行斯IK飞E密觉钥协卧商、魂数字姐证书挥交换治、A饱ES佛/3题DE捡S加呢解密达，不境需要景将其捎IP店Se亦c的卷安全仍隧道岗终结雄在任组何中鄙间节售点上谱，避炕免了越敏感白的信君息在弯传输纺过程馆中出茫现泄末密，枯为用津户提俗供了辞安全外通信暗的信花心保练证；侧灵活液的网得络覆惯盖，获穿透视多层徒NA拴T，值无须游改动危现有连的网鞋络配骗置，悦不仅牌可以女在中古国（界含香煮港）腥范围浇内使雾用，饶一样影可以旺在全戚球范止围内骄使用竟；刃以域群名为川基础休的技执术，辈易联纤网搂用户应采用泻域名矛进行刑相互洗的访光问，截无须蛇关心台其I垫P的躲规划验，而维且用俩户使零用V倡PN孤的界浪面更巷加友敏好简科便，无适合虚与商蛛务人兼员和恩管理柱人员碑使用锦；槽没有湾网关源瓶颈舒，完蝶全的再分布暴式计易算；浮易联穷网僚系统尚中I录PS周ec财数据沈的钥加解睡密运驱算和社密钥虾的计僵算都乘是分谷布在测每一悦个急易联售网添客户究端软推件终总端自古动完责成的题，是旨一种估分布迟式的湿计算石架构焦，避嗽免了祸其它脾VP许N网衣关式假架构施中容药易出就现的踪网关子瓶颈季问题残。堪简单肤的以脊策略兔为基晌础的笼中央酱管理泰，便愿于企懂业系等统管稿理员款维护施管理括，基悲于W拒eb蜘浏览料器页书面的川集中康配置央管理扇，维直护工窗作量底极少常。；下迅速晚的建忠立、所拆除庭、配级置，禽可以恼在几残分钟源内就期可以么为用欺户提乖供V崭PN辅服务采；肃成员即的完射全可谁移动葱性，玻成员姻可以旗采用呢任何航方便潮的I戚P接犬入方谱式连坚接到描In毯te肢rn暮et鲜网上亿，就耀可以贩加入终到其聚VP槐N域叶中；席完全花的互针操作脑性，旁对上剧层所饭有I戏P应急用完后全透叉明（哲如文巧件共鹅享、呀Em史ai旁l、某远程揪网络籍打印谋等）既，并剑支持最企业虑用户报日常抢协同熟工作航的所蒙需应挂用程虚序（睁如E女RP直、C尝RM握、C纵AD虑和N亿et活Me关ti券ng斑等）糟。闷不需漫要硬磨件设浩备的鹊增加选、修蒜改和夕配置够，完芳全的谣软件费安装前和配浸置，召而且亏安装绞和配僻置步重骤简绍单易着行，煮用户宴只需嫁要鲁下载惕易联覆网泄客户窃端软鲜件扒到电英脑上津，事双击曲开始摘安装库，然室后根熟据屏恶幕上祝的指萌示操弦作，轰点击犹“排确认权”橡、闻“却下一萌步祥”吸或励“洋继续艰安装肆”估按钮迅就可腔以了布(炎整个雀安装朱过程换仅需矛几分极钟时涨间铃)。勤易联往网产靠品台所实捷现的绩安全晓技术傅规范盛如下迅：士基于四标准奴的安樱全和消隧道培协议贩：瞧安全策协议拜架构蛙：I亩PS雕ec岭密钥绣的安痒全管冠理：钢PK衔I魄IK肌E（腿IS俗AK垦MP浇/O妈ak愧le钢y）金IP掌Se轨c加辆密算娱法（塘企业沫系统渐管理以员可东以自突行选思择使萍用任吸何一梯种加躁密算押法）喉：珍——接1钞68栏位3匪DE岁S、绑12骑8位抬AE银S症IP泡Se往c加泪密认血证算僵法：俩——贝H用MA赔C是wi场th社S川HA良-1扇（1敞60幅b蝴it壮）丰用户仿身份营验证株方式芽：浩——撇双莲因子币验证小：用宾户名医/密驾码和众用户县身份哨数字软证书柜支持淋第三促方认孝证服壤务器图：走——笛基熟于R泛AD下IU架S协侄议，确企业膏用户贝可以队自行典维护里基于削Ra往di扶us字协议草的认败证服绿务器绣，提驻供用耍户名抽和密诞码的笼二次干认证尤支持晃硬件挖US萍BK吵ey咬身份嚷证书牌和动冬态口挂令卡傍验证睡易联扇网服牲务鹅的安达全性剃企业狡租用味易联怀网服双务烂组建谦企业阴VP颈N网于络时兰，廉获得革一个括企业李客户投管理宾员酷帐号续。企针业客涌户管拴理员灶在接殿到通员知后敌就可宾以通节过W穴eb徐浏览换器远贿程安或全登狼录到破易联朋网服娘务背平台庸管理困服务沙器上总，自细行管饿理企仰业内组部用泻户帐斯号和弯密码存、V省PN赏用户推分组略和定诊制安老全策满略巨（如随：遇是否葛阻止再与互脚联网论的任桨何数彻据访拉问、幕用户抢能访惭问旺虚拟厌专网圈中的指那些箱服务题器资素源、羊属于歉哪一巾个组泡等等垮）和好安全港加密傅算法扶等。锁企业宫用户腰使用悠易联慕网宅服务醋加入艳公司蹦的V座PN怎网络过时步，首读先挪启动救易联卡网邪客户矩端软炕件软，捞易联本网湖客户巴端软尼件先篇到胖易联洁网宝中心递服务贵器上阻进行丘身份性验证莲（双仔因子蝇身份悟验证麻：用剃户名集/密贩码和伴用户鞭身份圣证书幅）和同相关嗓网络灭位置捡信息啦的登抖记，困并将糕企业投客户扣管理激员预剖设置捆的蜻安全咬策略爸从易易联滥网哈中心旷服务仅器上税下载坡到本援地的涝电脑强终端铜上，酒按照若企业确管理许员预答设置辅的掀安全签策略覆安全摘地接搂入昼企业靠VP屋N压网却中嫌（如楼果企逝业待管理垫员强闭调网因络的朱安全药性，锄可以傅采用钞加入互VP龄N网穗络轮同时私强制妄断开景与互加联网垫任何区数据疏连接抓的安占全策物略）扇。穴当企袜业用渐户加雅入到典企业告VP慢N内墨网巷中时件，安兄全策任略就敬会被对推送国给每文个成节员的皂易联逝网交客户长端软瞧件，菊易联治网匙客户母端软拼件战将安蛛全策然略加猪载到雹在其芹电脑载终端海的微闪软操层作系希统T文CP盯/I馒P珍堆栈俩网络袜内核夕中冈（类诸似软攻件防符火墙段技术沸）筛，由挨易联竟网仍客户隐端软超件检反测丑所有沸进出段用户鉴电脑夜终端撑的数馋据流句量导，只括有符英合安右全策垦略定咽义的归数据朱流量模（如田：企淘业V要PN栋内部骑特定总的应嫩用数或据访异问流搁量）架才可熟以正届确地门发送霜和接多收，嫂任何渗其它协非法享的数隙量流疮量（时如：共访问背互联遇网的设数量伏流量认、来菜自互关联网和的数冠据访延问请户求）混则被熊丢弃触。遗数据号流量普的检翁测是趟在馒每一衫个用硬户的恐电脑偶终端携上完违成，弯即蝇在网赵络的排最匪边缘愿完成顺数据烈流量赶的检速测忙。绝采用赛这种池方法贱就可善以将杜流量垄检测必处理昌工作峡量分次散和碑最小谈化，蚕就不锣在需厅要额课外的境网络隐设备农来对总每一窜个数佩据包捕执行棉安全扑策略暂的检浓查，淘因此邮避免阳了硬专用袖网络惯设备底在物勉理网醒络层晒进行苹包过误滤处揭理困时容检易出桃现的兄性能略瓶颈脉问题哄。题即使止用户抢加入指企业也VP敲N内吧网逼中，嚼易联闹网赏客户纸端软谦件还喷可以久通过锻安全皇策略剃来控担制终天端用绪户只歉能访腔问绞企业型VP花N内筝网求中祖指定老的服此务器混和指蛮定的发应用录服务串端口服（如帮：数缩据库搞服务摆上的撒数据青访问寒端口绪）鸟，这眠样醒用户征只能热通过揉授权百的服徐务端级口访圾问服的务器冶上的钳应用锣服务稼，除确了这它些指减定的纺服务坚之外姨的其泥它服拴务都堤无从胁访问泉，从饮而减朗少了熊很多芹对稠企业奉VP写N伞内网坦系统宇进行啊攻击卧的途床径，经达到命了对即企业辰VP绑N军内部症网络腰的最圈大保铃护；终采用剂易联把网填服务冤的企仰业用卵户端件到端免终结前IP吼Se僚c隧楚道，旋即：择端到最端进谎行I勉KE恩密钥享的协话商、蚊数字倒证书贫交换顿和A烟ES是/3病DE碍S数廉据加登解密恒，通项讯过羞程中惯不需燃要将雅其I奇PS蹦ec运的安矮全隧避道终隐结在地任何粗中间樱传输弯节点肚上，途有效还地砌避免端了敏怕感的浓信息焰在传灯输过征程中己出现阶泄密宾，为使企业乓用户当提供巨了足涉够的蹦安全嗓信心质保证川。义相比浩较而爆言，翅传统哈企业贿自行卸建设艳的V乒PN逃网关味产品国在实感现用跌户V穗PN使网络振需求叹时具跨有以犯下不池足：预传统套的V位PN耳组网鹿方式辅仅仅踪提供出了用巷户数笛据在敢IP还公网悟上传死输的崖安全就性，悼企业界关键馒数据蚁在企暑业的宿内部恭网往司往是胜明文迟传输昏的，寨没有惠安全龙保护纽；捆而炉易联队网服嗓务农不仅范保证繁了用灿户数尽据在秩IP愁公网缸上传徒输的袖安全趟性，替还翅同时校