论文部分内容阅读
摘 要:主要介绍了目前两种主流VPN技术:SSL VPN与IPSc VPN, 从安全性、使用的复杂性以及可扩展性等几个方面对其进行了比较和分析,并归纳出这两种VPN技术各自适合的应用领域及发展趋势。
关键词:VPN;IPsec;SSL
中图分类号:TP393.08 文献标识码:A
IPSec VPN and SSL VPN Comparative Analysis
LI Chao
(Henan Province Light Industry School,Henan Zhengzhou 450001)
Key words: VPN;IPsec;SSL
随着Internet技术的发展,许多单位或部门建立了自已的Intranet。但由于受安全和资源有偿使用的限制,内部网上有许多的资源和权限只限在内部使用。越来越多的单位成员希望能在家中或其它公共场所也能享受到内部网上的权限和服务,虚拟专用网(VPN)正是目前解决这一问题的有效办法。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接作为专用数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,并保证数据的安全传输。IPSec VPN与SSL VPN是目前流行的两类Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同和各自擅长的应用取向。
1 IPSec 协议概述
IPSec协议工作在网络层,能提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
IPSec协议由安全协议(包括AH协议和ESP协议),密钥管理协议(如IKE)以及认证和加密算法组成。AH协议根据整个IP数据包(或上层协议数据单元)的内容产生一段让对方认证的数据,存放在IP包头中传输。它可以保证数据来自正确的发送者、保证数据的完整性等。ESP协议是对整个IP数据包(或一部分)进行加密,加密后的信息存放在原先的IP头部之后作为信息部分传输。除了加密以外,ESP还具有认证功能。密钥管理协议负责完成密钥的安全交换、安全关联的建立等工作,在整个IP层的安全结构中起到了重要的作用。
IPsec的工作原理类似于信息分组过滤防火墙,其安全服务是由通讯双方建立的安全关联SA来提供的。SA为通信双方提供安全协议、模式、算法和密钥等安全信息。每一个IPsec节点包含一个局部安全策略数据库SPD(Security Policy Database),IPsec VPN系统在处理输入/输出IP信息分组的时候必须参考SPD,并根据从SPD中提取的策略对IP信息分组进行不同的处理。当接收到一个IP信息分组时,这个信息分组过滤防火墙将其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,信息分组过滤防火墙就按照该规则制定的方法对接收到的IP信息分组进行处理。这里的处理工作只有两种:丢弃或转发。
IPSce提供了3种结构:
(1)主机到主机:客户机到服务器之间的整个连接都是加密的。
(2)主机到网关:整个连接除了网关和远端服务器之间的那段外都是加密的。
(3)网关到网关:两个网关之间的连接是加密的,但从客户到客户的网关之间的连接、服务器与服务器的网关的连接是未加密的。
无论是加密还是认证,IPScc都有两种工作模式:
(1)传输模式:IPSec主要对IP包的载荷进行封装保护。当数据包从传输层传递给网络层时,原IP头保持不变,在IP头与上层协议之间插入一个特殊的IPSec头。传输模式为上层协议(如TCPUDP和ICMP)提供端到端的安全保护,它所保护的数据包的通信终点是IPSec终点。
(2)隧道模式:IPSec对整个IP包进行封装保护,并增加一个新的外部IP头,同时在外部与内部IP头之间插入一个IPSec头,其特点是数据包最终目的地不是安全终点。所有原始的数据包通过隧道从IP网的一端传递到另一端,沿途的路由器只检查最外面的IP包头不检查内部原来的IP包头。通信终点由受保护的内部IP头指定,而IPSec终点则由外部IP头指定。如果IPSec终点为安全网关,则该网关会还原出内部IP包,再转发到最终的目的地。隧道模式通常用在至少一端是安全网关的时候。使用隧道模式后,网关后面的主机可以使用内部地址进行通信,而且不需要实现IPSec。
2 SSL 协议概述
套接层协议SSL运行于TCP/IP协议之上而在其他高层协议之下,是一种面向连接的通信安全协议,它为两个通信实体之间提供认证、数据的保密性和完整性服务。
SSL协议是由SSL记录协议、握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(MessageAuthentication Code)算法,用于生成在SSL记录中发送的加密密钥。SSL记录协议是为各种高层协议提供基本的安全服务,其工作机制为:应用程序消息被分割成可管理的数据块,并产生一个MAC信息,加密,插入新的文件头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证、解压缩、重组数据报后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。
作为应用层协议,SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三部分:认证、加密和完整性检验。保证通信进程安全的关键步骤是对通信双方进行认证,SSL握手协议负责这一进程的处理。
SSL协议在应用层通信之前就己完成加密算法、通信密钥的协商及服务器认证工作,此后应用层协议所传送的数据都会被加密,从而保证通信的私密性,因此SSL协议可保证在浏览器与网站服务器通信中的数据在传输过程中不被截取和破解。
3 IPsec VPN与SSL VPN技术比较
3.1应用范围
由于IPSec协议位于网络层,它保护通信双方传递的所有数据,而与上层的应用程序无关,即IPSec-VPN几乎适用于一切应用程序,并且在访问本地资源时,远程用户与本地局域网内的用户感觉完全一样。SSL协议则与应用层有密切的联系,它只能访问那些支持SSL或者Web浏览器的资源。因此,它的应用范围主要是电子邮件系统、文件共享和Web应用程序。不过考虑到Internet和Intranet通信量的90%都是基于标准Web方式和电子邮件方式的,SSL的应用范围也相当广泛。
3.2使用复杂性
IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且不同的终端操作系统可能需要不同的客户端软件。一旦用户的VPN策略有所改变,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过其内嵌的SSL安全加密协议,安全地访问网络中的信息。
3.3应用系统的攻击
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL VPN来联机,因为是直接开启应用系统,并没有在网络层上连接,黑客不易侦测出内部网络的应用系统,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。
3.4病毒入侵
一般企业在Interne联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别:采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑;采用SSL VPN联机,则感染的可能性会仅局限于这台主机,而且这个病毒必须是针对应用系统的类型,其他不同类型的病毒是不会感染到这台主机的。
3.5防火墙上的通讯端口
在TCP/IP网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。IPSec VPN要求必须在防火墙上开放相应的端口,否则远程电脑是无法与主机沟通的。在防火墙上每开启一个通讯端口,就多一个黑客攻击机会。SSL VPN就没有这方面的困扰,因为在远程主机与SSL VPN Gateway之间,采用SSL通讯端443来作为传输通道,这个通讯端口一般是作为Web Server对外的数据传输通道。因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求而来修改防火墙上的设定,从而减少管理者的困扰。
3.6可扩展性
IPsec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构。如果增添新的设备,往往要改变网络结构,那么IPsec VPN就要重新部署,因此造成IPsec VPN扩展性比较差。而SSL VPN一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。在用户的扩展方面,IPsec VPN不如SSL VPN, SSL VPN的优势在于它与网络层无关,故而添加用户或改变用户信息比较方便,VPN管理员只要许可新用户的用户名和密码(或者其他认证机制)并提供VPN网关的Web地址就可以了。
IPsec VPN是基于网络层的,所以具有与应用程序无关的特性。利用这一特性,企业或园区网络可随意添加和修改应用程序,而无需改动VPN本身。SSL VPN是服务于应用层的,所以改变应用程序就要改变VPN配置,而且SSL VPN还不能提供对所有应用程序的支持,因此应用程序的扩展方面SSL V PN不如 IPsec VPN。
4 结束语
SSL VPN作为一种新兴的VPN技术,与传统的IPSecVPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client- Site) ,而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。另一方面,IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项,而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。
从目前情况看,IPSec仍占据最大的市场份额,但一些用户已经开始同时部署两种解决方案,比如远程访问办公通过SSL VPN,而站点之间的连接通过IPSec。在未来几年内,两种解决方案还将共存,但是SSL VPN凭借其简单易用、部署及维护成本低会受到企业用户的青睐,将会有更大的发展空间。
参考文献:
[1]张震.VPN技术分析及安全模型的应用[J].电子技术,2002,(1):34-36.
[2]包丽红,李立亚.基于ssL的VPN技术研究[J].网络交全技术与实现,2004,2(5):38-40.
[3]贾会娜,裘正定.SSL VPN技术优势及前景[J].计算机安全,2005,(8):32-34.
[4]徐家臻,陈莘萌.基于IPScc与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,(4):26-27.
关键词:VPN;IPsec;SSL
中图分类号:TP393.08 文献标识码:A
IPSec VPN and SSL VPN Comparative Analysis
LI Chao
(Henan Province Light Industry School,Henan Zhengzhou 450001)
Key words: VPN;IPsec;SSL
随着Internet技术的发展,许多单位或部门建立了自已的Intranet。但由于受安全和资源有偿使用的限制,内部网上有许多的资源和权限只限在内部使用。越来越多的单位成员希望能在家中或其它公共场所也能享受到内部网上的权限和服务,虚拟专用网(VPN)正是目前解决这一问题的有效办法。
虚拟专用网(VPN)被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接作为专用数据传输通道,将远程的分支办公室、商业伙伴、移动办公人员等连接起来,并保证数据的安全传输。IPSec VPN与SSL VPN是目前流行的两类Internet远程安全接入技术,它们具有类似功能特性,但也存在很大不同和各自擅长的应用取向。
1 IPSec 协议概述
IPSec协议工作在网络层,能提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
IPSec协议由安全协议(包括AH协议和ESP协议),密钥管理协议(如IKE)以及认证和加密算法组成。AH协议根据整个IP数据包(或上层协议数据单元)的内容产生一段让对方认证的数据,存放在IP包头中传输。它可以保证数据来自正确的发送者、保证数据的完整性等。ESP协议是对整个IP数据包(或一部分)进行加密,加密后的信息存放在原先的IP头部之后作为信息部分传输。除了加密以外,ESP还具有认证功能。密钥管理协议负责完成密钥的安全交换、安全关联的建立等工作,在整个IP层的安全结构中起到了重要的作用。
IPsec的工作原理类似于信息分组过滤防火墙,其安全服务是由通讯双方建立的安全关联SA来提供的。SA为通信双方提供安全协议、模式、算法和密钥等安全信息。每一个IPsec节点包含一个局部安全策略数据库SPD(Security Policy Database),IPsec VPN系统在处理输入/输出IP信息分组的时候必须参考SPD,并根据从SPD中提取的策略对IP信息分组进行不同的处理。当接收到一个IP信息分组时,这个信息分组过滤防火墙将其头部在一个规则表中进行匹配。当找到一个相匹配的规则时,信息分组过滤防火墙就按照该规则制定的方法对接收到的IP信息分组进行处理。这里的处理工作只有两种:丢弃或转发。
IPSce提供了3种结构:
(1)主机到主机:客户机到服务器之间的整个连接都是加密的。
(2)主机到网关:整个连接除了网关和远端服务器之间的那段外都是加密的。
(3)网关到网关:两个网关之间的连接是加密的,但从客户到客户的网关之间的连接、服务器与服务器的网关的连接是未加密的。
无论是加密还是认证,IPScc都有两种工作模式:
(1)传输模式:IPSec主要对IP包的载荷进行封装保护。当数据包从传输层传递给网络层时,原IP头保持不变,在IP头与上层协议之间插入一个特殊的IPSec头。传输模式为上层协议(如TCPUDP和ICMP)提供端到端的安全保护,它所保护的数据包的通信终点是IPSec终点。
(2)隧道模式:IPSec对整个IP包进行封装保护,并增加一个新的外部IP头,同时在外部与内部IP头之间插入一个IPSec头,其特点是数据包最终目的地不是安全终点。所有原始的数据包通过隧道从IP网的一端传递到另一端,沿途的路由器只检查最外面的IP包头不检查内部原来的IP包头。通信终点由受保护的内部IP头指定,而IPSec终点则由外部IP头指定。如果IPSec终点为安全网关,则该网关会还原出内部IP包,再转发到最终的目的地。隧道模式通常用在至少一端是安全网关的时候。使用隧道模式后,网关后面的主机可以使用内部地址进行通信,而且不需要实现IPSec。
2 SSL 协议概述
套接层协议SSL运行于TCP/IP协议之上而在其他高层协议之下,是一种面向连接的通信安全协议,它为两个通信实体之间提供认证、数据的保密性和完整性服务。
SSL协议是由SSL记录协议、握手协议、密钥更改协议和告警协议组成,它们共同为应用访问连接提供认证、加密和防篡改功能。SSL握手协议主要是用于服务器和客户之间的相互认证,协商加密算法和MAC(MessageAuthentication Code)算法,用于生成在SSL记录中发送的加密密钥。SSL记录协议是为各种高层协议提供基本的安全服务,其工作机制为:应用程序消息被分割成可管理的数据块,并产生一个MAC信息,加密,插入新的文件头,最后在TCP中加以传输;接收端将收到的数据解密,做身份验证、解压缩、重组数据报后交给高层应用进行处理。SSL密钥更改协议是由一条消息组成,其作用是把未定状态拷贝为当前状态,更新用于当前连接的密钥组。SSL警告协议主要是用于为对等实体传递与SSL相关的告警信息,包括警告、严重和重大等三类不同级别的告警信息。
作为应用层协议,SSL使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性。SSL安全功能组件包括三部分:认证、加密和完整性检验。保证通信进程安全的关键步骤是对通信双方进行认证,SSL握手协议负责这一进程的处理。
SSL协议在应用层通信之前就己完成加密算法、通信密钥的协商及服务器认证工作,此后应用层协议所传送的数据都会被加密,从而保证通信的私密性,因此SSL协议可保证在浏览器与网站服务器通信中的数据在传输过程中不被截取和破解。
3 IPsec VPN与SSL VPN技术比较
3.1应用范围
由于IPSec协议位于网络层,它保护通信双方传递的所有数据,而与上层的应用程序无关,即IPSec-VPN几乎适用于一切应用程序,并且在访问本地资源时,远程用户与本地局域网内的用户感觉完全一样。SSL协议则与应用层有密切的联系,它只能访问那些支持SSL或者Web浏览器的资源。因此,它的应用范围主要是电子邮件系统、文件共享和Web应用程序。不过考虑到Internet和Intranet通信量的90%都是基于标准Web方式和电子邮件方式的,SSL的应用范围也相当广泛。
3.2使用复杂性
IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且不同的终端操作系统可能需要不同的客户端软件。一旦用户的VPN策略有所改变,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过其内嵌的SSL安全加密协议,安全地访问网络中的信息。
3.3应用系统的攻击
远程用户以IPSec VPN的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL VPN来联机,因为是直接开启应用系统,并没有在网络层上连接,黑客不易侦测出内部网络的应用系统,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。
3.4病毒入侵
一般企业在Interne联机入口,都是采取适当的防毒侦测措施。不论是IPSec VPN或SSL VPN联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别:采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑;采用SSL VPN联机,则感染的可能性会仅局限于这台主机,而且这个病毒必须是针对应用系统的类型,其他不同类型的病毒是不会感染到这台主机的。
3.5防火墙上的通讯端口
在TCP/IP网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。IPSec VPN要求必须在防火墙上开放相应的端口,否则远程电脑是无法与主机沟通的。在防火墙上每开启一个通讯端口,就多一个黑客攻击机会。SSL VPN就没有这方面的困扰,因为在远程主机与SSL VPN Gateway之间,采用SSL通讯端443来作为传输通道,这个通讯端口一般是作为Web Server对外的数据传输通道。因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求而来修改防火墙上的设定,从而减少管理者的困扰。
3.6可扩展性
IPsec VPN在部署时一般放置在网络网关处,因而要考虑网络的拓扑结构。如果增添新的设备,往往要改变网络结构,那么IPsec VPN就要重新部署,因此造成IPsec VPN扩展性比较差。而SSL VPN一般部署在内网中任一节点处即可,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。在用户的扩展方面,IPsec VPN不如SSL VPN, SSL VPN的优势在于它与网络层无关,故而添加用户或改变用户信息比较方便,VPN管理员只要许可新用户的用户名和密码(或者其他认证机制)并提供VPN网关的Web地址就可以了。
IPsec VPN是基于网络层的,所以具有与应用程序无关的特性。利用这一特性,企业或园区网络可随意添加和修改应用程序,而无需改动VPN本身。SSL VPN是服务于应用层的,所以改变应用程序就要改变VPN配置,而且SSL VPN还不能提供对所有应用程序的支持,因此应用程序的扩展方面SSL V PN不如 IPsec VPN。
4 结束语
SSL VPN作为一种新兴的VPN技术,与传统的IPSecVPN技术各具特色,各有千秋。SSL VPN比较适合用于移动用户的远程接入(Client- Site) ,而IPSec VPN则在网对网(Site-Site)的VPN连接中具备先天优势。另一方面,IPSec VPN提供完整的网络层连接功能,因而是实现多专用网安全连接的最佳选项,而SSL VPN的“零客户端”架构特别适合于远程用户连接,用户可通过任何Web浏览器访问企业网Web应用。
从目前情况看,IPSec仍占据最大的市场份额,但一些用户已经开始同时部署两种解决方案,比如远程访问办公通过SSL VPN,而站点之间的连接通过IPSec。在未来几年内,两种解决方案还将共存,但是SSL VPN凭借其简单易用、部署及维护成本低会受到企业用户的青睐,将会有更大的发展空间。
参考文献:
[1]张震.VPN技术分析及安全模型的应用[J].电子技术,2002,(1):34-36.
[2]包丽红,李立亚.基于ssL的VPN技术研究[J].网络交全技术与实现,2004,2(5):38-40.
[3]贾会娜,裘正定.SSL VPN技术优势及前景[J].计算机安全,2005,(8):32-34.
[4]徐家臻,陈莘萌.基于IPScc与基于SSL的VPN的比较与分析[J].计算机工程与设计,2004,(4):26-27.