1. 介紹
　　
　　　　隨著IP/MPLS VPN的興起，用戶和運(yùn)營(yíng)商都將目光轉(zhuǎn)向了這種極具競(jìng)爭(zhēng)力和市場(chǎng)前景的VPN。對(duì)用戶而言，IP/MPLS VPN可以非常方面地替代租用線和傳統(tǒng)的ATM/幀中繼VPN來(lái)連接計(jì)算機(jī)或LAN，也可以提供租用線的備份、冗余和峰值負(fù)載分擔(dān)等，費(fèi)用節(jié)省明顯。而就服務(wù)提供商而言，IP/MPLS VPN是其未來(lái)數(shù)年內(nèi)擴(kuò)大業(yè)務(wù)范圍，保持競(jìng)爭(zhēng)力和客戶忠誠(chéng)度，降低成本，增加利潤(rùn)的重要手段。
　　
　　　　安全性保證是IP/MPLS VPN（以下統(tǒng)稱VPN）能否取代租用線和傳統(tǒng)的ATM/幀中繼 VPN的一個(gè)關(guān)鍵因素（另外一個(gè)是QoS的保證）。盡管2000年2月Yankee group發(fā)表了研究報(bào)告，指出傳統(tǒng)的ATM/幀中繼VPN存在嚴(yán)重的安全隱患，但ATM/幀中繼VPN在安全性方面仍然享有很高的聲譽(yù)。與人們對(duì)ATM/幀中繼 VPN安全性非常信任的情況相反，盡管IP/MPLS VPN技術(shù)聲稱提供了安全性保證，但由于人們普遍認(rèn)為IP網(wǎng)本身是不安全的，因此對(duì)基于IP/MPLS的VPN的安全性仍然存在很大疑慮。
　　
　　　　IP/MPLS的安全性究竟如何，比ATM/幀中繼 VPN安全性要高還是不如？要回答這個(gè)問(wèn)題并不容易，因?yàn)榘踩�性是一個(gè)復(fù)雜的系統(tǒng)問(wèn)題，任何一個(gè)網(wǎng)絡(luò)系統(tǒng)單靠VPN提供的安全通信是不可能保證安全的。本文不討論IP/MPLS與ATM/幀中繼 VPN面臨的相同的安全問(wèn)題，如實(shí)現(xiàn)上（比如后門(mén)）和實(shí)施時(shí)（配置錯(cuò)誤）的安全問(wèn)題，而是從不同的VPN隧道技術(shù)和不同的組網(wǎng)方式的角度來(lái)探討其安全性。
　　
　　2. VPN安全性實(shí)施方式
　　
　　　　根據(jù)用戶是否信任運(yùn)營(yíng)商以及用戶數(shù)據(jù)的安全敏感程度，用戶可以選擇由運(yùn)營(yíng)商提供安全性保障，也可以選擇由用戶自己實(shí)施安全性保障。IP/MPLS VPN同時(shí)支持這兩種實(shí)施方式。
　　
　　2.1 用戶不信任運(yùn)營(yíng)商
　　
　　　　當(dāng)用戶不相信運(yùn)營(yíng)商提供的任何形式的安全服務(wù)時(shí)（比如用戶的數(shù)據(jù)特別敏感），用戶應(yīng)該使用防火墻以及具有安全隧道功能的用戶駐地設(shè)備(CPE)來(lái)實(shí)現(xiàn)IP/MPLS VPN。在這種情況下，用戶自己負(fù)責(zé)所傳遞數(shù)據(jù)的安全性，VPN數(shù)據(jù)的安全性取決于用戶防火墻以及所使用的隧道協(xié)議的安全性（后文對(duì)不同隧道協(xié)議的安全性分別進(jìn)行了討論）等具體實(shí)施時(shí)的多方面因素。
　　　　與在傳統(tǒng)的ATM/幀中繼VPN的中運(yùn)營(yíng)商只提供傳遞ATM信元或幀中繼幀的傳輸通道相似，運(yùn)營(yíng)商這時(shí)只負(fù)責(zé)提供傳遞IP/MPLS包的傳輸通道，不負(fù)責(zé)安全保證，隧道數(shù)據(jù)的安全性由用戶自己負(fù)責(zé)。
　　
　　2.2 用戶信任運(yùn)營(yíng)商
　　
　　　　傳統(tǒng)的基于幀中繼和ATM的VPN都假定運(yùn)營(yíng)商是值得信賴的，在IP/MPLS VPN的實(shí)施中，也可以這樣假設(shè)。
　　
　　　　在這種情況下，防火墻功能的提供以及包傳輸?shù)陌踩�性保證都是由運(yùn)營(yíng)商提提供的。如果是基于網(wǎng)絡(luò)的VPN，運(yùn)營(yíng)商負(fù)責(zé)運(yùn)營(yíng)商兩個(gè)邊緣設(shè)備(PE)之間的安全性，不包括用戶接入鏈路的安全性（這段鏈路一般是用戶專(zhuān)用的，通常認(rèn)為是安全的）；如果是基于用戶設(shè)備(CE)的VPN，則運(yùn)營(yíng)商負(fù)責(zé)保證CE設(shè)備到PE設(shè)備之間的安全性，包括了用戶接入鏈路的安全性，這是一種基于CE的管理型VPN。
　　
　　　　在不同場(chǎng)合下運(yùn)營(yíng)商可以根據(jù)需要采用不同的安全等級(jí)。如果運(yùn)營(yíng)商認(rèn)為PE到PE或CE到CE的路徑本來(lái)就是安全的，因?yàn)檫\(yùn)營(yíng)商擁有整個(gè)骨干網(wǎng)基礎(chǔ)設(shè)施（VPN數(shù)據(jù)傳遞只在一個(gè)運(yùn)營(yíng)商的IP骨干網(wǎng)中傳遞），或者把部分骨干網(wǎng)外包給另一個(gè)值得信賴的運(yùn)營(yíng)商（比如可能是SONET/SDH電路，波長(zhǎng)或光纖），那么就不大需要太高的安全機(jī)制（如IPSec）來(lái)提供骨干網(wǎng)節(jié)點(diǎn)間的隧道安全服務(wù)。如果VPN數(shù)據(jù)的傳遞橫跨多個(gè)運(yùn)營(yíng)商的骨干網(wǎng)，那么使用高級(jí)別的安全機(jī)制就很有必要。
　　
　　3. IPSec的安全性
　　
　　　　IPSec是專(zhuān)門(mén)設(shè)計(jì)為IP提供安全服務(wù)的一種協(xié)議（其實(shí)是一個(gè)協(xié)議族）。IPSec可有效保護(hù)IP數(shù)據(jù)報(bào)的安全，所采取的具體保護(hù)形式包括：數(shù)據(jù)源驗(yàn)證；無(wú)連接數(shù)據(jù)的完整性驗(yàn)證；數(shù)據(jù)內(nèi)容的機(jī)密性保護(hù)；抗重播保護(hù)等。
　　
　　　　使用IPSec協(xié)議中的認(rèn)證頭(AH)協(xié)議和封裝安全載荷(ESP)協(xié)議，可以對(duì)IP數(shù)據(jù)報(bào)或上層協(xié)議（如UDP和TCP）進(jìn)行保護(hù)，這種保護(hù)由IPSec兩種不同的工作模式（分別對(duì)應(yīng)隧道模式和傳輸模式）來(lái)提供。其中AH可以驗(yàn)證數(shù)據(jù)的起源、保障數(shù)據(jù)的完整性以及防止相同數(shù)據(jù)包的不斷重播。ESP除具有AH的所有能力之外，還可選擇保障數(shù)據(jù)的機(jī)密性，以及為數(shù)據(jù)流提供有限的機(jī)密性保障。
　　
　　　　AH和ESP協(xié)議根據(jù)安全聯(lián)盟(SA)規(guī)定的參數(shù)為IP數(shù)據(jù)包提供安全服務(wù)。SA可以手工建立，也可以自動(dòng)建立。IKE就是IPSec規(guī)定的一種用來(lái)自動(dòng)管理SA的協(xié)議。IKE的實(shí)現(xiàn)可支持協(xié)商VPN，也可支持IP地址事先并不知道的遠(yuǎn)程接入。IKE必須支持協(xié)商方不是SA協(xié)商發(fā)生的端點(diǎn)的客戶協(xié)商模式，這樣可以隱藏端方身份。
　　
　　　　雖然到目前為止，全球安全專(zhuān)家普遍認(rèn)為IPSec是最安全的IP協(xié)議，但也并非全是贊美之詞，最主要的批評(píng)是它的復(fù)雜性，因?yàn)橄到y(tǒng)復(fù)雜性是系統(tǒng)安全的主要威脅之一。IPSec有兩個(gè)運(yùn)行模式：傳輸模式和隧道模式，有兩個(gè)安全協(xié)議：AH和ESP。AH提供認(rèn)證，ESP提供認(rèn)證和/或加密。這導(dǎo)致了額外的復(fù)雜性：打算認(rèn)證一個(gè)包的兩臺(tái)機(jī)器之間的通信總共有四種模式可供選擇：傳輸/AH，隧道/AH，空加密的傳輸/ESP以及空加密的隧道/ESP，而這些選擇之間的功能和性能差別都很�。ㄒ虼藳](méi)有太大實(shí)際意義）。產(chǎn)生這種問(wèn)題的原因是IPSec是多個(gè)國(guó)家的安全專(zhuān)家經(jīng)過(guò)多年的研究和討論后折衷的產(chǎn)物。因此有安全專(zhuān)家已經(jīng)提出安全協(xié)議的設(shè)計(jì)原則應(yīng)是多家競(jìng)爭(zhēng)，擇優(yōu)使用，正如AES（高級(jí)加密標(biāo)準(zhǔn)）那樣。
　　
　　　　ATM/幀中繼 VPN的“專(zhuān)用”性體現(xiàn)在虛電路連接的是一組閉合的用戶或社區(qū)，安全性保證主要來(lái)自它的“閉合用戶群(CUG)”的特性，假設(shè)運(yùn)營(yíng)商不會(huì)（惡意）錯(cuò)誤配置而導(dǎo)致數(shù)據(jù)傳遞錯(cuò)誤，不會(huì)監(jiān)聽(tīng)用戶的流量，不會(huì)不經(jīng)過(guò)授權(quán)就進(jìn)入用戶網(wǎng)絡(luò)，不會(huì)被修改，不會(huì)被非授權(quán)方進(jìn)行流量分析等，根本不提供認(rèn)證和加密等安全服務(wù)（當(dāng)然如果用戶需要傳遞特別敏感的數(shù)據(jù)（如金融信息）等，通常需要采用用戶自己實(shí)施的鏈路加密等方法）。而對(duì)于IPSec VPN，連接的也是一組閉合的用戶或社區(qū)，但這時(shí)提供的安全服務(wù)還包括認(rèn)證和加密等。因此可以這樣認(rèn)為，IPSec比傳統(tǒng)的ATM/幀中繼 VPN更強(qiáng)的安全服務(wù)，是到目前為止最為安全的VPN技術(shù)。