IPsec VPN探路中国标准 护航信息安全

　　国家信息安全面临挑战

　　随着我国信息化建设的深入，网络攻击、网络病毒等恶意网络行为愈演愈烈。国家计算机网络安全应急技术处理协调中心发布的报告显示，仅2007年上半年，就发现8361个境外控制服务器对我国大陆地区的主机进行控制，频繁的网络攻击与入侵使我国的信息安全面临极大的考验。不久之前，台湾间谍李芳荣窃取国家机密事件就揭示了国家信息安全所面临的严峻挑战。

　　造成这种被动局面的原因有二：一是政策层面，在过去“用市场换技术”的年代里，国家对国外IT企业进入中国市场并未设立太多门槛，政策十分宽松，这就导致目前国际上几乎主流的信息安全企业几乎全部进入中国，很多关键部门的安全产品都用的是国外产品。但是需要指出的是，与其他IT产业不同，信息安全产业为关系国家安全的核心战略资源，这种不加限制的“放开”显然存在着严重的安全隐患。

　　另一方面是产品技术层面，和国外同行相比，国内信息安全厂商起步较晚，经过十年多的发展，网御神州、天融信、绿盟等厂商虽然已经成长为中国信息产业的中坚力量，但是技术实力以及整体规模还是存在差距。尽管现在有些部门已经采取限制国外产品的做法，但是这种做法的前提是建立在国内企业的产品技术必须过关，比如金融行业，大量的信息安全产品来自国外企业，这在发达国家来讲是根本难以想象的。所以对于民族信息安全企业而言，面临的不光是商业竞争，更重要的是要肩负起保卫国家信息安全的社会责任，唯一的出路就是苦练内功，建立自主知识产权并加快技术创新，在技术和产品层面上至少要和国外厂商相比不落下风，这样才能让国内用户对民族信息安全厂商充满信心。

　　国家标准推行不走弯路

　　由此可见，基于信息安全产业的特殊性以及敏感性，需要国货自强，而华为、网御神州等厂商也确实在加强技术创新研发方面做出了不小投入与努力，在某些局部以及细分领域已经赶上甚至超过了国际品牌。近日，由国家密码管理局牵头，联合国内领先的VPN厂商网御神州、华为等制定的IPSecVPN技术标准出台，用于指导IPSecVPN产品的研制，检测，使用和管理。其中相当部分重要协议的修改工作由网御神州、华为完成，这不仅是对国产厂商技术实力的肯定，也从一个侧面表明：以网御神州为代表的国产厂商正在逐步适应IT市场的竞争节奏，致力于加强行业话语权来制衡国外竞争对手，消除发达国家技术封锁与技术歧视，以“标准赢得市场”的道路就此展开。

　　国家密码管理局在IPSecVPN标准确立过程中的思路是“先产业化后标准化”，即在国内产品获得相当市场认可以及占有率的基础之上，根据已实现广泛推行的事实标准进行相关标准的确立就水到渠成了。

　　国家信息安全立足国内

　　在整个标准的推行落地过程中，来自国家密码管理局的有效引导以及支持起到了关键作用，这也反映出政府立场，那就是在涉及国家安全层面的问题上必须立足国内，因为这以不单单是由谁来掌握话语权，或者说谁来制定游戏规则，而是符合国家利益、保护国家信息安全的一种必然选择。原因很简单，信息战已经被公认为是未来战争主要的作战方式，谁控制了信息安全的核心技术，谁就掌握了未来信息战的制高点。这个道理就如同保卫国家必须依靠自己的军队而非雇佣军一样，即便在号称高度自由的美国，也会明文规定保卫国家信息安全需要依靠自身力量。

　　有国家密码管理局牵头实施的IPSecVPN技术标准意味着，企事业单位如要和政府部门实现互联互通，就必须支持最新制定的IPSecVPN标准，虽然企业网之间的通信不受影响，但是考虑到更大范围内的网络融合，企业也会更多的倾向于支持IPSecVPN标准的信息安全产品，这无疑为网御神州等国内厂商增加了更多的市场机会，标准化指导市场化的效应也将体现，而这也从客观上为国外产品进入这一领域垒高了门槛。此外，由国家主导标准制定的另一个好处是，由于技术上不用受制于国外厂商，因此便于国内产品较快的通过资质鉴定以及产品测试以迅速实现商用。

　　背景资料补充：

　　什么是IPSecVPN？

　　IPSec是为IPv4和IPv6数据报文提供高质量的、可互操作的、基于密码学安全性的协议。IPSec通过使用认证头（AH）和封装安全载荷（ESP）两种安全协议以及密钥交换协议来实现这些目标。

　　AH协议提供数据源鉴别、数据完整性以及抗重放服务。ESP协议提供数据保密性、数据源鉴别。数据完整性以及抗重放服务。对于AH和ESR，都有传输和隧道两种封装模式。密钥交换协议用于协商AH和ESP协议所使用的密码算法和密钥。

　　IPSec允许系统或网络的用户和管理员控制安全服务提供的服务范围。例如，一个组织的安全策略可能规定来自特定子网的数据流应该使用AH和ESR保护，并使用SM1分组密码算法加密。另一方面，策略可能规定来自另一个站点的数据流应该只用ESP保护，并使用SM1分组密码算法加密。通过使用安全联盟（SA），IPSec能够区分不同的数据流，并提供相应的安全服务。

　　信息安全新保障——国家IPSecVPN规范

　　其实，早在1985年，美国国家保密局（NSA）就已经意识到旧有密码系统的安全隐患，并开始着手制定新的商用数据加密标准。新的加密标准于1990年开始试用，1993年正式使用，主要用于通信交换系统中电话、传真和计算机通信信息的安全保护。新的数据加密标准完全改变了过去的政策，密码算法不再公开，而且对用户提供加密芯片和硬件设备。由于密码算法不公开，被破解的可能性极小。

　　加密算法作为安全保护的关键技术，直接影响到国家的信息安全。因此，国内重要部门都被禁止使用国外算法。

　　为应对这种情况，我国的密码专家设计出一系列安全性和实用性更高，性能能够满足要求的密码算法：对称加密算法SCB2、HASH算法SCH、非对称ECC加密算法SEC等。这些算法不仅可以广泛应用于VPN、安全文件传输、安全电子邮件发送；安全公文传输、安全SSL网站访问；数字电视、电子支付、文件保险柜、数据库加密存储等领域，尤其重要的是，突破了西方国家为我们设置的技术壁垒，为构建我国自己的信息安全环境提供了强有力的支持。

　　不仅如此，国家密码管理局还在深入研究IPSecVPN技术规范的基础上，联合国内领先的VPN厂商，共同制定了国家IPSecVPN规范。在原有标准的基础上，该规范强化了密钥交换的安全性，定义了新的密钥交换方式；由于采用了受PKI（公钥基础设施）数字证书和非对称密钥算法加密保护的密钥交换方式，规范可提供抗中间人攻击的能力，可解决原有DH密钥交换方式的安全漏洞；并且，规范采用国内的密码算法SCB2用于数据加解密，采用SCH算法用于对数据的认证，保证了数据的安全可靠传输。

　　IPSecVPN中的安全技术主要包括：加密、认证及密钥交换与管理。

　　——加密技术

　　加密技术提供数据的机密性，将需要保护的明文通过加密以密文的形式传输。根据密钥类型不同，现代密码技术可以分为两类：对称加密算法和非对称加密算法（公钥加密算法）。对称密钥系统是使用相同的密钥对数据进行加密和解密。非对称密钥系统使用一个密钥加密，使用另一个密钥解密，而且从其中一个很难推断出另一个。

　　由于非对称加密算法的运行速度比对称加密算法慢很多，在需要大量的数据加解密时，使用对称加密算法，能获得更高的加解密速度。目前广泛应用的对称加密算法包括：数据加密标准DES、3DES（Triple

　　DES）等。

　　而非对称加密算法可用于身份认证、数字签名和密钥交换等。

　　——认证技术

　　认证技术用于防止数据的伪造和篡改，它采用一种被称为“摘要”的技术。该技术主要采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，两个不同的报文具有相同的摘要几乎不可能。该特性使得摘要技术在VPN中有两个用途：数据完整性验证及用户认证。

　　目前广泛应用的HASH算法包括：MD5、SHA-1等。MD5、SHA-1是当前国际通行的密码标准，MD5由国际著名密码学家、图灵奖获得者兼公钥加密算法RSA的创始人Rivest设计，而SHA-1由美国专门制定密码算法的标准机构——美国国家标准技术研究院与美国国家安全局共同设计。这两大算法是目前国际电子签名及许多其他密码应用领域的关键技术，广泛应用于金融、证券等电子商务领域。其中，SHA-1早在1994年便为美国政府所采纳，是目前美国政府广泛应用的计算机密码系统。

　　——密钥交换和管理

　　VPN中密钥的分发与管理非常重要。密钥的分发可以通过手工配置的方式，也可以采用密钥交换协议动态分发。手工配置的方法由于密钥管理、维护困难，只适合于简单网络。密钥交换协议采用软件方式动态生成密钥，适合于复杂网络，并且密钥可快速更新，这样能显著提高VPN的安全性。目前主要的密钥交换与管理标准有IKE（互联网密钥交换）、SKIP（互联网简单密钥管理）等。