论文部分内容阅读
[摘要] 本文介绍了VPN技术的优势以及VPN中采用的隧道技术、加密解密技术、密钥管理技术和身份认证技术等。最后提出VPN应用的一般模式。
[关键词] VPN技术 网络安全
一、VPN概述
虚拟专用网(VPN,Virtual Private Network)是利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障,可以实现不同网络的组件和资源之间相互连接的技术。在虚拟专用网中,任意两个节点之间的连接没有一般的专用网所需的端到端的物理链路,而是通过提供用户认证、数据完整性和访问控制等技术在公共的或不安全的公共数据网络上仿真一条点到点的专线,从而提供网络应用程序之间的安全通信。
二、VPN的优势
一般情况下,虚拟专用网可以取代租用数字数据网(DDN,Digtal Data Network)专线或帧中继解决用户异地局域网的互连问题,其主要有以下优势:
1、成本低廉
租用专线建设自己的网络系统价格高,而通过公用网来建立VPN,能以很低的代价提供高带宽的链路,节省租用专线的费用,且不必安装和维护WAN设备和远程访问设备;
2、安全可靠
VPN采用加密及身份验证等安全技术,在内部网络之间建立隧道,保证通讯数据的机密性和完整性,保证信息不被泄露或暴露给未授权的实体,保证信息不被未授权的实体改变删除和替代。而VPN设备可以和防火墙配合以保证在网络畅通的情况下,尽可能地保证访问安全内部资源外还可以方便地访问Internet;
3、连接方便灵活
只要有Internet,随时可以建立VPN链路。对于单个用户,使用VPN可以在任何地方安全访问内部网。只需双方配置安全连接信息即可,无需建立租用线路或帧中继线路;
4、完全控制
用户只利用ISP提供的网络资源,对于其他的安全设置、网络管理可由自己控制;
5、扩展容易
采用专线连接在内部网络节点越来越多时网络结构趋于复杂、费用昂贵。而采用VPN只需架设VPN设备就可以利用Internet建立安全连接,如果又有内部网络想加入安全连接,只需添加一台VPN设备并改变相关配置即可。
三、VPN的安全性要求
VPN保护从信道的一个端点到另一端点传输的信息流。而在信道的端点之前和之后,VPN不提供任何的数据包保护。VPN的主要目的是要确保护传输数据必须满足以下4个要求:
1、认证
确保数据传输的来源真实而非虚构或冒名,目的地确实是数据期望到达的位置;
2、访问控制
禁止未经授权的用户对网络进行访问,以保证网络的私密性;
3、机密性
防止数据在网络传输过程中被察看;
4、数据完整性
不允许在传输过程中对数据有任何篡改。
一个成功的VPN方案应能为用户分配虚拟专用网络上的地址并确保其安全性,必须能够生成并更新客户端和服务器的加密密钥,提供身份验证审核严格控制使得只有授权用户才能访问VPN,同时通过公用网络传递的数据必须经过加密。
四、VPN技术
目前VPN主要采用四项关键技术来保证安全,这四项技术分别是隧道技术、加密解密技术、密钥管理技术和身份认证技术。其中,隧道技术在公用网上建立虚拟的专用通道用于数据包的传输;认证技术防止数据的伪造和被篡改;加密解密技术防止数据被破译;密钥管理技术保证了加密密钥的安全传递。
1、隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术。隧道实质是一种封装,它将待传输的原始信息经过加密、协议封装和压缩处理后,再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传送,实现原始信息的加密、协议封装和压缩处理对公用网络的透明性,从而在公用网上为信息交换的双方开辟建立一条虚拟的专用通道即隧道,数据包就通过这条虚拟通道进行传输。
隧道根据相应的隧道协议来创建,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议、网络数据包封装到PPP协议中, 再把PPP协议的数据包装入隧道协议中传输。第二层隧道协议有L2F、PPTP、L2TP等。其中,L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。因其集成在windows系统中,所以也是目前最为常用的协议。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等,理论上任何协议的数据都可以透过IP网络传输。IP网络上的SNA隧道技术和IP网络上的Novell NetWare IPX 隧道技术是目前较成熟的隧道技术。
2、加密解密技术
加密解密技术是数据通信中一项比较成熟的技术,利用加密技术保证传输数据的安全是VPN安全技术的核心。现有的加密解密技术主要有:
(1)对称加密解密技术:运算速度快,常用的对称加密算法有DES、3DES、IDEA等。缺点是密钥交换需保密,一旦密钥泄露则无任何安全性可言。对称加密技术经常被用来对数据进行加/解密处理,提高保密性;
(2)不对称密钥加密解密技术:运算速度慢,常用的不对称加密算法有RSA、Diffie-Hellman等。但因其密钥可公开一部分,常用于数字签名和会话的密钥交换加/解密处理;
(3)HASH函数:速度快,因其产生的信息摘要不可逆,主要用于信息的完整性检查。
3、密钥管理技术
密钥管理技术的主要任务是解决如何在公用数据网上安全地传递密钥而不被非法窃取的问题。现在的密钥管理技术有SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。而在ISAKMP中,双方都有两把密钥,分别用于公用和私用。
4、身份认证技术
目前常用的方法是依賴于数字证书签发中心所签发的符合X.509规范的标准数字证书。通信双方交换数据前,须先确认彼此的身份、交换彼此的数字证书。然后双方将此证书进行比较,只有比较结果正确,双方才开始交换数据。只有该虚拟专用网的授权用户才能对隧道中的数据包进行解释和处理,而其他用户则无法处理这些信息,从而保证VPN的远程用户或主机和专用网络的安全连接。其通信过程为以下四个步骤:
(1)客户端向服务器发出连接请求;
(2)服务器响应请求并要求客户端提交身份验证信息,客户端将加密的用户身份验证响应信息发送给服务器;
(3)服务器根据用户数据库检查该响应信息,如果账户有效,服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,服务器才会接受此连接;
(4)最后服务器将在身份验证过程中产生的客户端和服务器公有密钥用来对数据进行加密,然后通过隧道技术进行封装、加密、传输到目的内部网络。
五、VPN应用
1、VPN的组成
VPN通常由客户机、传输通道和服务器三个部分组成:
(1)客户端:一台计算机或设备用来发起VPN连接的请求;
(2)传输通道:与普通网络连接不同的是VPN是以在公用网络如Internet中建立连接隧道作为传输通道;
(3)服务器:作为传输通道端点的计算机系统,用来接收和验证VPN连接的请求,处理数据打包和解包工作。VPN服务器可能是防火墙、路由器、专用网关,也可能是一台运行VPN软件的联网计算机。
2、企业VPN系统应用一般模式
VPN的实施有多种包括软硬件的解决方案,都包含了路由、防火墙、VPN网关等三方面的功能。应用VPN既能满足远程互联的要求,又能在相当程度上防止黑客的攻击,对网络实施有效管理。基于Internet组建企业VPN,第一步就是将其地理上分布的各网段以及各远程用户接入Internet,公司总部网段配有VPN中心,它通过路由器接入Internet,而各分支机构和合作伙伴子网也通过VPN网关与总部LAN进行连接,如下图所示:
参考文献:
[1]夏海静,王苹.VPN应用分析[J].福建电脑,2011.02.
[2]段丽.浅谈VPN技术在电子商务中的应用[J].电子商务,2011.01.
[3]李泓武,李明轩.VPN网络技术的研究[J].广西轻工业,2010.10.
“本文中所涉及到的图表、公式、注解等请以PDF格式阅读”
[关键词] VPN技术 网络安全
一、VPN概述
虚拟专用网(VPN,Virtual Private Network)是利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障,可以实现不同网络的组件和资源之间相互连接的技术。在虚拟专用网中,任意两个节点之间的连接没有一般的专用网所需的端到端的物理链路,而是通过提供用户认证、数据完整性和访问控制等技术在公共的或不安全的公共数据网络上仿真一条点到点的专线,从而提供网络应用程序之间的安全通信。
二、VPN的优势
一般情况下,虚拟专用网可以取代租用数字数据网(DDN,Digtal Data Network)专线或帧中继解决用户异地局域网的互连问题,其主要有以下优势:
1、成本低廉
租用专线建设自己的网络系统价格高,而通过公用网来建立VPN,能以很低的代价提供高带宽的链路,节省租用专线的费用,且不必安装和维护WAN设备和远程访问设备;
2、安全可靠
VPN采用加密及身份验证等安全技术,在内部网络之间建立隧道,保证通讯数据的机密性和完整性,保证信息不被泄露或暴露给未授权的实体,保证信息不被未授权的实体改变删除和替代。而VPN设备可以和防火墙配合以保证在网络畅通的情况下,尽可能地保证访问安全内部资源外还可以方便地访问Internet;
3、连接方便灵活
只要有Internet,随时可以建立VPN链路。对于单个用户,使用VPN可以在任何地方安全访问内部网。只需双方配置安全连接信息即可,无需建立租用线路或帧中继线路;
4、完全控制
用户只利用ISP提供的网络资源,对于其他的安全设置、网络管理可由自己控制;
5、扩展容易
采用专线连接在内部网络节点越来越多时网络结构趋于复杂、费用昂贵。而采用VPN只需架设VPN设备就可以利用Internet建立安全连接,如果又有内部网络想加入安全连接,只需添加一台VPN设备并改变相关配置即可。
三、VPN的安全性要求
VPN保护从信道的一个端点到另一端点传输的信息流。而在信道的端点之前和之后,VPN不提供任何的数据包保护。VPN的主要目的是要确保护传输数据必须满足以下4个要求:
1、认证
确保数据传输的来源真实而非虚构或冒名,目的地确实是数据期望到达的位置;
2、访问控制
禁止未经授权的用户对网络进行访问,以保证网络的私密性;
3、机密性
防止数据在网络传输过程中被察看;
4、数据完整性
不允许在传输过程中对数据有任何篡改。
一个成功的VPN方案应能为用户分配虚拟专用网络上的地址并确保其安全性,必须能够生成并更新客户端和服务器的加密密钥,提供身份验证审核严格控制使得只有授权用户才能访问VPN,同时通过公用网络传递的数据必须经过加密。
四、VPN技术
目前VPN主要采用四项关键技术来保证安全,这四项技术分别是隧道技术、加密解密技术、密钥管理技术和身份认证技术。其中,隧道技术在公用网上建立虚拟的专用通道用于数据包的传输;认证技术防止数据的伪造和被篡改;加密解密技术防止数据被破译;密钥管理技术保证了加密密钥的安全传递。
1、隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术。隧道实质是一种封装,它将待传输的原始信息经过加密、协议封装和压缩处理后,再嵌套装入另一种协议的数据包送入网络中,像普通数据包一样进行传送,实现原始信息的加密、协议封装和压缩处理对公用网络的透明性,从而在公用网上为信息交换的双方开辟建立一条虚拟的专用通道即隧道,数据包就通过这条虚拟通道进行传输。
隧道根据相应的隧道协议来创建,分为第二、三层隧道协议。
第二层隧道协议是先把各种网络协议、网络数据包封装到PPP协议中, 再把PPP协议的数据包装入隧道协议中传输。第二层隧道协议有L2F、PPTP、L2TP等。其中,L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。因其集成在windows系统中,所以也是目前最为常用的协议。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等,理论上任何协议的数据都可以透过IP网络传输。IP网络上的SNA隧道技术和IP网络上的Novell NetWare IPX 隧道技术是目前较成熟的隧道技术。
2、加密解密技术
加密解密技术是数据通信中一项比较成熟的技术,利用加密技术保证传输数据的安全是VPN安全技术的核心。现有的加密解密技术主要有:
(1)对称加密解密技术:运算速度快,常用的对称加密算法有DES、3DES、IDEA等。缺点是密钥交换需保密,一旦密钥泄露则无任何安全性可言。对称加密技术经常被用来对数据进行加/解密处理,提高保密性;
(2)不对称密钥加密解密技术:运算速度慢,常用的不对称加密算法有RSA、Diffie-Hellman等。但因其密钥可公开一部分,常用于数字签名和会话的密钥交换加/解密处理;
(3)HASH函数:速度快,因其产生的信息摘要不可逆,主要用于信息的完整性检查。
3、密钥管理技术
密钥管理技术的主要任务是解决如何在公用数据网上安全地传递密钥而不被非法窃取的问题。现在的密钥管理技术有SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥。而在ISAKMP中,双方都有两把密钥,分别用于公用和私用。
4、身份认证技术
目前常用的方法是依賴于数字证书签发中心所签发的符合X.509规范的标准数字证书。通信双方交换数据前,须先确认彼此的身份、交换彼此的数字证书。然后双方将此证书进行比较,只有比较结果正确,双方才开始交换数据。只有该虚拟专用网的授权用户才能对隧道中的数据包进行解释和处理,而其他用户则无法处理这些信息,从而保证VPN的远程用户或主机和专用网络的安全连接。其通信过程为以下四个步骤:
(1)客户端向服务器发出连接请求;
(2)服务器响应请求并要求客户端提交身份验证信息,客户端将加密的用户身份验证响应信息发送给服务器;
(3)服务器根据用户数据库检查该响应信息,如果账户有效,服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,服务器才会接受此连接;
(4)最后服务器将在身份验证过程中产生的客户端和服务器公有密钥用来对数据进行加密,然后通过隧道技术进行封装、加密、传输到目的内部网络。
五、VPN应用
1、VPN的组成
VPN通常由客户机、传输通道和服务器三个部分组成:
(1)客户端:一台计算机或设备用来发起VPN连接的请求;
(2)传输通道:与普通网络连接不同的是VPN是以在公用网络如Internet中建立连接隧道作为传输通道;
(3)服务器:作为传输通道端点的计算机系统,用来接收和验证VPN连接的请求,处理数据打包和解包工作。VPN服务器可能是防火墙、路由器、专用网关,也可能是一台运行VPN软件的联网计算机。
2、企业VPN系统应用一般模式
VPN的实施有多种包括软硬件的解决方案,都包含了路由、防火墙、VPN网关等三方面的功能。应用VPN既能满足远程互联的要求,又能在相当程度上防止黑客的攻击,对网络实施有效管理。基于Internet组建企业VPN,第一步就是将其地理上分布的各网段以及各远程用户接入Internet,公司总部网段配有VPN中心,它通过路由器接入Internet,而各分支机构和合作伙伴子网也通过VPN网关与总部LAN进行连接,如下图所示:
参考文献:
[1]夏海静,王苹.VPN应用分析[J].福建电脑,2011.02.
[2]段丽.浅谈VPN技术在电子商务中的应用[J].电子商务,2011.01.
[3]李泓武,李明轩.VPN网络技术的研究[J].广西轻工业,2010.10.
“本文中所涉及到的图表、公式、注解等请以PDF格式阅读”