1.VPN的概念
1.1 信息技術的發展
計算機網絡發展的同時,網絡安全問題一直困擾著互聯網。互聯網用戶會共享相同的網絡鏈路,大家的數據都是以明文的形式在線路上傳輸。攻擊者可以竊聽網絡通信獲取信息。他們還可以修改這些信息,引誘用戶,將一些敏感信息發送到自己的郵箱。這些問題阻礙了內網應用的使用范圍,沒有企業愿意讓內部的信息在互聯網上裸奔。大量的系統被局限在組織的內部網絡使用,互聯網用戶無法訪問這些應用。
1.2 VPN的產生
有的組織會在不同的地理區域存在部門。為了使部門間能安全的訪問信息,這些組織會使用專用的網絡線路進行通訊。由于專用線路的建設或租用,部門間訪問網絡應用的成本大大增加。這樣也只是得到一個更大的局域網,仍然無法被互聯網用戶訪問。在這樣的環境下,VPN( Virtual Private Network廬生了。構建互聯網,已經建設了大量的物理線路。VPN將發送方的數據加密,通過公共的網絡線路傳輸數據,再將數據在接收方解密。即便攻擊者在網絡上截獲到這些數據,他們也無法正確的知道數據的真實內容。為了防止攻擊者修改數據,VPN的發送發會在線路上增加一些數據的驗證信息。如果接收方發現無法正確的驗證這些信息,他們就知道這些數據并不是發送者要發送的,無論是因為網絡原因,還是數據被篡改了。
1.3 VPN的定義
數據通信的雙方通過某種方式,共享一個密鑰。發送方用該密鑰對數據加密,接收方用同樣的密鑰解密。只有通信的雙方才知道明文數據,因此這條網絡線路是專用的。而其他用戶也可以通過相同的網絡線路發送數據,所以這條專用的線路是虛擬的。這種網絡技術就是VPN(虛擬專用網)。實際上VPN并沒有要求數據要加密,有些VPN的實現就沒有加密數據。虛擬專用網可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。通過將數據流轉移到低成本的網絡上,一個企業的虛擬專用網解決方案將大幅度地減少用戶花費在城域網和遠程網絡連接上的費用。
2.當前移動互聯網下VPN的應用
2.1 移動互聯網下VPN的需求
近些年移動互聯網發展迅猛。移動互聯網的基礎設施建設還在發展過程中。GPRS還擁有大量的用戶,3G技術已經大面積使用開來。3G拍照發放了4年時間,用戶量不斷增大,網絡的速度和穩定性不斷提高。基于WLAN的移動接入點的覆蓋面積也不斷增大。移動終端的普及更是勢不可擋。芯片的處理速度越來越快,操作系統不斷升級。手機或平板電腦上網的用戶在迅速增加。甚至,人們使用等移動設備的時間已經超過了PC。
因為環境,出差等原因,有的企業員工需要異地辦公。有的公共機構間需要查詢和提交一些信息。大家對移動應用的需求越來越多。企業內部會有OA, ERP,CRM,郵件系統等應用陸續發布到移動互聯網上。用戶可以利用出行,排隊,等人的時間來處理緊急公文,收發郵件,安排工作等日常事務。
移動互聯網比傳統的互聯網跟容易獲取到信息,對信息安全的要求甚至超過了PC。
2.2 VPN的實現技術
IPSec是普遍使用的VPN協議。通信雙方先建立起一條IPSec隧道,隧道將原始IP數據包在新的數據包內部。該新的數據包可能會有新的尋址與路由信息,從而使其能夠通過網絡傳輸。用戶遠程訪問內網應用的時候,就像置身于局域網中一樣。因為IPSec VPN工作在網絡層,所以只要能運行在IP協議上的應用都可以通過IPSec VPN訪問。
隨著web應用越來越廣泛,SSLVPN技術開始流行起來。SSLVPN工作在TCP層與應用層之間。通信的雙發在發送數據之前,使用ssl協議建立起一條加密隧道。傳輸層數據包在進入到隧道之前加密,出隧道之后解密。因為瀏覽器支持ssl協議,因此SSLVPN無需安裝客戶端軟件。
PPTP和L2TP是一種數據鏈路層的VPN。加包頭用于數據在互聯PPTP和L2TP都使用PPP協議對數據進行封裝,然后添加附網絡上的傳輸。L2TP協議自身不會數據加密。因此要保證數據的安全性L2TP需要依賴上層協議的加密功能。L2TP常常與IPSec協議一起使用,保證數據的私密性。
2.3 各種VPN的使用場景
盡管正式標準尚未推出,絲毫不影響html5在移動移動互聯網上的迅猛發展。幾乎所有的瀏覽器都能支持html5,web應用在移動互聯網的表現依然強勁。智能手機的比較多,主流的平臺是Android,IOS和Windows。如果開發Native應用,就需要針對兩臺平臺分別開發。而web應用只需要開發一次,這些平臺都可以使用。大家依然習慣通過web登陸公司的門戶,查閱信息,辦理事務,收發郵件。
盡管web應用仍然廣泛應用,Native應用在移動應用平臺上,也不可忽視。Native應用可以獲取更豐富的用戶體驗。相對于web應用,Native應用需要更少的流量。這對于數據傳輸速度相對較慢的移動互聯網上很重要。
SSLVPN要解決Native應用的安全接入問題上,幾乎沒有好辦法。在PC上一般都是windows客戶端,SSLVPN通過瀏覽器自動安裝插件的方式安裝SSLVPN客戶端。windows提供了不同層次的驅動接口,用于攔截數據包。通過NDIS或TDI驅動層,SSLVPN客戶端可以攔截所有TCP和UDP數據包。根據VPN服務端下發的策略,客戶端決定哪些數據包走ssl隧道,哪些數據包直接放過。但是這個方法在移動客戶端的操作系統不能使用。Android和IOS,沒有這樣的接口。雖然Android可以使用iptables、一類的方法做出一些拙劣但可以工作的解決方案,程序還是會要求:root權限。還有一種方式會好一些,使用OpenVPN。Open VPN是一種使用ssl隧道封裝IP數據包的VPN。OpenVPN也是要安裝客戶端,客戶端在操作系統上會安裝一個虛擬網卡。用戶通過OpenVPN訪問內網應用的時候,數據包會發送到虛擬網卡,虛擬網卡與VPN服務器實際上是ssl隧道,數據通過ssl隧道傳輸。OpenVPN的安裝也需要root權限。現在Android上可以在無需:root的情況下使用OpenVPN了。
L2TP/IPSec的方案是手機上能夠比較完美的解決這類Native應用的問題。手機上內置了L2TP/IPSec客戶端,用戶使用起來非常方便。
從實際應用的場景看來,基本上所有企業移動應用的Native應用也沒有使用新的協議,仍然是通過http的方式與后臺服務器通信。這種場景SSLVPN仍然是最佳的選擇。在SSLVPN看來,這個Native應用實際上也是一個web應用。
2.4 認證和訪問控制
無論是使用web應用還是Nativ。應用,接入到企業內網的用戶只應該訪問有權限的應用。
建立隧道之前用戶必須通過認證。
IPSec可以使用共享密鑰的方式,也可以采用證書的方式。L2TP可以使用PPPoE的用戶名口令的方式。除了證書認證方式,其他認證方式都比較脆弱。SSLVPN可以使用多種認證方式。除了常見的用戶名口令方式和證書方式,還可以使用短信認證,手機動態口令,硬件動態令牌,指紋等多種認證方式。也很容易將多種認證方式結合使用,還可以引入新的認證方式。靜態口令加手機動態口令或者短信的認證方式特別適合移動設備的認證。文件證書的方式在移動設備上同樣適合。
用戶不能訪問未授權的資源。IPSecVPN可以看成內網的延伸,遠程的IPSec客戶端完全擁有訪問內網的訪問權限。IPSec VPN也可以根據終端的IP做訪問控制。然而,在移動互聯網的情況下網絡地址映射(NAT)將是IPSec訪問控制的難題,有可能所有人的IP都被映射到同一個IP上,導致訪問控制失效。SSLVPN工作在四層以上,可以精確的控制到每一個用戶的每一次訪問。SSLVPN會維護一個訪問控制列表,每個服務都用IP地址和端口標識。當用戶訪問某個應用時,SSLVPN知道哪個用戶是訪問哪個IP和端口。通過檢查訪問控制列表,如果當前用戶沒有訪問該應用的權限,SSLVPN可以切斷隧道,還可以通知用戶非法訪問。SSLVPN還能記錄用戶的每一次訪問,便于審計用戶行為。
2.5 移動性
移動互聯網下,設備會通過多種途徑接入到網絡,IP地址會隨接入方式和地點的變化而變化。SSLVPN訪問控制的對象是用戶而不是地址,非常適合做移動設備的訪問控制。
即使在接入VPN的期間,移動設備也可能從一個接入點進入到另一個接入點。SSLVPN可以在不需修改任何策略的情況下重建隧道,不受網絡拓撲、接入點的影響,真正做到隨時隨地地接入。
3.移動互聯網的發展
移動互聯網下,SSLVPN將在終端接入起到重要作用。而IPSec VPN繼續保護網絡之間的信息安全。L2TP/IPSec還會在安全接入補充SSLVPN的不足。
移動互聯網還在不斷發展。
IPv6將走進互聯網,SSLVPN幾乎可以再不用修改的情況下,工作在IPv6的網絡上。
物聯網正在布局階段,如果物聯網技術成熟起來,我們可以組成家庭物聯網。有了VPN,我們就不怕把家里的網絡暴漏在互聯網上了。使用移動終端,通過VPN接入到家庭內部的物聯網。于是上班前我們可以準備好晚餐需要的材料。下班的路上我們可以啟動設備準備晚餐了。家里的設備出現故障,我們也會收到報警信息。也許不久的將來,每個家庭都會有一個小型的VPN設備,讓我們的接入更自由。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:VPN技術在移動互聯網的應用
本文網址:http://www.guhuozai8.cn/html/consultation/10839411122.html
相關文章
