一、VPN技術介紹
VPN主要采用隧道技術、加解密技術、密鑰管理技術和身份認證技術。
(一)隧道技術
1.隧道技術基礎。隧道技術是VPN的關鍵技術,主要包括數據封裝、傳輸和數據拆封三個部分。隧道技術是一種通過公共網絡的基礎設施,在專用網絡或專用設備之間實現加密數據通信的技術。通信的內容包括各種通信協議的數據包,隧道協議將這些數據包重新封裝在新的包中發送,新的包頭提供了路由信息,從而使封裝的數據能夠通過公共網絡傳遞,傳遞時所經過的邏輯路徑稱為隧道,當數據包到達通信終點后,將被拆封并轉發到最終目的地。隧道技術就是指包括數據封裝,傳輸和解包在內的全過程,如圖1所示。
圖1 隧道傳輸過程
2.隧道協議。隧道的客戶機和服務器雙方必須使用相同的隧道協議創建隧道。隧道協議是隧道技術的核心,基于不同的隧道協議所實現的VPN是不同的。典型的隧道協議有PPTP、L2TP和IPSec等協議。
(二)加解密技術
加解密技術主要就是處理好保密、認證和完整性這三個方面的問題
1.保密。數據在網絡傳輸的過程中,由于需要經過多個中間節點進行轉發,因此很容易就被截獲。為了保證數據的保密性,就需要對數據使用密文進行加密傳輸。密文即使被第三方截獲,也無法解析其含義。
2.認證。接收方在收到數據后,為了驗證數據確實是從發送放發來的,而不是第三方冒充的,就需要對發送方進行認證。認證需要使用一個憑據,即數字證書(Certificate),相當于個人的護照Certificate由專門的證書管理機構CA(CertificateAuthority)發放。
3.完整性。雖然數據在加密傳輸的過程中第三方無法截獲內容,但是第三方還是可以對其實施破壞活動,譬如將數據截掉部分,接收者進行解密后便獲得不了完整的信息。為了保證傳送的數據完整性,對接收到的數據進行完整性校驗是非常有必要的。
(三)密鑰管理技術
密鑰管理技術的主要任務是在公用數據網上安全地傳遞密鑰而不被竊取。從密鑰管理技術角度進行分類,可將其分為對稱密鑰管理和公開密鑰管理(數字證書)兩部分。
1.對稱密鑰管理技術。對稱加密是基于共同保守秘密來實現的。采用對稱加密技術的貿易雙方必須要保證采用的是相同的密鑰,要保證彼此密鑰的交換是安全可靠的,同時還要設定防止密鑰泄密和更改密鑰的程序。
2.公開密鑰管理(數字證書)技術。貿易伙伴間可以使用數字證書(公開密鑰證書)來交換公開密鑰。數字證書通常包含有唯一標識證書所有者(即貿易方)的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等,證書由專門的證書管理機構cA發放
(四)身份認證技術
VPN需要解決的首要問題是網絡上的用戶與設備都需要有確定的身份認證。不管其它安全設施有多嚴密,一旦身份認證將錯誤,必將導致整個VPN的失效。隨著技術的發展,常規用戶名+密碼方式(PAP)已經不能提供足夠的安全保障。有專門機構發放的數字證書,可以為設備提供更安全的認證。
二、VPN的安全性問題介紹
VPN的核心問題時安全問題。目前,VPN主要是通過防火墻技術、路由器配以隧道技術、加密協議和安全密鑰來實現安全保證的。但是, 當一個企業的VPN需要擴展到遠程訪問時,那么長時間在線就容易受到黑客的攻擊。公司安全防御系統中的弱點就是遠程工作員工通過防火墻之外的個人計算機可以接觸到公司的核心內容。從安全的觀點來看,在家辦公的個人,是黑客攻擊的重點目標,因為為家用計算機在安全軟件使用方面沒有公司做的到位。一般情況下,員工使用家用計算機時,僅僅是跟隨計算機通過一條授權的連接進入公司網絡系統,侵入者可以通過一個被信任的用戶進入網絡。
安全的加密隧道和正確的連接,也無法保證家庭計算機的安全。黑客為了侵入員工的家用計算機, 首先需要做的是探測IP地址,如果在家辦公人員具有一條諸如HDSL的不問斷連接鏈路(通常這種連接具有一個固定的IP地址),這時就要當心黑客的入侵。因此,必須在個人計算機上安裝個人防火墻區有效的堵住遠程訪問VPN的安全漏洞,保護網絡的安全。
三、總結
文章對虛擬專業網絡VPN的隧道技術、加解密技術、密鑰管理技術和身份認證技術進行了具體介紹,同時還提及了VPN的安全性問題,為后續進一步對VPN的研究和應用打下了理論基礎。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:淺析虛擬專業網絡VPN技術
相關文章
