VPN (Virtual Private Network)即虛擬專用網,是一項迅速發展起來的新技術,主要用于在公用網絡中建立專用的數據通信網絡。由于它只是使用因特網而不是專線來連接分散在各地的本地網絡,僅在效果上和真正的專用網一樣,故稱之為虛擬專用網。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專用網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。一個網絡連接通常由客戶機、傳輸介質和服務器三個部分組成。VPN同樣也由這三部分組成,不同的是VPN連接使用了隧道技術。所謂隧道技術就是在內部數據報的發送接受過程中使用了加密解密技術,使得傳送數據報的路由器均不知道數據報的內容,就好像建立了一條可信賴的隧道。該技術也是基于TCP/IP協議的。
VPN的主要特點
(1)網際互聯安全性高。VPN技術繼承了現有網絡的安全技術,并結合了下一代IPv6的安全特性,通過隧道、認證、接入控制、數據加密技術,利用公網建立互聯的虛擬專用通道,實現網絡互聯的安全。
(2)經濟實用、管理簡化。由于、VPN獨立于初始協議,用戶可以繼續使用傳統設備,保護了用戶在現有硬件和軟件系統上的投資。由于VPN可以完全管理,并且能夠從中央網站進行基于策略的控制,因此可以大幅度地減少在安裝配置遠端網絡接口所需設備上的開銷和安全配置。
(3)可擴展性好。如果想擴大VPN的容量和覆蓋范圍,管理者只需與新加入的分館簽約,建立賬戶;或者與原有的下級組織重簽合約,擴大服務范圍。在遠程地點增加VPN能力也很簡單,幾條命令就可以使Extranet路由器擁有因特網和VPN能力,路由器還能對工作站自動進行配置。
(4)支持多種應用。由于VPN給我們提供了安全的通道,可以把目前在局域網上的應用直接運用在廣域網上。VPN則可以支持各種高級的應用,如IP語音,IP傳真等。
(5)有效實現網絡資源共建共享。在網絡安全的保證下和認證技術的支持下,可以實現整個VPN體系中互聯單位的資源共建共享,避免資源重復開發帶來的巨大浪費,甚至可以實現普通讀者在家用ADSL來訪問公共圖書館局域網絡中的全文數據庫。
VPN技術分析
VPN技術主要由三個部分組成:隧道技術,數據加密和用戶認證。隧道技術定義數據的封裝形式,并利用IP協議以安全方式在Internet上傳送;數據加密保證敏感數據不會被盜取;用戶認證則保證未獲認證的用戶無法訪問網絡資源。VPN的實現必須保證重要數據完整、安全地在隧道中進行傳輸,因此安全問題是VPN技術的核心問題,目前,VPN的安全保證主要是通過防火墻和路由器,配以隧道技術、加密協議和安全密鑰來實現的,以此確保遠程客戶端能夠安全地訪問VPN服務器。
(1)隧道技術
1.隧道技術的實現
假設某公司在相距很遠的兩地的部門A和B建立了虛擬專用網,其內部網絡地址分別為專用地址20.1.0.0和20.2.0.0。顯然,這兩個部門若利用因特網進行通信,則需要分別擁有具有合法的全球IP的路由器。這里假設部門A、B的路由器分別為R1、R2,且其全球IP地址分別為125.1.2.3和192.168.5.27,?現在設部門A的主機x向部門B的主機Y發送數據報,源地址是20.1.0.1而目的地址是20.2.0.3。該數據報從主機x發送給路由器R1。路由器R1收到這個內部數據報后進行加密,然后重新封裝成在因特網上發送的外部數據報,這個外部數據報的源地址是R1在因特網上的IP地址125.1.2.3,而目的地址是路由器R2在因特網上的IP地址192.168.5.27。路由器R2收到R1發送的數據報后,對其進行解密,恢復出原來的內部數據報,并轉發給主機Y。這樣便實現了虛擬專用網的數據傳輸。
VPN實現的關鍵技術是隧道,而隧道又是靠隧道協議來實現數據封裝的。在第二層實現數據封裝的協議稱為第二層隧道協議,同樣在第三層實現數據封裝的協議叫第三層隧道協議。VPN將企業網的數據封裝在隧道中,通過公網Intemet進行傳輸。因此,VPN技術的復雜性首先建立在隧道協議復雜性的基礎之上。隧道協議中最為典型的有IPSEC、L2TP、PPTP等。其中IPSEC屬于第三層隧道協議,L2TP、PPTP屬于第二層隧道協議。第二層隧道和第三層隧道的本質區別在于用戶的IP數據包是被封裝在哪種數據包中在隧道中傳輸。VPN系統使分散布局的專用網絡架構在公共網絡上安全通信。它采用復雜的算法來加密傳輸的信息,使敏感的數據不會被竊聽
2.第二層隧道協議
L2TP是從Cisco主導的第二層向前傳送和Microsoft主導的點到點隧道協議的基礎上演變而來的,它定義了利用公網設施(如IP網絡,ATM和幀中繼網絡)封裝傳輸鏈路層點到點協議幀的方法。目前,Internet中的撥號網絡只支持IP協議,而且必須注冊IP地址:而L2TP可以讓撥號用戶支持多種協議,并且可以保留網絡地址,包括保留IP地址。利用I2TP提供的撥號虛擬專用網服務對用戶和服務提供商都很有意義,它能夠讓更多的用戶共享撥號接入和骨干IP網絡設施,為撥號用戶節省長途通信費用。同時,由于L2TP支持多種網絡協議,用戶在非IP網絡和應用上的投資不至于浪費。
3.第三層隧道協議
IPSec是將幾種安全技術結合在一起形成的一個較完整的體系,它可以保證IP數據包的私有性、完整性和真實性。IPSee使用了Difie—Hellman密鑰交換技術,用于數字簽名的非對稱加密算法、加密用戶數據的大數據量加密算法、用于保證數據包的真實性和完整性的帶密鑰的安全哈希算法、以及身份認證和密鑰發放的認證技術等安全手段。IP.Sec協議定義了如何在IP數據包中增加字段來保證其完整性、私有性和真實性,這些協議還規定了如何加密數據包:Internet密鑰交換協議用于在兩個通信實體之間建立安全聯盟和交換密鑰。IPSec定義了兩個新的數據包頭增加到IP包上,這些數據包頭用于保證IP數據包的安全性。這兩個數據包頭是認證包頭和安全荷載封裝。其中IP數據包的完整性和認證由IPSec認證包頭協議來完成,數據的加密性則由安全荷載封裝協議來實現。
(2)用戶認證技術
如果數據包不經過加密就通過不安全的Internet,即使已經建立了用戶認證,VPN也不完全是安全的。為保護數據在網絡傳輸上的安全性,需利用密碼技術對數據進行加密。數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能了解被保護信息的內容。加密算法中強度比較高,可用于保護敏感的財務信息的是IPSee的DES和3DES。?
除加密和解密外,VPN需要核實信息來源的真實性,確認信息發送方的身份,防止非授權用戶的非法竊聽和惡意篡改信息。核實發送方身份的過程稱為“認證”。認證可通過用戶名和口令實現,或者通過“電子證書”或“數字證書” 來完成,即證書和密鑰。它包含加密參數,可唯一地用作驗證用戶或系統身份的工具,提供高級別的網絡信息安全傳輸。
(3)加密技術
數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息,使非受權者不能了解被保護信息的內容。加密算法有用于Windows95的RC4、用于IPSee的DES和三次DESo?RC4雖然強度比較弱,但是保護免于非專業人士的攻擊已經足夠了;DES和三次DES強度比較高,可用于敏感的商業信息。
加密技術可以在協議棧的任意層進行;
可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。網絡層加密實現的最安全方法是在主機的端到端進行。另一個選擇是“隧道模式”:加密只在路由器中進行,而終端與第一條路由之間不加密。這種方法不太安全,因為數據從終端系統到第一一條路由時可能被截取而危及數據安全。終端到終端的加密方案中,VPN安全粒度達到個人終端系統的標準;而“隧道模式”方案,VPN安全粒度只達到子網標準。在鏈路層中, 目前還沒有統一的加密標準,因此所有鏈路層加密方案基本上是生產廠家自己設計的,需要特別的加密硬件。
以上是對VPN技術的一些簡單的探討,VPN技術利用在公共網絡上建立安全的專用網絡為用戶提供了一個低成本、高效率、高安全性的資源共享和互聯服務,VPN技術在資源管理與配置、信息的共享與交互、供應鏈集中管理、電子商務等方面都具有很高的應用價值,在未來的信息化建設中具有廣闊的前景。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:淺談VPN技術
相關文章
