榮東明 周 全 何 遠(yuǎn)

[摘要]隨著企業(yè)信息化的發(fā)展,移動辦公對遠(yuǎn)程接入提出了新的挑戰(zhàn)。從遠(yuǎn)程接入的發(fā)展,VPN原理和特點等幾個方面進(jìn)行論述,并對遠(yuǎn)程接入在實際應(yīng)用中的注意事項做說明。

[關(guān)鍵詞]移動辦公遠(yuǎn)程接入無線VPN

中圖分類號:TP3文獻(xiàn)標(biāo)識碼:A文章編號:1671-7597(2009)1110079-01

隨著企業(yè)信息化發(fā)展和3G時代的到來,人員的流動性加大,傳統(tǒng)的辦公方式已經(jīng)滿足不了新的的需求,移動辦公,soho辦公(Small Office Home Officer)逐漸將成為新的的辦公方式。相比傳統(tǒng)的辦公方式,移動辦公和soho辦公帶來了更靈活的工作時間以及辦公地點。因此遠(yuǎn)程登錄,遠(yuǎn)程訪問開始成為現(xiàn)代工作生活的一種必要的需求。

一、遠(yuǎn)程接入的發(fā)展

普通電話撥號技術(shù)是歷史最久的遠(yuǎn)程接入技術(shù)?；痉绞绞莾蓚€計算機之間分別安裝一種稱為調(diào)制解調(diào)器(Modem)的網(wǎng)絡(luò)連接設(shè)備,然后通過電話撥號的形式建立計算機間遠(yuǎn)程接入。

普通電話的網(wǎng)絡(luò)連接速度并不能滿足企業(yè)網(wǎng)絡(luò)帶寬的要求,市場的發(fā)展需要一種能夠承載多媒體業(yè)務(wù)的網(wǎng)絡(luò)。于是,就出現(xiàn)了綜合業(yè)務(wù)數(shù)字網(wǎng)ISDN(Integrated Service Digital Network)。

ADSL技術(shù)的發(fā)展使寬帶進(jìn)入了千家萬戶,互聯(lián)網(wǎng)得到很快的發(fā)展,帶寬從撥號時代幾K發(fā)展到現(xiàn)在的幾M,對光纖接入的用戶都達(dá)到了100M級。通過互聯(lián)網(wǎng)的資源,連接企業(yè)的內(nèi)部網(wǎng)絡(luò)便成了人們的理想,于是VPN(Vi

rtual Private Network)虛擬專用網(wǎng)絡(luò)便誕生了。

基于有線資源的接入技術(shù)受到線路資源的限制,VPN用戶只能在接入點使用。3G時代的到來,給遠(yuǎn)程接入帶來了新的發(fā)展。通過3G終端使用VPN接入到企業(yè)的內(nèi)部網(wǎng)絡(luò),用戶的接入時間與接入空間得到有效的擴展,移動VPN將會成為未來一段時間遠(yuǎn)程接入的新趨勢。

普適計算(Pervasive Computing)也稱無處不在計算(Ubiquitous Computing),它集移動通信技術(shù)、計算技術(shù)、小型計算設(shè)備制造技術(shù)、小型計算設(shè)備上的操作系統(tǒng)及軟件技術(shù)等多種關(guān)鍵技術(shù)于一體,通過將普適計算設(shè)備嵌入到人們生活的各種環(huán)境中,使通信服務(wù)以及其它基于信息網(wǎng)絡(luò)的各種“以人為中心”的計算和信息訪問服務(wù)在任何時候、任何地點都成為可能,它將會把遠(yuǎn)程接入推向新的時代。

二、VPN及無線VPN的原理

電話撥號大家比較熟悉,普適計算還在發(fā)展過程中,VPN近年來得到業(yè)界廣泛的應(yīng)用,移動VPN逐漸成為新的趨勢。因此我們主要來談?wù)刅PN與移動VPN的原理。

(一)VPN原理

虛擬專用網(wǎng)VPN(Virtual Private Network)指的是依靠ISP(Inter

Net服務(wù)提供商)和其他NSP(網(wǎng)絡(luò)服務(wù)提供商),在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動態(tài)組成的。虛擬專用網(wǎng)絡(luò)可以實現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接,能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道,并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。

本質(zhì)上VPN是使用一種類似于節(jié)點間,通過建立點到點關(guān)系的連接的方式來進(jìn)行加密通信。按照標(biāo)準(zhǔn)的OSI(Open System Interconnection,開放式系統(tǒng)互聯(lián)參考模型)分層協(xié)議來運作,加密數(shù)據(jù)包通過添加IP包頭逐層向下傳輸一直到實際物理鏈路,然后根據(jù)IP頭中的目的地址發(fā)送給目的端主機,VPN網(wǎng)關(guān)收到包以后,解密數(shù)據(jù)包并逐層向上,直到剩下的是原來的數(shù)據(jù)包為止。整個過程對于后臺的應(yīng)用程序來說是完全透明的。

VPN的安全加密算法主要有L2TP、IPSEC、SSL等,各有優(yōu)缺點,適用于不同的應(yīng)用環(huán)境。L2TP本質(zhì)上是一種隧道傳輸協(xié)議,它使用兩種類型的消息:控制消息和數(shù)據(jù)隧道消息?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及終止L2TP隧道,而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP,可以進(jìn)行用戶身份認(rèn)證。在安全性考慮上,L2TP僅定義了控制消息的加密傳輸方式,對傳輸中的數(shù)據(jù)并不加密。IPSec VPN簡單來說就是采用IPSec協(xié)議來實現(xiàn)遠(yuǎn)程登錄的一種VPN技術(shù),IPSec是IETF(Internet Engineer Task Force)制定的安全標(biāo)準(zhǔn),IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù),提供透明的安全通信。IPSec是基于網(wǎng)絡(luò)層的,不能穿越通常的NAT、防火墻。SSL VPN簡單來說就是采用SSL協(xié)議來實現(xiàn)遠(yuǎn)程登錄的一種新型VPN技術(shù)。SSL(S

ecurity Socket Layer)協(xié)議是網(wǎng)景公司提出的基于WEB應(yīng)用的安全協(xié)議,它包括:服務(wù)器認(rèn)證、客戶認(rèn)證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性,SSL是基于傳輸層的。SSL協(xié)議被內(nèi)置于IE等瀏覽器中,使用SSL協(xié)議進(jìn)行認(rèn)證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端,簡化了客戶端的操作。所以通常情況SSL VPN使用的較多。

(二)移動VPN原理

VPN應(yīng)用于無線領(lǐng)域便成了移動VPN,通過無線路由器等接入的其實質(zhì)還是固定網(wǎng)絡(luò)的VPN,移動VPN主要指通過GPRS,WCDMA等遠(yuǎn)程接入方式,其與普通VPN原理一樣。但由于無線網(wǎng)絡(luò)的安全性較低,所以在安全性方面需要加入新的內(nèi)容。移動VPN對移動終端的要求取決于移動VPN所采用的技術(shù)和實現(xiàn)方式。根據(jù)VPN中隧道的發(fā)起位置來劃分,VPN可以分為兩種:網(wǎng)絡(luò)發(fā)起的VPN和終端發(fā)起的VPN。

網(wǎng)絡(luò)發(fā)起的VPN是指VPN隧道的發(fā)起點是網(wǎng)絡(luò)設(shè)備,在移動網(wǎng)絡(luò)中,指由GGSN發(fā)起VPN隧道至企業(yè)網(wǎng)關(guān)。它可以是GRE、MPLS、IPSec、L2TP等技術(shù)之一,或是這些技術(shù)的組合。網(wǎng)絡(luò)發(fā)起的VPN一般對終端無特殊要求。

終端發(fā)起的VPN是指隧道的起點是終端,由終端主動發(fā)起一條隧道至企業(yè)網(wǎng)關(guān)。終端發(fā)起的VPN一般采用IPSec或L2TP技術(shù),這要求終端支持IPSec協(xié)議或L2TP協(xié)議。目前大多數(shù)終端均不支持IPSec協(xié)議和L2TP協(xié)議,如要實現(xiàn)這種VPN方式,可通過數(shù)據(jù)卡方式實現(xiàn)。同時,在這種情況下,VPN和移動運營商沒有直接關(guān)系,移動網(wǎng)絡(luò)只對VPN起承載作用。這種VPN常用于保障端到端的數(shù)據(jù)安全的業(yè)務(wù)場景。

移動VPN在無線接入子網(wǎng)可以設(shè)置自主認(rèn)證體系,以便對經(jīng)過HLR認(rèn)證的客戶在撥號聯(lián)接時進(jìn)行機號、用戶名、撥號口令的核查并進(jìn)行日志記錄,杜絕非法用戶的進(jìn)入。合法的用戶在使用前必須采用登錄訪問方式,以確保即使發(fā)生未發(fā)覺的遺失,由于撿拾者無法知道登錄信息,所以也無法使用系統(tǒng)。

三、VPN具有以下主要特點

安全保障:由于VPN直接構(gòu)建在公用網(wǎng)上,實現(xiàn)簡單、方便、靈活,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

服務(wù)質(zhì)量保證(QoS):VPN網(wǎng)為企業(yè)數(shù)據(jù)提供不同等級的服務(wù)質(zhì)量保證,如對移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個主要因素;而對于擁有眾多分支機構(gòu)的專線VPN網(wǎng)絡(luò),交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性。QoS通過流量預(yù)測與流量控制策略,可以按照優(yōu)先級分配帶寬資源,實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防阻塞的發(fā)生。

可擴充性和靈活性:VPN能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求?？晒芾硇?VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至客戶和合作伙伴,要求減小網(wǎng)絡(luò)風(fēng)險,具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理以及QoS管理等內(nèi)容。

四、遠(yuǎn)程接入時應(yīng)注意的措施

1.使用VPN業(yè)務(wù)的終端應(yīng)強制采取一些安全政策和設(shè)置,以便進(jìn)一步提高VPN連接的安全性。

2.一開始VPN連接,就通過非常嚴(yán)格的政策來關(guān)閉并行網(wǎng)絡(luò)連接。避免屏幕錄制等木馬竊取用戶信息而對VPN造成威脅。

3.拒絕用戶在上網(wǎng)期間把數(shù)據(jù)保存到本地,迫使他們把數(shù)據(jù)保存到網(wǎng)絡(luò)上。即使筆記本電腦被偷或手持終端丟失也不成問題,因為上面根本沒有什么信息。

五、結(jié)語

通過虛擬專用網(wǎng)VPN可以幫助遠(yuǎn)程用戶、分公司、合作伙伴及經(jīng)銷商等建立內(nèi)部的可信安全連接,保證數(shù)據(jù)的安全傳輸,這樣既可以得到最新的信息,擴大信息量,又能保證溝通的及時性。

移動數(shù)據(jù)業(yè)務(wù)是3G網(wǎng)絡(luò)有別于2G的重要業(yè)務(wù)。移動數(shù)據(jù)VPN則是針對企業(yè)用戶提供良好應(yīng)用的非常重要的業(yè)務(wù)基礎(chǔ)。基于移動數(shù)據(jù)VPN,可為企業(yè)用戶提供安全、便捷的企業(yè)資源訪問、Web/WAP信息發(fā)布、E-mail服務(wù)、行業(yè)特色服務(wù)等。所以通信企業(yè)在搞好自身移動辦公的同時,如何在企業(yè)信息化浪潮中推廣好移動VPN業(yè)務(wù)是3G時代通信企業(yè)要考慮好的問題。

參考文獻(xiàn):

[1]安全VPN保護(hù)無線游民,http://www2.ccw.com.cn/weekly/tech/htm

2009/20090215_588386.shtml.

[2]虛擬專用網(wǎng)VPN,http://safe.zol.com.cn/119/1195850.html.

[3]移動數(shù)據(jù)VPN技術(shù)及業(yè)務(wù)研究,http://www.eefocus.com/article/07-02/061002306979.html.

[4]IP VPN技術(shù)特點與安全機制,http://www.gz183.com.cn/Info/99/info

12125_1.htm.

作者簡介:

榮東明(1970-),通信工程師,研究方向:網(wǎng)絡(luò)安全;周全(1971-),通信工程師,研究方向:網(wǎng)絡(luò)安全;何遠(yuǎn)(1977-),在讀碩士研究生,研究方向:網(wǎng)絡(luò)安全。