王飛
摘要:在目前的IT發(fā)展環(huán)境下,信息化是現(xiàn)代企事業(yè)單位的必然選擇。隨著應(yīng)用的深入,信息安全尤為重要,中小型企事業(yè)單位結(jié)合自身特點(diǎn)對(duì)信息安全的需求也越來越迫切,VPN技術(shù)的引入不僅可以保證單位信息的安全,而且使得應(yīng)用更加方便。重點(diǎn)就網(wǎng)絡(luò)安全需求背景、VPN原理、VPN構(gòu)建方法進(jìn)行了分析和梳理,結(jié)合中小型企事業(yè)的特點(diǎn)提出了可供選擇的VPN應(yīng)用方案。
關(guān)鍵詞:VPN;隧道;網(wǎng)絡(luò)安全
中圖分類號(hào):TP309.2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2014)07-1394-03
1 概述
在目前基于網(wǎng)絡(luò)的應(yīng)用環(huán)境下,網(wǎng)絡(luò)安全問題越來越顯得突出。隨著法律、管理制度日益健全完善,使得制度保障明顯改善,但網(wǎng)絡(luò)與生俱來的缺陷和不足還需要技術(shù)來加以解決,如防火墻、電子證書、授權(quán)認(rèn)證、加密等方法可以彌補(bǔ)一定的不足,但仍有一定的局限性。虛擬專用網(wǎng)(virtual private network:VPN)結(jié)合了因特網(wǎng)和專用網(wǎng)的優(yōu)點(diǎn),同時(shí)克服了二者的缺點(diǎn),為一定的用戶的網(wǎng)絡(luò)安全問題的解決提供了一種可能。
2 VPN的原理及應(yīng)用特點(diǎn)
2.1 VPN的原理
VPN,顧名思義,virtual private network,虛擬專用網(wǎng)。通過一個(gè)公用網(wǎng)絡(luò)建立一個(gè)臨時(shí)的、安全的連接,形成一條通過公用網(wǎng)絡(luò)的安全的、穩(wěn)定的隧道。能夠提供給用戶一種全新的連接方式,是一種“基于公共數(shù)據(jù)網(wǎng),給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。在VPN中的兩個(gè)節(jié)點(diǎn)之間不是端到端的專用物理鏈路,而是利用公共網(wǎng)絡(luò)資源動(dòng)態(tài)形成的一種通道。所謂虛擬是指用戶不需要擁有成本高昂的數(shù)據(jù)專線,而是利用公網(wǎng)來實(shí)現(xiàn),所謂專用網(wǎng)絡(luò)是指用戶可以自己定制符合自己應(yīng)用需求的網(wǎng)絡(luò)。
2.2 VPN的應(yīng)用前提及組成部分
VPN在目前網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)是可能的,如果沒有發(fā)達(dá)的公共網(wǎng)絡(luò)就不可能有VPN的誕生與應(yīng)用發(fā)展。在一個(gè)網(wǎng)絡(luò)應(yīng)用連接中一般包括三部分,即客戶機(jī)、傳輸介質(zhì)和服務(wù)器,VPN同樣由三部分組成,但是VPN連接是以隧道做為傳輸通道的,一般網(wǎng)絡(luò)應(yīng)用是以實(shí)際的物理介質(zhì)做為傳輸通道的。
2.3 VPN關(guān)鍵技術(shù)
由于基于VPN傳輸?shù)氖撬接行畔?,使得?shù)據(jù)安全是使用VPN時(shí)最為關(guān)心的問題。目前VPN使用中主要采用四種技術(shù)來加以保證數(shù)據(jù)安全,這四種技術(shù)主要是隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)等。
“隧道”是指在信源和信宿交換數(shù)據(jù)經(jīng)過公用網(wǎng)傳輸部分的一種邏輯通道,在信源所在局域網(wǎng)和公網(wǎng)的接口處將數(shù)據(jù)做為負(fù)載封裝成一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式,在信宿所在的局域網(wǎng)與公網(wǎng)接口處將數(shù)據(jù)進(jìn)行解封裝,取出負(fù)載數(shù)據(jù)。
因?yàn)閂PN選用的公共網(wǎng)絡(luò),傳輸?shù)臄?shù)據(jù)是加密的,即使從中截取了數(shù)據(jù),也不會(huì)對(duì)數(shù)據(jù)造成不安全。目前加密分為對(duì)稱加密和非對(duì)稱加密。其中對(duì)稱加密是指加密方和解密方的密鑰是相同的,具有加密速度快的優(yōu)勢(shì),根據(jù)加密算法不同,分為DES、3DES、AES等。非對(duì)稱加密方密鑰與解密方密鑰不同,用公鑰加密,用私鑰解密,加密速度慢,但相對(duì)安全,根據(jù)算法不同,典型的算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC等。
VPN系統(tǒng)的客戶端采用基于PKI的數(shù)字證書技術(shù),來完成VPN網(wǎng)關(guān)服務(wù)器和用戶身份的雙向驗(yàn)證。當(dāng)用戶通過VPN客戶端訪問VPN網(wǎng)關(guān)時(shí),客戶端首先驗(yàn)證用戶的數(shù)字證書和相應(yīng)的口令,即雙因子驗(yàn)證,如果驗(yàn)證通過,VPN網(wǎng)關(guān)服務(wù)器則產(chǎn)生對(duì)稱會(huì)話密鑰,并分發(fā)給用戶。同時(shí)采用訪問控制列表模式(ACL),管理員可以方便為VPN用戶分配相應(yīng)權(quán)限,這種方式不僅便于管理,又可防止內(nèi)部失密。
3 構(gòu)建VPN的方法
3.1 VPN種類
3.2 VPN構(gòu)建方法
1)基于IPSec的VPN
IPSec(IP Security)是IP層提供通信安全而制定的一套協(xié)議族,包括安全協(xié)議和密鑰協(xié)商部分,其中安全協(xié)議定義了對(duì)通信的安全保護(hù)機(jī)制,密鑰協(xié)商部分定義了如何為安全協(xié)議協(xié)商保護(hù)參數(shù)以及對(duì)通信實(shí)體的身份鑒別。IPSec主要由認(rèn)證頭協(xié)議(AH)、封裝安全荷載協(xié)議(ESP)和因特網(wǎng)密鑰交換協(xié)議(IKE)組成。AH為IP數(shù)據(jù)包提供無連接的數(shù)據(jù)完整性、數(shù)據(jù)源身份認(rèn)證及防重放攻擊。ESP可以為IP數(shù)據(jù)包提供保密性、完整性、身份認(rèn)證和防重放攻擊保護(hù)等。IKE負(fù)責(zé)密鑰協(xié)商,使得密鑰管理與通信系統(tǒng)之間建立安全關(guān)聯(lián)(SA),產(chǎn)生密鑰材料并協(xié)商IPSec參數(shù)框架,將密鑰協(xié)商結(jié)果保留在SA條目中,供AH和ESP通信使用。
對(duì)于IP數(shù)據(jù)包有兩種工作模式:傳輸模式和隧道模式。采用AH分別對(duì)傳輸模式和隧道模式數(shù)據(jù)包封裝過程如下:其中傳輸模式使用原有的IP報(bào)頭,把AH頭插在IP頭的后面,其認(rèn)證和保護(hù)開銷小但對(duì)IP頭部的可變字段保護(hù)缺乏。對(duì)于隧道模式把IP報(bào)文封裝在新的IP數(shù)據(jù)包中作為新報(bào)文的荷載,然后對(duì)新報(bào)文使用傳輸格式的AH格式封裝,這中模式能夠?qū)Ρ环庋b的報(bào)文提供完全保護(hù),而且可以使用私有地址但是會(huì)產(chǎn)生額外開銷。以AH分別對(duì)兩種模式的數(shù)據(jù)包封裝格式,如圖1所示。
同樣ESP也有兩種對(duì)應(yīng)模式。采用ESP分別對(duì)傳輸模式和隧道模式數(shù)據(jù)包封裝過程如下:對(duì)于傳輸模式仍然使用原有IP報(bào)頭,其中加密范圍自上層報(bào)文至ESP尾,認(rèn)證范圍ESP頭至ESP尾。采用隧道模式時(shí),原IP數(shù)據(jù)包被整個(gè)加密,認(rèn)證范圍不僅包括原IP數(shù)據(jù)包還擴(kuò)展至ESP頭尾。以ESP分別對(duì)傳輸模式和隧道模式數(shù)據(jù)包封裝格式,如圖2所示。
4 中小型企事業(yè)單位可選方案
4.1 中小型企事業(yè)單位對(duì)VPN的需求
綜合中小型企事業(yè)單位特點(diǎn)及實(shí)際發(fā)展情況,這類單位對(duì)信息安全的需求非常重視,但要求VPN的建設(shè)投入要小,能滿足企事業(yè)單位員工在家辦公或出差的需要,見效要快,性能穩(wěn)定,使用靈活,維護(hù)要方便。
4.2 解決方案
從上面的需求分析,中小型企事業(yè)單位對(duì)數(shù)據(jù)傳輸速率及安全性雖有一定的要求,但連接的用戶不會(huì)太多,可以采用下面的備選方案:
1)采用基于現(xiàn)有公共網(wǎng)絡(luò)的VPN撥號(hào)的方式,使用軟件平臺(tái),VPN服務(wù)提供商提供并控制著VPN設(shè)施,用戶不需要增加任何設(shè)備或軟件投資,整個(gè)網(wǎng)絡(luò)都由VPN服務(wù)提供商維護(hù)。
2)租用VPN服務(wù)提供商的虛擬專線,用戶不需要購(gòu)買專用的設(shè)備、軟件,由VPN服務(wù)提供商建立通道并驗(yàn)證。
3)購(gòu)置具有VPN功能的防火墻、路由器并在具體的配置過程中啟動(dòng)VPN服務(wù),一般相應(yīng)的公司產(chǎn)品都有對(duì)應(yīng)的配置手冊(cè)供參考,設(shè)置比較簡(jiǎn)單。
4)在網(wǎng)絡(luò)邊界配置VPN服務(wù)器,將內(nèi)部網(wǎng)與公共網(wǎng)通過VPN服務(wù)器分割開來,需要整體考慮單位內(nèi)部網(wǎng)絡(luò)的規(guī)劃與實(shí)施,配置與維護(hù)相對(duì)有一定的難度。
5 結(jié)論
采用合適的VPN技術(shù)構(gòu)建單位的VPN應(yīng)用方案,實(shí)現(xiàn)單位的內(nèi)部各種應(yīng)用,如辦公系統(tǒng)、MIS系統(tǒng)、郵件系統(tǒng)及財(cái)務(wù)系統(tǒng)等,方便臨時(shí)在家或出差員工的安全移動(dòng)辦公,加快單位的信息化進(jìn)程,提高單位的管理水平,增強(qiáng)單位的生產(chǎn)效率和競(jìng)爭(zhēng)力。
參考文獻(xiàn):
[1] 戴剛.VPN在企業(yè)中的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2010(4):65-67.
[2] 張文艷.用虛擬專用網(wǎng)(VPN)搭建遠(yuǎn)程應(yīng)用系統(tǒng)[J].東北電力技術(shù),2005(11):50-52.
[3] 周世杰.中小企業(yè)網(wǎng)絡(luò)中VPN的實(shí)現(xiàn)[J].計(jì)算機(jī)工程用用技術(shù),2008(4):2891-2892.
[4] 唐俊勇.路由與交換型網(wǎng)絡(luò)基礎(chǔ)與實(shí)踐教程[M].北京:清華大學(xué)出版社,2011.