虚拟专用网VPN的前世今生
开篇:润墨网以专业的文秘视角,为您筛选了一篇虚拟专用网VPN的前世今生范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
(哈尔滨工业大学,黑龙江哈尔滨150001)
摘 要:随着Intemet访问的增加,传统的Intemet接入服务已越来越满足不了用户需求,因为传统的Intemet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,VPN的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施.并增加了企业网络功能.扩大了其专用网的范围。VPN技术已经发展了几个阶段,结合相关阶段的技术进行研究,进而展望下一代VPN技术。
关键词:虚拟专用网;IPSec;SSL;隧道协议
中图分类号:TP393.01 文献标识码:A 文章编号:1009―3044(2007)01―10056-02
1 引言
随着Interact访问的增加,传统的Intemet接入服务已越来越满足不了用户需求,因为传统的Intemet只提供浏览、电子邮件等单一服务,没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,vpn的提出就是来解决这些问题。VPN的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了其专用网的范围。
传统的专用网络往往需要建立自己的物理专用线路,使用昂贵的长途拨号以及长途专线服务;而VPN则是利用公共网络资源和设备建立一个逻辑上的专用通道,尽管没有自己的专用线路,但是这个逻辑上的专用通道却可以提供和专用网络同样的功能。换言之,VPN虽然不是物理上真正的专用网络,但却能够实现物理专用网络的功能。
2 什么是虚拟专用网(VPN)
2.1 VPN的定义
VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接:可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
2.2 VPN的主要技术及特点
VPN具有降低成本、易于扩展、保证安全等优点。VPN作为一种综合的网络安全方案,包含了很多重要的技术,最主要的是采用了密码技术、身份认证技术、隧道技术和密钥管理技术4项技术。
密码技术:包括对称密钥加密和非对称密钥加密。
身份认证技术:采用PKI体系的身份认证。目前常用的方法是依赖于CA(数字证书签发中心)所签发的符合X.509规范的标准数字证书。通信双方交换数据前,需先确认彼此的身份,交换彼此的数字证书,双方将此证书进行比较,只有比较结果正确,双方才开始交换数据;否则,不能进行后续通信。
隧道技术:通过对数据进行封装,在公共网络上建立一条数据通道(隧道),让数据包通过这条隧道传输。生成隧道的协议有多种,包括第二层隧道协议、第三层隧道协议及SSL协议等。
密钥管理技术:在VPN应用中密钥的分发与管理非常重要。密钥的分发有两种方法:一种是通过手工配置的方式.另一种是采用密钥交换协议动态分发。手工配置的方法要求密钥更新不要太频繁,否则管理工作量太大,因此只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,保证密钥在公共网络上安全地传输而不被窃取,适合于复杂网络的情况,而且密钥可快速更新,可以显著提高VPN应用的安全性。目前主要的密钥交换与管理标准有SKIP和ISAKMP(Intemet安全联盟和密钥管理协议)。
3 VPN解决方案的核心技术:第二层隧道技术
第二层隧道协议是在数据链路层进行的,先把各种网络协议封装到PPP包中,再把整个数据包装入隧道协议中,这种经过两层封装的数据包由第二层协议进行传输。第二层隧道协议有以下几种:
L2F(RFC2341,Layer 2 Forwarding)
PPTP(RFC2637,Point-to Point Tunneling Protocol)
L2TP(RFC2661,Layer Two Tunneling Protoe01)
L2F已经过时,很少使用;PPTP在微软的推动与支持下.已经成为一种事实上的工业标准,被广泛实现并已使用很长一段时间,目前夫多数厂家均支持PPTP;L2TP作为下一代的隧道协议.是PPTP和L2F隧道功能的集合,其隧道并不局限于TCP/IP,但是目前仅支持IP。
第二层隧道协议具有简单易行的优点,但是它们的可扩展性都不好。更重要的是,它们都没有提供内在的安全机制.它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求,因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。Extranet需要对隧道进行加密并需要相应的密钥管理机制
4 VPN解决方案的核心技术:第三层隧道技术
4.1第三层隧道技术分类
第三层隧道协议是在网络层进行的.把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层协议有以下几种:
lPSec(JP Security)
GRE(RFC 2784,General Routing Encapsulation)
GRE协议提出较早,有很强封装能力,是一种通用的封装形式。然而,GRE协议既不进行加密.又不进行验证,因此通常与其他协议结合使用,
4.2 IPSec VPN相关说明
1PSee(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。它不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括网络安全协议Authentication Header(AH)协议和Encapsulating SecurityPayload(ESP)协议、密钥管理协议Intemet Key Exchange(IKE)协议和用丁网络验证及加密的一些算法等。
4.2.1 IPSec的功能包括:
(1)作为一个隧道协议实现了VPN通信
(2)保证数据来源可靠(通过认证实现)
(3)保证数据完整性(通过验证算法)
(4)保证数据机密性(通过加密算法)
4.2.2 IPSec的主要不足:
(1)安全性能高,但通信性能较低
因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。
(2)要客户端软件
需要安装客户端软件,但并非所有客户端操作系统均支持IPSec VPN的客户端程序,南于在每一台客户使用的计算机上安装了管理软件.软件补丁的和远程电脑的配置升级将是一件十分令人头疼的任务。在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案巾大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。
(3)安装和维护困难
IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。
(4)采用隧道方式,使远程接人的安全风险增加
由于IPSec VPN在连接的两端创建隧道,提供直接(而非)访问,并对全部网络可视,因此IPSec VPN会增加安全风险。一旦隧道建立,就像用户的PC机在公司局域网内部一样,用户能够直接访问公司全部的应用。
5 新一代VPN解决方案的核心技术:SSL协议
5.1 SSL VPN的定义
现在,Web成为标准平台已势不可挡,越来越多的企业开始将ERP、CRM、SCM移植到Web上。SSL VPN指的是以HTFPS为基础的VPN.但也包括可支持SSL的应用程序。例如,电子邮件客户端程序,如Microsoft Outlook或Eudora。SSL VPN经常被称之“无客户端”.因为目前大多数计算机在出货时,都已经安装了支持HTFP和HTI'PS(以SSL为基础的HTrP)的Web浏览器,所以SSL VPN可以通过Web浏览器实现无客户端的远程访问。目前,SSL已由TLS传输层安全协议(RFC 2246)整合取代,它工作在TCP之上。
5.2 SSL的体系结构设计
SSL是为了利用TCP提供可靠的端到端的安全传输。SSL不是一个单独的协议.而是两层协议,即SSI,记录协议和存记录协议之上的三个子协议.如图2所示。其中,最主要的两个SSL子协议是记录协议和握手协议。
5.3 SSL VPN技术的主要优点
(1)无需安装客户端软件:执行基于SSL协议的远程访问不需要在远程客户端设备上安装软件,只需通过标准的支持SSL的Web浏览器连接因特网。
(2)适用大多数设备:基于Web访问的开放体系可以运行标准的浏览器访问任何设备。
(3)可以穿越防火墙进行访问:基于SSL的远程访问方案中,由于SSI以443通讯端口作为传输通道,它通常是作为WebServer对外的数据传输通道,防火墙是开放此端口的.因此不需要在防火墙上做任何修改,从而减少管理员的困扰,同时也不会降低整个通讯系统的安全性。
(4)维护工作量小,减少费用:对于那些简单远程访问用户(仅需要进入公司内部网站或者进行Email通信),基于SSL的VPN网络可以非常经济地提供远程访问服务,而这也是SSL VPN最适用的场合。
5.4 SSL VPN的不足
上面介绍SSL VPN技术这么多优势,那么为什么现在不是所有用户都使用SSL VPN,且据权威调查机构调查显示目前绝大多部分企业仍采用IPSec VPN呢?SSL VPN的主要不足在哪里呢?
(1)只能有限地支持Windows应用或者其它非Web系统:因为大多数基于SSL的VPN都是基于Web浏览器丁作的,远程用户不能在WindOWS、UNIX、Linux、AS400或者大型系统上进行非基于Web界面的应用。虽然有些SSL提供商已经开始合并终端服务来提供上述非Web应用,但不管如何,目前SSL VPN还未正式提出全面支持.这一技术还有待讨论,也可算是一个挑战。
(2)SSL存在潜在弱点,验证网络服务器身份所使用的数字证书可能会被偷窃或复制。如果两台计算机协商建立新的SSL会话.它们会使用数字证书(SSL证书)来确认对方的身份、交换密钥材料。密钥材料的交换利用网络服务器的公钥(网络服务器的SSL证书私有公钥)对材料进行加密。一收到加密后的材料,网络服务器就用相应的私钥进行解密。
(3)驱动SSL会话所需的任务繁重的密码计算会影响网络服务器的性能。标准的计算机处理器不是为专门的密码处理而设计的。网络服务器的处理器速度、存储器容量、操作系统及网络服务器软件都对决定SSL的整体性能起到重要作用。
6 未来的VPN
随着网络应用的增加,VPN技术将得到越来越广泛的应用。而什么样的VPV能够成为人们最喜爱的vPN呢?一般看来,IPSecVPN和SSL VPN的结合体将是最佳选择。它既要有IPsec的安全性及多功能,又要有SSLVPN的方便的无客户端安装,良好的穿透性,细粒度的访问权限等。VPN技术方兴未艾,让我们跷首祈盼。
注:本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。