国产91免费_国产精品电影一区_日本s色大片在线观看_中文在线免费看视频

您現(xiàn)在的位置: 通信界 >> 互聯(lián)網(wǎng)絡 >> 技術正文  
 
VPN技術及新應用分析
[ 通信界 / 楊 春  李 彬(重慶郵電學院 重慶信科設計有限公司,重慶 400065) / www.6611o.com / 2006/11/27 9:52:12 ]
 

楊 春  李 彬(重慶郵電學院 重慶信科設計有限公司,重慶 400065)


  【摘要】隨著Internet的廣泛應用,虛擬專用網(wǎng)(VPN)技術越來越受到關注。本文介紹了VPN技術的基本概念、關鍵技術、各種隧道協(xié)議及其應用領域,最后分析了VPN的新應用技術VoIP VPN和基于VPN的多播技術。
  【關鍵詞】VPN; 隧道協(xié)議;  Internet;  VoIP VPN; 多播;
 
  近年來,隨著Internet的廣泛應用,如何利用Internet的資源來組建企業(yè)的虛擬專用網(wǎng)絡(VPN)已成為IT業(yè)界的一個新熱點。VPN是通過一個公共網(wǎng)絡建立起來的一個臨時的、安全的連接,它是對企業(yè)內部網(wǎng)的擴展。VPN可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商與公司的內部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全可靠傳輸,它從根本上解決了網(wǎng)絡面臨的不安全因素的威脅,大大提高了網(wǎng)絡數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃院捅C苄浴?BR>一、VPN的基本概念                   
  在VPN(Virtual Private Network)即虛擬專用網(wǎng)中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 虛擬專用網(wǎng)對用戶端透明,用戶好像使用一條專用線路進行通信。
  虛擬專用網(wǎng)(VPN)是一個綜合了保密性、安全性及可管理性于一身的解決方案。VPN就是在公共網(wǎng)絡架構上(通常是Internet)利用安全、認證、加密等技術建立企業(yè)的專用線路,在降低聯(lián)網(wǎng)費用的同時確保信息的安全性、完整性和真實性。VPN可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優(yōu)先級別,可構筑于IP網(wǎng)絡、幀中繼網(wǎng)絡和ATM網(wǎng)絡上。
二、VPN的關鍵技術
  目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
(1) 隧道技術:
  VPN是在公網(wǎng)中形成企業(yè)專用的鏈路,為了形成這樣的鏈路,采用了所謂的“隧道”技術。隧道技術是VPN的基本技術,它是分組封裝(Capsule)的技術,可以模仿點對點連接技術,依靠Internet服務提供商(ISP)和其他的網(wǎng)絡服務提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”,讓數(shù)據(jù)包通過這條隧道傳輸。
隧道是一種利用公網(wǎng)設施,在一個網(wǎng)絡之上的“網(wǎng)絡”傳輸數(shù)據(jù)的方法,被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報頭封裝幀,附加的報頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地,幀就會被解除封裝并被繼續(xù)送到最終目的地。
(2) 加解密技術:
  加解密技術是數(shù)據(jù)通信中一項較成熟的技術,VPN可直接利用現(xiàn)有技術。用于VPN上的加密技術由IPSec的ESP (Encapsulationg Security Payload)實現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密,當數(shù)據(jù)到達接收者時由接收者對數(shù)據(jù)進行解密的處理過程,算法主要種類包括:對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者Rivest、Shamir和Adleman名字的首字符)。
對于對稱加密算法,通信雙方共享一個密鑰,發(fā)送方使用該密鑰將明文加密成密文,接收方使用相同的密鑰將密文還原成明文。對稱加密算法運算速度快。
不對稱加密算法是通信雙方各使用兩個不同的密鑰,一個是只有發(fā)送方知道的密鑰,另一個則是與之對應的公開密鑰,公開密鑰不需保密。在通信過程中,發(fā)送方用接收方的公開密鑰加密消息,并且可以用發(fā)送方的秘密密鑰對消息的某一部分或全部加密,進行數(shù)字簽名。接收方收到消息后,用自己的秘密密鑰解密消息,并使用發(fā)送方的公開密鑰解密數(shù)字簽名,驗證發(fā)送方身份。
(3) 密鑰管理技術:
  密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。
SKIP主要是利用Diffie-Hellman的演算法則,在網(wǎng)絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。
(4) 使用者與設備身份認證技術:
  使用者與設備身份認證技術最常用的是用戶名/口令或智能卡認證等方式。
三、VPN隧道協(xié)議
  隧道協(xié)議分為第二、三層隧道協(xié)議。它們的本質區(qū)別再也用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包在隧道里傳輸。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中,再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準,由IETF融合PPTP與L2F而形成。
  第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec、GRE等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
  (1) PPTP(Point to Point Tunneling Protocol,點到點隧道協(xié)議):PPTP是VPN的基礎。PPTP的封裝在數(shù)據(jù)鏈路層產(chǎn)生,PPTP協(xié)議采用擴展GRE(Generic Routing Encapsulation)頭對PPP/SLIP報進行封裝。所謂擴展GRE頭,即在通常GRE頭中,細化并修改了密鑰字段的利用,并增加了確認、出現(xiàn)位和確認號字段,從而提供了PPTP的流量控制功能。
  (2) L2F(Layer 2 forwording):L2F可以在多種介質(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)、它將鏈路層的協(xié)議(如PPP,HDLC等)封裝起來傳送。因此,網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議。
  (3) L2TP(Layer 2 Tunneling Protocol):是遠程訪問型VPN今后的標準協(xié)議。它結合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點,以便擴展功能。其格式基于L2F,信令基于PPTP。這種協(xié)議幾乎能實現(xiàn)PPTP和L2F協(xié)議能實現(xiàn)的所有服務,并且更加強大、靈活。它定義了利用公共網(wǎng)絡設施(如IP網(wǎng)絡、ATM、幀中繼網(wǎng)絡)封裝傳輸鏈路層PPP幀的方法。
  (4) IPSec:是在IP層提供通信安全而提供的一套協(xié)議族,是一個開放性的標準框架。IPSec安全協(xié)議包括:封裝的安全負載ESP(Encapsulation Securiy Payload)和認證報頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它對所有鏈路層上的數(shù)據(jù)提供安全保護和透明服務。
  AH用于通信雙方能夠驗證數(shù)據(jù)在傳輸過程中是否被更改并能驗證發(fā)方的身份,實現(xiàn)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認證性和重放根據(jù)的保護的功能。
ISAKMP主要用于通信雙方協(xié)商加密密鑰和加密算法,它是基于D-H的密鑰交換協(xié)議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產(chǎn)生的。
  ESP 的基本思想是對整個IP包或更高層協(xié)議的數(shù)據(jù)進行封裝,有2種模式:隧道(Tunnel)模式和傳輸(Transport)模式.在隧道模式下,IPSec把IPv4的整個IP包加密后封裝在新的安全IP包的數(shù)據(jù)段中,并生成一個新的IP包,在傳輸模式下只是將原IP包中的數(shù)據(jù)進行加密后再發(fā)送出去。
  (5) 通用路由封裝(GRE, Generic Routing Encapsulation):
  GRE規(guī)定了怎樣用一種網(wǎng)絡層協(xié)議去封裝另一種網(wǎng)絡層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義。GRE只提供了數(shù)據(jù)包的封裝,它并沒有加密功能來防止網(wǎng)絡偵聽和攻擊。所有在實際環(huán)境中它常和IPSec一起使用,由IPSec提供用戶數(shù)據(jù)的加密,從而給用戶提供更好的安全性。
四、VPN的應用領域
  VPN主要應用在企業(yè)內部網(wǎng)Intranet、遠程訪問以企業(yè)外部網(wǎng)Extranet,根據(jù)這應用領域,VPN大致可分為3類:Intranet VPN、Access VPN與Extranet VPN。
Intranet VPN::即企業(yè)的總部與分支機構間通過公網(wǎng)構筑的虛擬網(wǎng)。
Access VPN:是指企業(yè)員工或企業(yè)的小分支機構通過公網(wǎng)遠程撥號的方式構筑的虛擬網(wǎng)。
Extranet VPN:即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后,使不同企業(yè)網(wǎng)通過公網(wǎng)來構筑的虛擬網(wǎng)。
五、VPN的新應用技術
 5.1 VoIP VPN
  許多大型公司及中小型企業(yè)都采用基于IP的VPN,來傳送大量的數(shù)據(jù)業(yè)務。但企業(yè)中的話音卻是通過另外租用線路來傳送,這種數(shù)據(jù)與話音業(yè)務分別傳送的方式成本很高。因此,話音以數(shù)據(jù)方式傳輸一直是業(yè)界最為關注的技術之一。
 一些通信公司如Cisco等,提出了VoIP VPN的解決方案,即利用VoIP技術使企業(yè)可以利用IP VPN來傳送話音業(yè)務,允許話音傳送就行一種數(shù)據(jù)業(yè)務一樣通過IP網(wǎng)絡。
 Cisco推出了一種能夠傳輸話音和視頻業(yè)務的IPSec VPN。該方案基于VPN路由器,通過使用服務類型字段對話音和視頻流量作標記,將其顯示為IPSec報頭的一部分發(fā)向網(wǎng)絡,使其享有更高的優(yōu)先級,這樣企業(yè)可利用IP電話建立起自己的遠程家庭辦公網(wǎng)絡系統(tǒng)。該系統(tǒng)除具備IP PBX的全部特性外,還有一條安全數(shù)據(jù)鏈路作備份。
 VoIP VPN使企業(yè)不必分別為話音和數(shù)據(jù)建立網(wǎng)絡,大大節(jié)省了企業(yè)開銷,是一項具有廣泛發(fā)展前景的技術。
 5.2 基于VPN 的安全多播
   多播應用是當今互聯(lián)網(wǎng)技術發(fā)展的熱點,多播數(shù)據(jù)傳輸?shù)陌踩院涂煽啃砸殉蔀槎嗖ゼ夹g發(fā)展亟待解決的兩個問題。因此有人提出了基于VPN的安全多播技術, 它由安全多播網(wǎng)關和安全多播主機組成,充分利用現(xiàn)有的基于IPSec的VPN系統(tǒng)的體系結構來實現(xiàn)多播數(shù)據(jù)的安全傳輸, 實現(xiàn)簡單, 結構靈活, 與IPSec兼容。
  基于VPN安全多播系統(tǒng)的安全多播網(wǎng)關中有一個網(wǎng)關充當多播組的控制器, 一個網(wǎng)關充當多播組的備份控制器. 組控制器對整個多播組的安全策略進行管理, 備份控制器在主控制器失效時充當多播組的主控制器. 多播報文在安全多播網(wǎng)關之間采用隧道進行傳輸, 在多播安全網(wǎng)關和多播安全主機之間采用多播傳輸.
基于VPN的安全多播系統(tǒng)提高了多播數(shù)據(jù)傳輸時的安全性和可靠性。
六、結論
  隨著網(wǎng)絡技術的發(fā)展,計算機網(wǎng)絡的安全保密問題日益嚴峻。虛擬專用網(wǎng)技術對于解決當前網(wǎng)絡通信、資源共享所面臨的威脅和提高網(wǎng)絡通信的保密性、安全性具有重要的現(xiàn)實意義。


參考文獻
[1]、 Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構建虛擬專用網(wǎng)[M]. 人民郵電出版社, 2001.11.
[2]、 Thaddeus Fortenberry 著, 陸建業(yè)譯. Windows 2000虛擬專用網(wǎng)[M]. 清華大學出版社,  2001.8.
[3]、 戴宗坤, 唐三平. VPN與網(wǎng)絡安全[M]. 金城出版社,2000.
[4]、劉麗萍, 張文華. VPN中的話音業(yè)務[J]. 中國數(shù)據(jù)通信, 2003.
[5]、黃科烺, 方嬌莉. 基于VPN 的安全多播系統(tǒng)的設計與實現(xiàn)[J]. 昆明理工大學學報, 2003.

 

作者:楊 春  李 彬(重慶郵電學院 重慶信科設計有限公司,重慶 400065) 合作媒體:四川省通信學會 編輯:顧北

 

 

 
 熱點技術
普通技術 “5G”,真的來了!牛在哪里?
普通技術 5G,是偽命題嗎?
普通技術 云視頻會議關鍵技術淺析
普通技術 運營商語音能力開放集中管理方案分析
普通技術 5G網(wǎng)絡商用需要“無憂”心
普通技術 面向5G應運而生的邊緣計算
普通技術 簡析5G時代四大關鍵趨勢
普通技術 國家網(wǎng)信辦就《數(shù)據(jù)安全管理辦法》公開征求意見
普通技術 《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)直連通信使用5905-5925MHz頻段管理規(guī)定(
普通技術 中興通訊混合云解決方案,滿足5G多元業(yè)務需求
普通技術 大規(guī)模MIMO將帶來更多無線信道,但也使無線信道易受攻擊
普通技術 蜂窩車聯(lián)網(wǎng)的標準及關鍵技術及網(wǎng)絡架構的研究
普通技術 4G與5G融合組網(wǎng)及互操作技術研究
普通技術 5G中CU-DU架構、設備實現(xiàn)及應用探討
普通技術 無源光網(wǎng)絡承載5G前傳信號可行性的研究概述
普通技術 面向5G中傳和回傳網(wǎng)絡承載解決方案
普通技術 數(shù)據(jù)中心布線系統(tǒng)可靠性探討
普通技術 家庭互聯(lián)網(wǎng)終端價值研究
普通技術 鎏信科技CEO劉舟:從連接層構建IoT云生態(tài),聚焦CMP是關鍵
普通技術 SCEF引入需求分析及部署應用
  版權與免責聲明: ① 凡本網(wǎng)注明“合作媒體:通信界”的所有作品,版權均屬于通信界,未經(jīng)本網(wǎng)授權不得轉載、摘編或利用其它方式使用。已經(jīng)本網(wǎng)授權使用作品的,應在授權范圍內使用,并注明“來源:通信界”。違反上述聲明者,本網(wǎng)將追究其相關法律責任。 ② 凡本網(wǎng)注明“合作媒體:XXX(非通信界)”的作品,均轉載自其它媒體,轉載目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點和對其真實性負責。 ③ 如因作品內容、版權和其它問題需要同本網(wǎng)聯(lián)系的,請在一月內進行。
通信視界
華為余承東:Mate30總體銷量將會超過兩千萬部
趙隨意:媒體融合需積極求變
普通對話 苗圩:建設新一代信息基礎設施 加快制造業(yè)數(shù)字
普通對話 華為余承東:Mate30總體銷量將會超過兩千萬部
普通對話 趙隨意:媒體融合需積極求變
普通對話 韋樂平:5G給光纖、光模塊、WDM光器件帶來新機
普通對話 安筱鵬:工業(yè)互聯(lián)網(wǎng)——通向知識分工2.0之路
普通對話 庫克:蘋果不是壟斷者
普通對話 華為何剛:挑戰(zhàn)越大,成就越大
普通對話 華為董事長梁華:盡管遇到外部壓力,5G在商業(yè)
普通對話 網(wǎng)易董事局主席丁磊:中國正在引領全球消費趨
普通對話 李彥宏:無人乘用車時代即將到來 智能交通前景
普通對話 中國聯(lián)通研究院院長張云勇:雙輪驅動下,工業(yè)
普通對話 “段子手”楊元慶:人工智能金句頻出,他能否
普通對話 高通任命克里斯蒂安諾·阿蒙為公司總裁
普通對話 保利威視謝曉昉:深耕視頻技術 助力在線教育
普通對話 九州云副總裁李開:幫助客戶構建自己的云平臺
通信前瞻
楊元慶:中國制造高質量發(fā)展的未來是智能制造
對話亞信科技CTO歐陽曄博士:甘為橋梁,攜"電
普通對話 楊元慶:中國制造高質量發(fā)展的未來是智能制造
普通對話 對話亞信科技CTO歐陽曄博士:甘為橋梁,攜"電
普通對話 對話倪光南:“中國芯”突圍要發(fā)揮綜合優(yōu)勢
普通對話 黃宇紅:5G給運營商帶來新價值
普通對話 雷軍:小米所有OLED屏幕手機均已支持息屏顯示
普通對話 馬云:我挑戰(zhàn)失敗心服口服,他們才是雙11背后
普通對話 2018年大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點示范項目名單出爐 2
普通對話 陳志剛:提速又降費,中國移動的兩面精彩
普通對話 專訪華為終端何剛:第三代nova已成為爭奪全球
普通對話 中國普天陶雄強:物聯(lián)網(wǎng)等新經(jīng)濟是最大機遇
普通對話 人人車李健:今年發(fā)力金融 拓展汽車后市場
普通對話 華為萬飚:三代出貴族,PC產(chǎn)品已走在正確道路
普通對話 共享退潮單車入冬 智享單車卻走向盈利
普通對話 Achronix發(fā)布新品單元塊 推動eFPGA升級
普通對話 金柚網(wǎng)COO邱燕:天吳系統(tǒng)2.0真正形成了社保管