楊 春 李 彬(重慶郵電學院 重慶信科設計有限公司,重慶 400065)
【摘要】隨著Internet的廣泛應用,虛擬專用網(wǎng)(VPN)技術越來越受到關注。本文介紹了VPN技術的基本概念、關鍵技術、各種隧道協(xié)議及其應用領域,最后分析了VPN的新應用技術VoIP VPN和基于VPN的多播技術。
【關鍵詞】VPN; 隧道協(xié)議; Internet; VoIP VPN; 多播;
近年來,隨著Internet的廣泛應用,如何利用Internet的資源來組建企業(yè)的虛擬專用網(wǎng)絡(VPN)已成為IT業(yè)界的一個新熱點。VPN是通過一個公共網(wǎng)絡建立起來的一個臨時的、安全的連接,它是對企業(yè)內部網(wǎng)的擴展。VPN可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商與公司的內部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全可靠傳輸,它從根本上解決了網(wǎng)絡面臨的不安全因素的威脅,大大提高了網(wǎng)絡數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃院捅C苄浴?BR>一、VPN的基本概念
在VPN(Virtual Private Network)即虛擬專用網(wǎng)中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動態(tài)組成的。 虛擬專用網(wǎng)對用戶端透明,用戶好像使用一條專用線路進行通信。
虛擬專用網(wǎng)(VPN)是一個綜合了保密性、安全性及可管理性于一身的解決方案。VPN就是在公共網(wǎng)絡架構上(通常是Internet)利用安全、認證、加密等技術建立企業(yè)的專用線路,在降低聯(lián)網(wǎng)費用的同時確保信息的安全性、完整性和真實性。VPN可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優(yōu)先級別,可構筑于IP網(wǎng)絡、幀中繼網(wǎng)絡和ATM網(wǎng)絡上。
二、VPN的關鍵技術
目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
(1) 隧道技術:
VPN是在公網(wǎng)中形成企業(yè)專用的鏈路,為了形成這樣的鏈路,采用了所謂的“隧道”技術。隧道技術是VPN的基本技術,它是分組封裝(Capsule)的技術,可以模仿點對點連接技術,依靠Internet服務提供商(ISP)和其他的網(wǎng)絡服務提供商(NSP)在公用網(wǎng)中建立自己專用的“隧道”,讓數(shù)據(jù)包通過這條隧道傳輸。
隧道是一種利用公網(wǎng)設施,在一個網(wǎng)絡之上的“網(wǎng)絡”傳輸數(shù)據(jù)的方法,被傳輸?shù)臄?shù)據(jù)可以是另一協(xié)議的幀。隧道協(xié)議用附加的報頭封裝幀,附加的報頭提供了路由信息,因此封裝后的包能夠通過中間的公網(wǎng)。封裝后的包所途經(jīng)的公網(wǎng)的邏輯路徑稱為隧道。一旦封裝的幀到達了公網(wǎng)上的目的地,幀就會被解除封裝并被繼續(xù)送到最終目的地。
(2) 加解密技術:
加解密技術是數(shù)據(jù)通信中一項較成熟的技術,VPN可直接利用現(xiàn)有技術。用于VPN上的加密技術由IPSec的ESP (Encapsulationg Security Payload)實現(xiàn)。主要是發(fā)送者在發(fā)送數(shù)據(jù)之前對數(shù)據(jù)加密,當數(shù)據(jù)到達接收者時由接收者對數(shù)據(jù)進行解密的處理過程,算法主要種類包括:對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發(fā)明者Rivest、Shamir和Adleman名字的首字符)。
對于對稱加密算法,通信雙方共享一個密鑰,發(fā)送方使用該密鑰將明文加密成密文,接收方使用相同的密鑰將密文還原成明文。對稱加密算法運算速度快。
不對稱加密算法是通信雙方各使用兩個不同的密鑰,一個是只有發(fā)送方知道的密鑰,另一個則是與之對應的公開密鑰,公開密鑰不需保密。在通信過程中,發(fā)送方用接收方的公開密鑰加密消息,并且可以用發(fā)送方的秘密密鑰對消息的某一部分或全部加密,進行數(shù)字簽名。接收方收到消息后,用自己的秘密密鑰解密消息,并使用發(fā)送方的公開密鑰解密數(shù)字簽名,驗證發(fā)送方身份。
(3) 密鑰管理技術:
密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。
SKIP主要是利用Diffie-Hellman的演算法則,在網(wǎng)絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。
(4) 使用者與設備身份認證技術:
使用者與設備身份認證技術最常用的是用戶名/口令或智能卡認證等方式。
三、VPN隧道協(xié)議
隧道協(xié)議分為第二、三層隧道協(xié)議。它們的本質區(qū)別再也用戶的數(shù)據(jù)包是被封裝在哪一層的數(shù)據(jù)包在隧道里傳輸。第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中,再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標準,由IETF融合PPTP與L2F而形成。
第三層隧道協(xié)議是把各種網(wǎng)絡協(xié)議直接裝入隧道協(xié)議中,形成的數(shù)據(jù)包依靠第三層協(xié)議進行傳輸。第三層隧道協(xié)議有VTP、IPSec、GRE等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統(tǒng)來提供安全協(xié)議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
(1) PPTP(Point to Point Tunneling Protocol,點到點隧道協(xié)議):PPTP是VPN的基礎。PPTP的封裝在數(shù)據(jù)鏈路層產(chǎn)生,PPTP協(xié)議采用擴展GRE(Generic Routing Encapsulation)頭對PPP/SLIP報進行封裝。所謂擴展GRE頭,即在通常GRE頭中,細化并修改了密鑰字段的利用,并增加了確認、出現(xiàn)位和確認號字段,從而提供了PPTP的流量控制功能。
(2) L2F(Layer 2 forwording):L2F可以在多種介質(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)、它將鏈路層的協(xié)議(如PPP,HDLC等)封裝起來傳送。因此,網(wǎng)絡的鏈路層完全獨立于用戶的鏈路層協(xié)議。
(3) L2TP(Layer 2 Tunneling Protocol):是遠程訪問型VPN今后的標準協(xié)議。它結合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點,以便擴展功能。其格式基于L2F,信令基于PPTP。這種協(xié)議幾乎能實現(xiàn)PPTP和L2F協(xié)議能實現(xiàn)的所有服務,并且更加強大、靈活。它定義了利用公共網(wǎng)絡設施(如IP網(wǎng)絡、ATM、幀中繼網(wǎng)絡)封裝傳輸鏈路層PPP幀的方法。
(4) IPSec:是在IP層提供通信安全而提供的一套協(xié)議族,是一個開放性的標準框架。IPSec安全協(xié)議包括:封裝的安全負載ESP(Encapsulation Securiy Payload)和認證報頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它對所有鏈路層上的數(shù)據(jù)提供安全保護和透明服務。
AH用于通信雙方能夠驗證數(shù)據(jù)在傳輸過程中是否被更改并能驗證發(fā)方的身份,實現(xiàn)訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)源的認證性和重放根據(jù)的保護的功能。
ISAKMP主要用于通信雙方協(xié)商加密密鑰和加密算法,它是基于D-H的密鑰交換協(xié)議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產(chǎn)生的。
ESP 的基本思想是對整個IP包或更高層協(xié)議的數(shù)據(jù)進行封裝,有2種模式:隧道(Tunnel)模式和傳輸(Transport)模式.在隧道模式下,IPSec把IPv4的整個IP包加密后封裝在新的安全IP包的數(shù)據(jù)段中,并生成一個新的IP包,在傳輸模式下只是將原IP包中的數(shù)據(jù)進行加密后再發(fā)送出去。
(5) 通用路由封裝(GRE, Generic Routing Encapsulation):
GRE規(guī)定了怎樣用一種網(wǎng)絡層協(xié)議去封裝另一種網(wǎng)絡層協(xié)議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義。GRE只提供了數(shù)據(jù)包的封裝,它并沒有加密功能來防止網(wǎng)絡偵聽和攻擊。所有在實際環(huán)境中它常和IPSec一起使用,由IPSec提供用戶數(shù)據(jù)的加密,從而給用戶提供更好的安全性。
四、VPN的應用領域
VPN主要應用在企業(yè)內部網(wǎng)Intranet、遠程訪問以企業(yè)外部網(wǎng)Extranet,根據(jù)這應用領域,VPN大致可分為3類:Intranet VPN、Access VPN與Extranet VPN。
Intranet VPN::即企業(yè)的總部與分支機構間通過公網(wǎng)構筑的虛擬網(wǎng)。
Access VPN:是指企業(yè)員工或企業(yè)的小分支機構通過公網(wǎng)遠程撥號的方式構筑的虛擬網(wǎng)。
Extranet VPN:即企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯(lián)盟后,使不同企業(yè)網(wǎng)通過公網(wǎng)來構筑的虛擬網(wǎng)。
五、VPN的新應用技術
5.1 VoIP VPN
許多大型公司及中小型企業(yè)都采用基于IP的VPN,來傳送大量的數(shù)據(jù)業(yè)務。但企業(yè)中的話音卻是通過另外租用線路來傳送,這種數(shù)據(jù)與話音業(yè)務分別傳送的方式成本很高。因此,話音以數(shù)據(jù)方式傳輸一直是業(yè)界最為關注的技術之一。
一些通信公司如Cisco等,提出了VoIP VPN的解決方案,即利用VoIP技術使企業(yè)可以利用IP VPN來傳送話音業(yè)務,允許話音傳送就行一種數(shù)據(jù)業(yè)務一樣通過IP網(wǎng)絡。
Cisco推出了一種能夠傳輸話音和視頻業(yè)務的IPSec VPN。該方案基于VPN路由器,通過使用服務類型字段對話音和視頻流量作標記,將其顯示為IPSec報頭的一部分發(fā)向網(wǎng)絡,使其享有更高的優(yōu)先級,這樣企業(yè)可利用IP電話建立起自己的遠程家庭辦公網(wǎng)絡系統(tǒng)。該系統(tǒng)除具備IP PBX的全部特性外,還有一條安全數(shù)據(jù)鏈路作備份。
VoIP VPN使企業(yè)不必分別為話音和數(shù)據(jù)建立網(wǎng)絡,大大節(jié)省了企業(yè)開銷,是一項具有廣泛發(fā)展前景的技術。
5.2 基于VPN 的安全多播
多播應用是當今互聯(lián)網(wǎng)技術發(fā)展的熱點,多播數(shù)據(jù)傳輸?shù)陌踩院涂煽啃砸殉蔀槎嗖ゼ夹g發(fā)展亟待解決的兩個問題。因此有人提出了基于VPN的安全多播技術, 它由安全多播網(wǎng)關和安全多播主機組成,充分利用現(xiàn)有的基于IPSec的VPN系統(tǒng)的體系結構來實現(xiàn)多播數(shù)據(jù)的安全傳輸, 實現(xiàn)簡單, 結構靈活, 與IPSec兼容。
基于VPN安全多播系統(tǒng)的安全多播網(wǎng)關中有一個網(wǎng)關充當多播組的控制器, 一個網(wǎng)關充當多播組的備份控制器. 組控制器對整個多播組的安全策略進行管理, 備份控制器在主控制器失效時充當多播組的主控制器. 多播報文在安全多播網(wǎng)關之間采用隧道進行傳輸, 在多播安全網(wǎng)關和多播安全主機之間采用多播傳輸.
基于VPN的安全多播系統(tǒng)提高了多播數(shù)據(jù)傳輸時的安全性和可靠性。
六、結論
隨著網(wǎng)絡技術的發(fā)展,計算機網(wǎng)絡的安全保密問題日益嚴峻。虛擬專用網(wǎng)技術對于解決當前網(wǎng)絡通信、資源共享所面臨的威脅和提高網(wǎng)絡通信的保密性、安全性具有重要的現(xiàn)實意義。
參考文獻
[1]、 Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構建虛擬專用網(wǎng)[M]. 人民郵電出版社, 2001.11.
[2]、 Thaddeus Fortenberry 著, 陸建業(yè)譯. Windows 2000虛擬專用網(wǎng)[M]. 清華大學出版社, 2001.8.
[3]、 戴宗坤, 唐三平. VPN與網(wǎng)絡安全[M]. 金城出版社,2000.
[4]、劉麗萍, 張文華. VPN中的話音業(yè)務[J]. 中國數(shù)據(jù)通信, 2003.
[5]、黃科烺, 方嬌莉. 基于VPN 的安全多播系統(tǒng)的設計與實現(xiàn)[J]. 昆明理工大學學報, 2003.
