楊 春 李 彬(重慶郵電學院 重慶信科設計有限公司,重慶 400065)
【摘要】隨著Internet的廣泛應用,虛擬專用網(VPN)技術越來越受到關注。本文介紹了VPN技術的基本概念、關鍵技術、各種隧道協議及其應用領域,最后分析了VPN的新應用技術VoIP VPN和基于VPN的多播技術。
【關鍵詞】VPN; 隧道協議; Internet; VoIP VPN; 多播;
近年來,隨著Internet的廣泛應用,如何利用Internet的資源來組建企業的虛擬專用網絡(VPN)已成為IT業界的一個新熱點。VPN是通過一個公共網絡建立起來的一個臨時的、安全的連接,它是對企業內部網的擴展。VPN可以幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網建立可信的安全連接,并保證數據的安全可靠傳輸,它從根本上解決了網絡面臨的不安全因素的威脅,大大提高了網絡數據傳輸的安全性、可靠性和保密性。
一、VPN的基本概念
在VPN(Virtual Private Network)即虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的。 虛擬專用網對用戶端透明,用戶好像使用一條專用線路進行通信。
虛擬專用網(VPN)是一個綜合了保密性、安全性及可管理性于一身的解決方案。VPN就是在公共網絡架構上(通常是Internet)利用安全、認證、加密等技術建立企業的專用線路,在降低聯網費用的同時確保信息的安全性、完整性和真實性。VPN可以提供與昂貴的專線(DDN)類似的安全性、可靠性、可管理性和優先級別,可構筑于IP網絡、幀中繼網絡和ATM網絡上。
二、VPN的關鍵技術
目前VPN主要采用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。
(1) 隧道技術:
VPN是在公網中形成企業專用的鏈路,為了形成這樣的鏈路,采用了所謂的“隧道”技術。隧道技術是VPN的基本技術,它是分組封裝(Capsule)的技術,可以模仿點對點連接技術,依靠Internet服務提供商(ISP)和其他的網絡服務提供商(NSP)在公用網中建立自己專用的“隧道”,讓數據包通過這條隧道傳輸。
隧道是一種利用公網設施,在一個網絡之上的“網絡”傳輸數據的方法,被傳輸的數據可以是另一協議的幀。隧道協議用附加的報頭封裝幀,附加的報頭提供了路由信息,因此封裝后的包能夠通過中間的公網。封裝后的包所途經的公網的邏輯路徑稱為隧道。一旦封裝的幀到達了公網上的目的地,幀就會被解除封裝并被繼續送到最終目的地。
(2) 加解密技術:
加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。用于VPN上的加密技術由IPSec的ESP (Encapsulationg Security Payload)實現。主要是發送者在發送數據之前對數據加密,當數據到達接收者時由接收者對數據進行解密的處理過程,算法主要種類包括:對稱加密(單鑰加密)算法、不對稱加密(公鑰加密)算法等。如DES (Data Encryption Standard)、IDEA (International Data Encryption Algorithm)、RSA(發明者Rivest、Shamir和Adleman名字的首字符)。
對于對稱加密算法,通信雙方共享一個密鑰,發送方使用該密鑰將明文加密成密文,接收方使用相同的密鑰將密文還原成明文。對稱加密算法運算速度快。
不對稱加密算法是通信雙方各使用兩個不同的密鑰,一個是只有發送方知道的密鑰,另一個則是與之對應的公開密鑰,公開密鑰不需保密。在通信過程中,發送方用接收方的公開密鑰加密消息,并且可以用發送方的秘密密鑰對消息的某一部分或全部加密,進行數字簽名。接收方收到消息后,用自己的秘密密鑰解密消息,并使用發送方的公開密鑰解密數字簽名,驗證發送方身份。
(3) 密鑰管理技術:
密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。
SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用于公用、私用。
(4) 使用者與設備身份認證技術:
使用者與設備身份認證技術最常用的是用戶名/口令或智能卡認證等方式。
三、VPN隧道協議
隧道協議分為第二、三層隧道協議。它們的本質區別再也用戶的數據包是被封裝在哪一層的數據包在隧道里傳輸。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包靠第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec、GRE等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。
(1) PPTP(Point to Point Tunneling Protocol,點到點隧道協議):PPTP是VPN的基礎。PPTP的封裝在數據鏈路層產生,PPTP協議采用擴展GRE(Generic Routing Encapsulation)頭對PPP/SLIP報進行封裝。所謂擴展GRE頭,即在通常GRE頭中,細化并修改了密鑰字段的利用,并增加了確認、出現位和確認號字段,從而提供了PPTP的流量控制功能。
(2) L2F(Layer 2 forwording):L2F可以在多種介質(如ATM、幀中繼、IP網)上建立多協議的安全虛擬專用網、它將鏈路層的協議(如PPP,HDLC等)封裝起來傳送。因此,網絡的鏈路層完全獨立于用戶的鏈路層協議。
(3) L2TP(Layer 2 Tunneling Protocol):是遠程訪問型VPN今后的標準協議。它結合了PPTP協議和L2F協議的優點,以便擴展功能。其格式基于L2F,信令基于PPTP。這種協議幾乎能實現PPTP和L2F協議能實現的所有服務,并且更加強大、靈活。它定義了利用公共網絡設施(如IP網絡、ATM、幀中繼網絡)封裝傳輸鏈路層PPP幀的方法。
(4) IPSec:是在IP層提供通信安全而提供的一套協議族,是一個開放性的標準框架。IPSec安全協議包括:封裝的安全負載ESP(Encapsulation Securiy Payload)和認證報頭AH(Authentication Header)、ISAKMP(The Internet Security Association & Key Management Protocol),它對所有鏈路層上的數據提供安全保護和透明服務。
AH用于通信雙方能夠驗證數據在傳輸過程中是否被更改并能驗證發方的身份,實現訪問控制、數據完整性、數據源的認證性和重放根據的保護的功能。
ISAKMP主要用于通信雙方協商加密密鑰和加密算法,它是基于D-H的密鑰交換協議,并且用戶的公鑰和私鑰是由可信任第三方TTP(Trusted Third Party)產生的。
ESP 的基本思想是對整個IP包或更高層協議的數據進行封裝,有2種模式:隧道(Tunnel)模式和傳輸(Transport)模式.在隧道模式下,IPSec把IPv4的整個IP包加密后封裝在新的安全IP包的數據段中,并生成一個新的IP包,在傳輸模式下只是將原IP包中的數據進行加密后再發送出去。
(5) 通用路由封裝(GRE, Generic Routing Encapsulation):
GRE規定了怎樣用一種網絡層協議去封裝另一種網絡層協議的方法。GRE的隧道由兩端的源IP地址和目的IP地址來定義。GRE只提供了數據包的封裝,它并沒有加密功能來防止網絡偵聽和攻擊。所有在實際環境中它常和IPSec一起使用,由IPSec提供用戶數據的加密,從而給用戶提供更好的安全性。
四、VPN的應用領域
VPN主要應用在企業內部網Intranet、遠程訪問以企業外部網Extranet,根據這應用領域,VPN大致可分為3類:Intranet VPN、Access VPN與Extranet VPN。
Intranet VPN::即企業的總部與分支機構間通過公網構筑的虛擬網。
Access VPN:是指企業員工或企業的小分支機構通過公網遠程撥號的方式構筑的虛擬網。
Extranet VPN:即企業間發生收購、兼并或企業間建立戰略聯盟后,使不同企業網通過公網來構筑的虛擬網。
五、VPN的新應用技術
5.1 VoIP VPN
許多大型公司及中小型企業都采用基于IP的VPN,來傳送大量的數據業務。但企業中的話音卻是通過另外租用線路來傳送,這種數據與話音業務分別傳送的方式成本很高。因此,話音以數據方式傳輸一直是業界最為關注的技術之一。
一些通信公司如Cisco等,提出了VoIP VPN的解決方案,即利用VoIP技術使企業可以利用IP VPN來傳送話音業務,允許話音傳送就行一種數據業務一樣通過IP網絡。
Cisco推出了一種能夠傳輸話音和視頻業務的IPSec VPN。該方案基于VPN路由器,通過使用服務類型字段對話音和視頻流量作標記,將其顯示為IPSec報頭的一部分發向網絡,使其享有更高的優先級,這樣企業可利用IP電話建立起自己的遠程家庭辦公網絡系統。該系統除具備IP PBX的全部特性外,還有一條安全數據鏈路作備份。
VoIP VPN使企業不必分別為話音和數據建立網絡,大大節省了企業開銷,是一項具有廣泛發展前景的技術。
5.2 基于VPN 的安全多播
多播應用是當今互聯網技術發展的熱點,多播數據傳輸的安全性和可靠性已成為多播技術發展亟待解決的兩個問題。因此有人提出了基于VPN的安全多播技術, 它由安全多播網關和安全多播主機組成,充分利用現有的基于IPSec的VPN系統的體系結構來實現多播數據的安全傳輸, 實現簡單, 結構靈活, 與IPSec兼容。
基于VPN安全多播系統的安全多播網關中有一個網關充當多播組的控制器, 一個網關充當多播組的備份控制器. 組控制器對整個多播組的安全策略進行管理, 備份控制器在主控制器失效時充當多播組的主控制器. 多播報文在安全多播網關之間采用隧道進行傳輸, 在多播安全網關和多播安全主機之間采用多播傳輸.
基于VPN的安全多播系統提高了多播數據傳輸時的安全性和可靠性。
六、結論
隨著網絡技術的發展,計算機網絡的安全保密問題日益嚴峻。虛擬專用網技術對于解決當前網絡通信、資源共享所面臨的威脅和提高網絡通信的保密性、安全性具有重要的現實意義。
參考文獻
[1]、 Steven brown著, 董曉宇,魏鴻,馬潔等譯. 構建虛擬專用網[M]. 人民郵電出版社, 2001.11.
[2]、 Thaddeus Fortenberry 著, 陸建業譯. Windows 2000虛擬專用網[M]. 清華大學出版社, 2001.8.
[3]、 戴宗坤, 唐三平. VPN與網絡安全[M]. 金城出版社,2000.
[4]、劉麗萍, 張文華. VPN中的話音業務[J]. 中國數據通信, 2003.
[5]、黃科烺, 方嬌莉. 基于VPN 的安全多播系統的設計與實現[J]. 昆明理工大學學報, 2003.
