论文部分内容阅读
摘要:本文阐述了VPN(VirtualPrivateNetwork)的要领和关键技术,介绍了VPN技术的发展过程。对比了基于帧中继的VPN,基于ATM的VPN,基于口的VPN和MPLS-VPN技术的优缺点。安全问题是VPN的核心问题,VPN使用四个方面的技术保证了通信的安全性,这四项技术分别是隧道技术(Tuunneling、加解密技术(Encryption&Decryption)ryption&Decryption)、密钥管理技术(KeyManagement)、用户与设备身份认证技术(Authenti-cation)。隧道技术为用户提供无缝的(Seamless)、安全的、端到端的连接服务,确保信息资源的安全。VPN技术的关键是隧道技术。本文还详尽描述了IPSec协议的原理,分析了现有的IP-Sec协议族。把IPSec协议分成了IKE、AH、ESP协议三个部分,并且描述了各个协议模块以及它们之间的关系。其中介绍了安全联盟(SA)的要领和作用。最后通过与传统网络的比较,分析了VPN的特点,提出了基于VPN的连锁企业网的解决方案。
关键词:虚拟专用网;IPSec;MPLS(多协议标记交换);隧道技术;连锁企业网
1、引言
随着经济全球化和市场竞争的日益激烈,信息化管理将成为连锁企业参与现代竞争的必要手段之一。连锁企业各营业部的跨地区的地理分布以及其众多的、变化的供货商,成为其网络化信息管理的主要难题。传统的方法是采用专用网,但由于专用网的专用性和严格性,其费用也非常昂贵。而且一旦建成专用网,要在其上增加新的站点、合作伙伴或獲得广泛的国际连接都将需要巨大的工程量和投入。另外,专用网的升级也比较复杂。随着Internet的不断发展,由于其方便快捷,于是利用Inter-net这样的公共网络来传输私有数据就可以节省大量费用。但是TCP/IP协议没有任何的安全性,所有的数据都以明文的形式在Internet上传输,数据随时可能会被网络入侵者窃取或修改,这对于一个企业来说是极其危险的。因此,数据在传输过程中必须被加密,接收方和发送方通过一个虚拟的安全隧道来传输信息,这就是虚拟专用网(VPN)技术。
2、VPN技术
2.1VPN简介
虚拟专用网(virtual Private Network,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。VPN可分为三大类:(1)企业各部门与远程分支之间的IntranetVPN;(2)企业网与远程(移动)雇员之间的远程访问(RemoteAccess)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。
对于VPN的定义有很多说法,但是都基于这样一种思想:VPN利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。从定义上看,VPN首先是虚拟的,但是,VPN同时又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN在类型与应用方式上有访问虚拟专网(Access VPN)、企业内部虚拟专网(IntranetVPN)和扩展的企业内部虚拟专网(Extranet VPN)之分。
2.2VPN的要求
2.2.1安全性
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranct VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可信的认证机制。
2.2.2性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Intcrnet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
2.2.3管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。
2.2.4互操作
在Extranet VPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPointTunnelingProtocol,PPTP)、第二层隧道协议(Layer2 Tunneling Protocol,L2TP)等。
2.3VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.3.1VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。
2.3.2隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Rout-ing Encapsulation,GRE)L2TP和PPTP。
2.3.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
2.3.4QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
4、结束语
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器、交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。
关键词:虚拟专用网;IPSec;MPLS(多协议标记交换);隧道技术;连锁企业网
1、引言
随着经济全球化和市场竞争的日益激烈,信息化管理将成为连锁企业参与现代竞争的必要手段之一。连锁企业各营业部的跨地区的地理分布以及其众多的、变化的供货商,成为其网络化信息管理的主要难题。传统的方法是采用专用网,但由于专用网的专用性和严格性,其费用也非常昂贵。而且一旦建成专用网,要在其上增加新的站点、合作伙伴或獲得广泛的国际连接都将需要巨大的工程量和投入。另外,专用网的升级也比较复杂。随着Internet的不断发展,由于其方便快捷,于是利用Inter-net这样的公共网络来传输私有数据就可以节省大量费用。但是TCP/IP协议没有任何的安全性,所有的数据都以明文的形式在Internet上传输,数据随时可能会被网络入侵者窃取或修改,这对于一个企业来说是极其危险的。因此,数据在传输过程中必须被加密,接收方和发送方通过一个虚拟的安全隧道来传输信息,这就是虚拟专用网(VPN)技术。
2、VPN技术
2.1VPN简介
虚拟专用网(virtual Private Network,VPN)是一种“基于公共数据网,给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用,而且提供了比传统方法更强的安全性和可靠性。VPN可分为三大类:(1)企业各部门与远程分支之间的IntranetVPN;(2)企业网与远程(移动)雇员之间的远程访问(RemoteAccess)VPN;(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。
对于VPN的定义有很多说法,但是都基于这样一种思想:VPN利用公共网络基础设施,通过一定的技术手段,达到类似私有专网的数据安全传输。从定义上看,VPN首先是虚拟的,但是,VPN同时又具有专线的数据传输功能,因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN在类型与应用方式上有访问虚拟专网(Access VPN)、企业内部虚拟专网(IntranetVPN)和扩展的企业内部虚拟专网(Extranet VPN)之分。
2.2VPN的要求
2.2.1安全性
VPN提供用户一种私人专用(Private)的感觉,因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranct VPN中,要有高强度的加密技术来保护敏感信息;在远程访问VPN中要有对远程用户可信的认证机制。
2.2.2性能
VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高,但在Intcrnet时代,随着电子商务活动的激增,网络拥塞经常发生,这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台,管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能,又不会“饿死”,低优先级的应用。
2.2.3管理问题
由于网络设施、应用不断增加,网络用户所需的IP地址数量持续增长,对越来越复杂的网络管理,网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸,因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法,将安全政策进行分布,并管理大量设备。
2.2.4互操作
在Extranet VPN中,企业要与不同的客户及供应商建立联系,VPN解决方案也会不同。因此,企业的VPN产品应该能够同其他厂家的产品进行互操作。这就要求所选择的VPN方案应该是基于工业标准和协议的。这些协议有IPSec、点到点隧道协议(PointtoPointTunnelingProtocol,PPTP)、第二层隧道协议(Layer2 Tunneling Protocol,L2TP)等。
2.3VPN的实现技术
VPN实现的两个关键技术是隧道技术和加密技术,同时QoS技术对VPN的实现也至关重要。
2.3.1VPN访问点模型
首先提供一个VPN访问点功能组成模型图作为参考。其中IPSec集成了IP层隧道技术和加密技术。
2.3.2隧道技术
隧道技术简单的说就是:原始报文在A地进行封装,到达B地后把封装去掉还原成原始报文,这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装(Generic Rout-ing Encapsulation,GRE)L2TP和PPTP。
2.3.3加密技术
数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息,使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱,但是保护免于非专业人士的攻击已经足够了;DES和三次DES强度比较高,可用于敏感的商业信息。
2.3.4QoS技术
通过隧道技术和加密技术,已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定,管理上不能满足企业的要求,这就要加入QoS技术。实行QoS应该在主机网络中,即VPN所建立的隧道这一段,这样才能建立一条性能符合用户要求的隧道。
4、结束语
基于公共网的VPN通过隧道技术、数据加密技术以及QoS机制,使得企业能够降低成本、提高效率、增强安全性。VPN产品从第一代:VPN路由器、交换机,发展到第二代的VPN集中器,性能不断得到提高。在网络时代,企业发展取决于是否最大限度地利用网络。VPN将是企业的最终选择。