VPN及其隧道技术

VPN及其隧道技术（精选7篇）

VPN及其隧道技术 篇1

1 VPN的概念

VPN, 即虚拟专用网 (Virtual Private Network) , 它指的是一种依靠ISP和其它NSP, 在公用网络中建立专用的数据通信网络的技术。通过对网络数据的特殊封包和加密传输, 在一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 从而实现在公网上传输私有数据、达到私有网络的安全级别。在虚拟专用网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公众网的资源动态组成的。IETF草案理解的基于IP的VPN为:“使用IP机制仿真出一个私有的广域网”, 即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。

通常, VPN是对企业内部网的扩展, 通过它可以帮助远程用户、公司分支机构、商业伙伴以及供应商同公司的内部网建立可信的安全连接, 并保证数据传输的安全。VPN可用于不断增长的移动用户的全球因特网接入, 以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路, 以便经济有效地连接到商业伙伴和公司分支机构。

2 VPN的原理

VPN通过公众IP网络建立了私有数据传输通道, 将远程的分支办公室、商业伙伴、移动办公人员等连接起来, 减轻了企业的远程访问费用负担、节省电话费用开支, 并且提供了安全的端到端的数据通讯。

常规的直接拨号连接与虚拟专网连接的异同点在于:在前一种情形之中, PPP (点对点协议) 数据包流是通过专用线路传输的;在VPN中, PPP数据包流是由一个LAN上的路由器发出, 通过共享IP网络上的隧道进行传输, 再到达另一个LAN上的路由器。

这两者的关键不同点是隧道代替了实实在在的专用线路。隧道好比是在WAN中拉出一根串行通信电缆。那么, 如何形成VPN隧道呢?

建立隧道有两种主要的方式:客户启动 (Client-Initiated) 或客户透明 (Client-Transparent) 。客户启动要求客户和隧道服务器 (或网关) 都安装隧道软件。后者通常都安装在公司中心站上。通过客户软件初始化隧道, 隧道服务器中止隧道, ISP可以不必支持隧道。客户和隧道服务器只需建立隧道, 并使用用户ID和口令或用数字许可证鉴权。一旦隧道建立, 就可以进行通信了, 如同ISP没有参与连接一样。

另一方面, 如果希望隧道对客户透明, ISP的POPS就必须具有允许使用隧道的接入服务器以及可能需要的路由器。客户首先拨号进入服务器, 服务器必须能识别这一连接要与某一特定的远程点建立隧道, 然后服务器与隧道服务器建立隧道, 通常使用用户ID和口令进行鉴权。这样客户端就通过隧道与隧道服务器建立了直接对话。尽管这一方针不要求客户有专门软件, 但客户只能拨号进入正确配置的访问服务器。

3 VPN的隧道技术

VPN技术比较复杂, 它涉及到通信技术、密码技术和现代认证技术, 是一项交叉科学。具体来讲, 目前VPN主要采用下列四项技术来保证其安全, 这四项技术分别是隧道技术 (Tunneling) 、加解密技术 (Encryption&Decryption) 、密钥管理技术 (Key Management) 、使用者与设备身份认证技术 (Authentication) 。

隧道技术是VPN的基本技术, 类似于点对点连接技术, 它在公用网中建立一条数据通道 (隧道) , 让数据包通过这条隧道传输。隧道技术的基本工作原理是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式之中, 在目的局域网与公网的接口处将数据解封装, 取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。

要使数据顺利地被封装、传送及解封装, 通信协议是完成此任务的关键。目前VPN的隧道协议可大致分为第二层次的隧道协议PPTP、L2F、L2TP和第三层次的隧道协议GRE、IPSec等。它们的本质区别在于用户的数据包是被封装在哪种数据包里面从而在隧道中进行传输的。无论哪种隧道协议都是由传输的载体、不同的封装格式以及被传输数据包组成的, 传输协议被用来传送封装协议;封装协议被用来建立、保持和拆卸隧道, Cisco产品支持几种封装协议, 包括L2F、L2TP、GRE协议等;而乘客协议是被封装的协议, 它们可以是PPP、SLIP等。隧道协议的组成如图1所示:

3.1 PPTP———点对点隧道协议

PPTP协议由Microsoft、Ascend和3Com公司开发, 它的分组不但能在IP上传送, 也能在IPX、Apple Talk上传送。PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机, 如启动了该协议的Windows XP;PPTP服务器是指运行该协议的服务器, 如启动了该协议的Windows Server服务器。PPTP可看作是PPP协议的一种扩展, 它提供了一种在Internet上建立多协议的安全虚拟专用网的通信方式, 远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。

通过PPTP, 客户可采用拨号方式接入公共IP网络———Internet。拨号客户首先按常规方式拨号到ISP的接入服务器 (NAS) , 建立PPP连接;在此基础上, 客户进行二次拨号建立到PPTP服务器的连接, 该连接称为PPTP隧道, 实质上是基于IP协议上的另一个PPP连接, 其中的IP包可以封装多种协议数据, 包括TCP/IP、IPX和Net BEUI。PPTP采用了基于RSA公司RC4的数据加密方法, 保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接, 可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户, 但用户需要在其PC机上配置PPTP, 这样做就增加了用户的工作量也会造成一定的网络安全隐患。

3.2 L2F———第二层转发协议

L2F (Layer 2 Forwarding Protocol) 是由Cisco公司提出的可以在多种介质如ATM、Frame Relay、IP网上建立多协议的虚拟专用网的隧道协议。远端用户能够透过任何拨号方式接入公共IP网络, 首先按常规方式拨号到ISP的接入服务器 (NAS) , 建立PPP连接;NAS根据用户名等信息, 发起第二重连接, 通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。但是, L2F不支持流控;要求每个用户端局域网有专用的网关, 费用较高。

3.3 L2TP———第二层隧道协议

L2TP结合了PPTP和L2F的优点, 可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。

L2TP的主要作用是将PPP接入由本地扩展到远端, 向用户提供经济的远程ISP接入和企业网接入, 是IP VPN中极为重要的协议。L2TP支持多种协议, 用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址;L2TP还解决了多个PPP链路的捆绑问题, 使物理上连接到不同NAS的PPP链路, 在逻辑上的终结点为同一个物理设备。

L2TP主要由LAC (L2TP Access Concentrator) 和LNS (L2TP Network Server) 构成 (网络结构如图2所示) , LAC (L2TP接入汇接点) 支持客户端的L2TP, 它用于发起呼叫、接收呼叫和建立隧道;LNS (L2TP网络服务器) 是所有隧道的终点。

在ISP接入情况下, LAC对应本地NAS, LNS对应为ISP, 拨号用户通过PSTN/ISDN接入本地的LAC后, 可以通过隧道接入所选择的ISP。在VPN情况下, LAC对应为NAS或ISP, LNS对应为企业网网关, 拨号用户或路由器可通过隧道直接接入企业网, 成为企业网的一个虚拟用户。LAC和LNS就是隧道的两个端点, 期间运行L2TP协议。

LNS和LAC经由L2TP组成了分布式广域接入系统。一个LAC可以建立多个隧道接入不同的LNS, 一个LNS也可以经多个LAC接入。在给定的一对LAC和LNS之间可以根据需要建立多条隧道, 隧道的物理传送媒体可以是UDP/IP、ATM或FR等。每条隧道内包含两类信道:控制信道和数据信道。相应地, L2TP消息也分为两类:控制消息和数据消息。其中, 控制消息的作用是建立、维护和释放隧道和会话, 在控制信道上发送;数据消息的作用就是封装PPP帧, 在数据信道上传送。L2TP协议的操作包括三个过程:隧道建立、会话建立和PPP帧的封装前转, 相应的隧道结构及呼叫和会话情况如图3所示。

L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件, 企业可以使用未注册的IP地址, 并在本地管理认证数据库, 从而降低了使用成本和培训维护费用。

与PPTP和L2F相比, L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输, L2TP使用Nr (下一个希望接受的消息序列号) 和Ns (当前发送的数据包序列号) 字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区, 一旦数据丢失根据序列号可以进行重发。

4 结束语

实现VPN的隧道技术多种多样, 它们各有各的优势, 本文主要讨论了L2TP隧道技术。

目前的一种趋势是将L2TP和IPSec结合起来用L2TP作为隧道协议, 用IPSec协议保护数据。现在, 市场上大部分VPN采用这类技术。

参考文献

[1]郭世满, 马蕴颖, 郭苏宁.宽带接入技术及应用[M].北京:北京邮电大学出版社, 2006.

[2]李征.接入网与接入技术[M].北京:清华大学出版社, 2003.

[3]李明琪.宽带接入网络[M].北京:科学出版社, 2002.

[4]郝辉, 钱华林.VPN及其隧道技术研究[J].微电子学与计算机, 2004, 21 (11) :47-51.

VPN及其隧道技术 篇2

Internet在给我们带来极大方便的同时,也带来了安全方面的问题。网络存在很多不安全因素,如口令猜测、地址欺骗、TCP盗用等,难以保证企业或组织机构内部信息的安全。为了保证数据在网络传输时的安全,传统的解决方案是建立企业的专网,可以保证其安全性并具有一定程度的可靠性,但成本太高,并且浪费资源;同时也无法满足随时随地的接入要求;更重要的是扩展性不好,不方便新用户的接入,这些特性决定了它不可能广泛地应用到各种企业。

于是,虚拟专用网(Virtal Private Network)应运而生。VPN即虚拟专用网,是一条穿过混乱的公用网络的安全、稳定的隧道。通过对网络数据的封包和加密传输,依靠ISP(Internet服务提供者)和其他NSP(网络服务提供者)在一个公用网络(通常是因特网)建立一个临时的、安全的连接,从而实现在公网上传输私有数据、达到私有网络的安全级别,通常,VPN是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。

VPN技术主要采用了四项技术:隧道技术、密钥管理技术、访问控制技术和用户认证技术,在VPN的关键技术中,最重要的是安全隧道技术,下面重点探讨隧道技术。

2 隧道技术

2.1 隧道技术基础

隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过互联网络传递。在目的局域网和公网的接口处将数据解封装,取出负载。

被封装的数据包在隧道的两个端点之间通过公共网络的传输协议(如TCP/IP)在公共互联网络中传输。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点,数据将被解包并转发到最终目的地。隧道技术是指包括数据封装,传输和解包在内的全过程,如图1所示。

隧道所使用的传输网络可以是任何类型的公共互联网络,本文主要以目前普遍使用Internet为例进行说明。

2.2 隧道协议

为创建隧道,隧道的客户机和服务器双方必须使用相同的隧道协议。隧道协议是隧道技术的核心,基于不同的隧道协议所实现的VPN是不同的。典型的隧道协议主要包括:PPTP,L2TP(Layer 2 Tunnelling protocol)以及IPSec等协议。

隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联(OSI)的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层,使用帧作为数据交换单位。PPTP,L2TP都属于第2层隧道协议,都是将数据封装在点对点协议(PPP)帧中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层,使用包作为数据交换单位。IPSec隧道模式就属于第3层隧道协议,都是将IP包封装在附加的IP包头中通过IP网络传送。

其中,封装协议被用来建立、保持和拆卸隧道,包括L2TP等协议。而乘客协议是被封装的协议,例如PPP协议。传输协议被用来传送封装协议,IP是一种常见的传输协议。如果用户想通过Internet将其分公司网络连接起来,但网络环境是IPX,这时用户就可以使用IP作为传输协议,通过封装协议封装IPX的数据包,然后就可以在Internet网上传递IPX数据。

2.2.1 PPP点对点协议

因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP,IPX包封装在PPP帧内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS(网络连接存储)。

PPP拨号会话过程可以分成4个不同的阶段:创建PPP链路,使用链路控制协议(LCP)创建,维护或终止一次物理连接;用户验证,客户会通过PC将用户的身份证明发给远端的接入服务器,使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接;PPP回叫控制,该阶段在完成验证之后使用回叫控制协议(CBCP),即验证之后,远程客户和NAS之间的连接将会被断开,然后NAS使用特定的电话号码回叫远程客户,进一步保证了拨号网络的安全性;调用网络层协议,调用在链路创建阶段选定的各种网络控制协议,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。

一旦完成上述4阶段的协商,PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内,该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商,数据将会在被传送之间进行压缩。类似的,如果如果已经选择使用数据加密并完成了协商,数据(或被压缩数据)将会在传送之前进行加密。

2.2.2 PPTP点对点隧道协议

PPTP将PPP(Point-to-Point Protocol)帧封装在IP数据包中,通过IP网络如Internet及其他企业专用Intranet等发送。通过点对点隧道协议,远程用户可以通过Microsoft Windows NT Workstation、Windows 95操作系统以及其它支持点对点协议(PPP)的系统拨号连接到Internet服务提供者(ISP),然后再通过Internet与它们的公共网连接。

PPTP支持Client-LAN型隧道。通过利用PPP所采用的身份验证、数据加密与协议配置机制,PPTP连接提供了一种通过诸如Internet这样的公共网络针对远程访问与路由器到路由器虚拟专用网络(VPN)创建安全连接的有效方式。PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据帧通过隧道传送,可以对封装PPP帧中的负载数据进行加密或压缩。

2.2.3 L2TP二层隧道协议

L2TP是一种网络层协议,可以让用户从客户端或访问服务器端发起VPN连接,支持封装的PPP帧在IP,帧中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。

但在安全性方面,L2TP仅仅定义了控制包的加密传输方式,对传输中的数据并不加密。因此,L2TP并不能满足用户对安全性的需求,如果需要安全的VPN,则需要使用IPSec协议。

PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:

a)PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道;

b)L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节;

c)L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。

2.2.4 IPSec协议

IPSec是第3层的协议标准,是一组开放的网络安全协议总称,在IP层提供访问控制、数据来源验证及数据流分类加密等服务。IPSec包括认证头(AH)和报文安全封装协议(ESP)两个安全协议。AH(Authentication header)是报文验证头协议,主要提供数据来源验证、数据完整性验证等功能;ESP(Encapsulating Security Payload)是封装安全载荷协议,除具有AH协议的功能之外还提供对IP报文的加密功能。

IPSec协议提供了如何使敏感数据在开放的网络(如Internet)中传输的安全机制,它工作在网络层,主要为设备(如路由器)之间的数据安全传输提供保护,并对数据进行加密和数据收发方的身份验证。IPSec协议可以设置成两种运行模式:隧道模式和传输模式。在隧道模式下,它把IP数据包封装在安全的IP帧中;而传输模式是为了保护端到端的安全性,不会隐藏路由信息。

一个IPSec隧道由一个隧道客户和隧道服务器组成,两端都配置使用IPSec隧道技术,采用协商加密机制。为实现在专用或公共IP网络上的安全传输,IPSec隧道模式使用安全方式封装和加密整个IP包,然后对加密的负载再次封装在IP包头内通过网络发送到隧道服务器端,隧道服务器对收到的数据包进行处理,去除IP包头,对内容进行解密之后,获得最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

IPSec隧道模式具有以下功能和局限:

a)只能支持IP数据流;

b)工作在IP栈的底层,因此,应用程序和高层协议可以继承IPSec的行为;

c)由一个安全策略进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时,双方机器执行相互验证,然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密,然后封装在隧道包头内。

d)使用该模式需要较大的系统开销。

3 结束语

实现VPN的技术多种多样,其中一种趋势是将L2TP和IPSec结合起来:用L2TP作为隧道协议,用IPSec协议保护数据。目前,市场上大部分VPN采用这类技术。

虚拟专用网(VPN)是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一,可以使企业减少对昂贵租用线路和复杂远程访问方案的依赖性。VPN不但是一种组网技术,还是一种网络安全技术。因此,VPN可作为远程访问和网络互联的高效低价,安全可靠的解决方案,而且由于集灵活性、安全性、经济性以及可扩展性于一身,可充分满足企业分支机构、移动办公安全通信、校园网的远程访问等的需求。

参考文献

[1]Davis Carlton.VPN的安全实施[M].清华大学出版社,2002.

[2]谢杨.虚拟专用网VPN系列讲座[J].计算机世界,2002[1].

基于隧道的VPN技术应用 篇3

1 VPN技术

1.1 VPN的概念

VPN是虚拟专用网(Virtual Private Network)的简称,它是虚拟的,不是实际存在的物理的网络。它依靠ISP(Internet Service Provider,互联网服务提供商)或NSP(Network Services Provider,网络服务提供商),在公用网络中建立专用的数据通信网络的技术。它是通过对公共通信信道进行逻辑分割来进行的,通过对网络传输数据的打包和加密传输,在公共网络中建立一个安全可靠的连接,从而实现在公共网上传输专用数据,达到专用网络的安全级别。它实现了在公用网上传输专用数据的目的,达到了虚拟专用网的效果。VPN网络的连接示意图如下图所示。

1.2 VPN的分类

根据VPN的使用功能和应用类型,可以分为:组建内联网(Intranet VPN)、远程访问(Access VPN)与组建外联网(Extranet VPN),它们拥有各自的特点,但大多数情况下是同时用到这三种类型的网络,尤其是对于规模比较大的企业。

Intranet VPN是指机构的总部与它的分支机构通过VPN进行网络连接,这是跨地区的大中型企业机构采用的方式。它通过公用的网络进行连接,所有的分支结构都具有网络的访问权限。整个企业或机构通过在公用网络上采用VPN技术,组建整个企业或机构的内部虚拟专用网络。

Access VPN是拨号的VPN,指的是通过远程拨号的方式建立起来的虚拟网络。用户通过VPN技术在任意时间和地点采用拨号、DSL、ISDN等与机构总部建立连接,实现访问,前提是用户必须在自己的设备上安装相应的VPN软件。

Extranet VPN是指为了提供给企业或结构外部的客户访问权限,让其在不影响企业内部网络安全的前提下,快捷方便的访问企业所提供的有效的信息资源。

根据实现技术,VPN可以分为网络层VPN、链路层VPN、传输层VPN和应用层VPN。这几种VPN技术是基于不同的网络层级进行划分的。

1.3 VPN的优点

VPN的出现和应用,解决了许多企业和机构面临的一个难题,即如何在有限的时间和网络费用投入条件下,提供较高的网络性能。与耗费较大的专网相比,VNP具有以下的优点:

1)节约了成本,由于利用了公共的网络进行组网,不用专门建设网络,节省了网络建设的费用。

2)具有较好的扩展性,当新增访问结点时,只需要在新节点处增设客户端设备,就可以方便快捷的加入网络。

3)安全可靠,VPN技术所提供的主要是安全,通过可靠的加密技术,在网络中传输的数据具有隐蔽和不易被篡改的特点。

正是由于以上的优点,VPN在各种企业和机构中被越来越多的采用。

2 隧道技术

2.1 隧道概念

隧道,指的是一种封装技术,利用公共的网络进行数据的传输。将一种协议X的数据包经过隧道封装后再经过另一种协议Y进行传输,实现了协议X对公共网络的透明性。

它是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息,以便通过互联网传递被封装的负载数据。

这里所说的隧道类似于点到点的连接。这种方式能够使来自许多信息源的网络业务在同一个基础设施中通过不同的隧道进行传输。隧道技术使用点对点通信协议代替了交换连接,通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络。

通过隧道的建立,可实现:将数据流强制送到特定的地址;隐藏私有的网络地址;在IP网上传递非IP数据包;提供数据安全支持。

2.2 隧道协议

隧道是通过隧道协议建立的,隧道技术使用隧道协议来封装和传输数据。为了创建隧道,隧道的客户端和服务器必须使用相同的隧道协议。隧道技术可分为第2层或第3层。第2层隧道协议对应于OSI模型的数据链路层,第3层隧道协议对应于OSI模型的网络层。

无论是哪种隧道协议,都由传输载体、不同的封装格式以及被传输的数据包组成,以L2TP为例,隧道协议的组成如下图所示。

目前IP隧道协议大致分两类:数据链路层的第二层隧道协议,包括PPTP,L2F以及L2TP协议;应用在网络层的第三层隧道协议,包括GRE,IPsec,IP in IP以及MPLS协议。

1)L2F,提供“虚拟拨号”服务,并且可以在多种介质上建立多协议的安全虚拟专用网络。

2)PPTP,提供PPTP客户机和PPTP服务器之间的加密通信。

3)L2TP,它结合了L2F和PPTP的优点,允许用户从客户端建立VPN连接。

4)GRE,它只提供了数据包的封转,没有防网络侦听和攻击的加密功能可以与IPsec一起使用,由IPsec为用户数据的加密,给用户提供更好的安全服务。

5)IPsec,规定了加密和认证的算法。最后,解释域通过一系列命令、算法、属性和参数连接所有的IPSec组文件。

6)IP in IP,用IP分组封装IP分组的协议,目的是解决在移动IP环境下实现移动主机与其本地代理之间的通信。

7)MPLS,它采用了标签交换路径技术,也就是基于链路控制的隧道技术。

上述的各种隧道协议各有各的优点和缺点,表1对其常用的集中进行了对比。

3 基于隧道的VPN技术应用

在办公自动化的大背景下,无论是企业、事业单位还是政府部门,都需要使其内部资源得到有效而可靠的利用,这就需要本文所介绍的VPN技术,而隧道技术作为VPN技术中的重要基础,必须选择与VPN相适应的隧道协议。

经过长期的发展,VPN技术已经日益成熟和实用,但针对隧道协议的选择和构建还没有统一的意见。不同的隧道协议在不同的应用要求背景下,与VPN相结合,能够发挥其最大的优势。

下面是VPN技术的几种应用:

远程访问VPN,它可以实现企业个人对企业网络的远程访问。传统的远程访问方式是建立一个远程访问服务器,用户通过电话网络拨号接入系统,这种方式需要支付拨号费,且速度慢,不能保证数据安全。远程访问VPN通过在用户和VPN之间建立一个安全的隧道,通过隧道远程访问内部网,既安全方便又节约了费用。下图是远程访问的VPN结构示意图。

点到点的内联网VPN,它可以解决同一机构的两个不同点之间的安全可靠数据传输。避免了原有的专线通信,不需要专门的物理通信线路,并且在增加和删除站点时,只需要更改配置,增加或删除VPN隧道,就可以实现要求,方便灵活。图4是其示意图。

4 结束语

VPN技术的应用随着网络技术的发展而不断增多,由于其比其他通信方式相比,不仅价格低廉,而且耗能提供可靠的安全性。隧道技术是VPN技术实现的一大重要途径,也是VPN领域的一个新的研究方向,能够有效提高VPN构建的安全性、灵活性和可扩展性,解决不同网络服务提供商、不同安全域之间的互连问题,得到了越来越广泛的重视。基于隧道的VPN技术将在各个领域得到越来越广泛的应用。

参考文献

[1]王达.虚拟专用网(VPN)精解[M].北京:清华大学出版社,2005.

[2]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展,2010,20(2):156-159.

[3]郝辉,钱华林.VPN及其隧道技术研究[J].微电子学与计算机,2004,21(11):47-51.

[4]韩儒博,邬钧霆,徐孟春.虚拟专用网络及其隧道实现技术[J].微计算机信息,2005,21(8):1-3.

VPN及其隧道技术 篇4

1 VPN技术概述

VPN(Virtual Private Network)就是虚拟专用网的代称。它其实就是在虚拟网络(Virtual Network)技术手段中结合了专用网络(Private Network)的搭建原理,结合二者的长处而形成的一种综合统一体。是对专用网络的延伸,在公共网络中建立的安全网络连接。虚拟网络要求建立在现有物理网络上,且独立于现有物理网络的一种具体结构,而虚拟网络用户查看虚拟网络可以预定义动态网络。

搭建VPN的目的是以较低的费用开销,实现位于不同物理地点的内部网络或用户之间的安全通信。这类网络一般具有五大特点:

(1)费用低。远程操作通过向本地ISP注册帐户,用户可以将其作为到内部专用网络的隧道登录到Internet。这样,可以大大节省通讯和通信的成本。

(2)保障安全。安全保障是VPN的一项基本功能,所有VPN必须确保网络黑客和攻击者们无法窃听和篡改在其上传输的数据,且还要防止传送的资源或私有信息不会被非法用户访问。

(3)服务质量保证。受到不同用户和业务对服务质量要求不同的原因影响,网络应用必须也要具备根据不同需求而能提供不同等级服务的能力。加之广域网络在信号传递过程中缺乏有效科学的管理机制,导致了带宽的利用率不高等现象。在流量通过高峰期极易造成网络阻塞,而在某些时期又会产生大量的空闲时段。有了服务质量保证,则可以事先分配好带宽资源传输的优先级别,保证流量预测与控制策略的科学,预防阻塞的发生。

(4)可扩展性和灵活性。可扩展性和灵活性是VPN网络必须具有的特征,它要求在使用过程中支持不同类型的数据流,同时还能很方便的增加新的分支。一种网络方案是否具备灵活性和可扩展性是评价其优劣成败的一个重要指标。

(5)可管理性。VPN要求网络管理功能应支持从LAN到WAN的无缝扩展,这就需要一个完善的管理系统。VPN的重要管理目标就是减小网络风险、提高可扩展性、经济和可靠性等,主要包含了设备、安全、配置、访问控制和服务质量保证等方面。

2 隧道技术

其实,VPN技术的一种最基本体现就是隧道技术。他与于点对点的连接技术有很多异曲同工之妙。它主要是通过封装实现一种协议传输于另一种协议之中。使用隧道技术可以在公用网络上建立一条安全的数据通道,并通过这种专用网络的方式让数据包完成传输,以实现虚拟的专用网络,从而达到保障目标协议的安全性。

隧道由隧道协议形成。现有的隧道协议一共可以分为四类,即第二层隧道协议、第三层隧道协议、介于第二、三层之间的隧道协议和第三层与应用层之间的SSL VPN隧道协议。VPN隧道协议作为IP层的下一层,主要负责将VPN IP进行分组封装;同时,隧道协议作为公用IP网的一种特定形式,还要利用公网的IP协议将封装的VPN分组进行传输。隧道协议的分层位置效果大致如下图所示。

此外,隧道协议的实现方式还存在多种可能。根据工作的层次划分,可分为二层隧道协议和三层隧道协议。其中,二层协议主要应用于构建拨号VPN(Access VPN),用于传输二层网络协议。而用来传输第三层网络协议的三层隧道协议则常用于构建内部网VPN(Intranet VPN)和外联网。

3 两种隧道技术的特征分析

当前,为了解决基于互联网的远程安全接入和安全互联等问题,企业或组织机构在建设VPN时大多采用IPSec VPN和SSL VPN两种技术。这两种技术除了在安全性、便利性和实际需求等方面有所差异以为,在连接环境及优势等方面也各有千秋。

1)IPSec VPN的适用特征

IPSec(IP Securrity)的功能类似于包过滤防火墙的作用,也是对接收到的IP包进行规则匹配。所不同的是包过滤防火墙是根据规则表里的规则进行匹配,而IPSec是与安全策略库中的条目进行匹配。然后根据所匹配条目中规定的策略对收到的IP包执行转发、丢弃或进行IPSec操作。一般情况下,构建基于IPSec的VPN需要IPSec基本协议、安全策略数据库(SPD)、安全关联数据库(SADB)、Internet密钥交换协议(IKE)和策略与安全关联管理组件等五个部分相互配合。各组件之间的交互关系如下图所示。

2)SSL VPN的适用特征

目前大多数远程访问解决方案都是采用基于IPSec VPN技术。但是据不完全的统计发现。接近九层的企业和机构均只是利用这种技术实现的内部网络与外部之间的连接进行电子邮件通信和Internet访问。而实际上,选择SSL VPN技术可以更为简单的实现这些应用。它是采用IPSec VPN技术实现远程接入方式的另一种有益补充。

SSL协议是基于可靠传输服务的通用安全协议,常用于保障Web应用的安全。它在应用程序协议与TCP/IP之间建立了一种有效的安全机制,用以保证数据交换的安全。它不但能够就加密算法、会话密钥以及安全连接的认证方式等进行协商、生成共享密钥,而且还能为基于TCP/IP连接的客户机/服务器之间提供服务器认证、数字技术加密、信息完整性监测及对可选的客户机实施认证等服务,保障相关应用程序间通信的机密性和完整性。

4 两种技术的适用环境分析

1)IPSec VPN适用环境分析

即可用于构建远程访问VPN,又可用于构建网关到网关VPN,比较适合于拥有较多分支机构的企业或组织,且数据比较敏感,安全要求级别高。这种类型的机构,可通过VPN隧道技术对其总部与各个分支机构之间进行连接,用以保障大容量数据的传输安全。而对于移动办公的员工,则可采用远程访问VPN连接总部或分支机构。而这类办公员工的移动设备一般都要求必须配置相应的防火墙和防病毒软件等,以防止对内部网络造成安全威胁。

与SSL VPN相比,IPSec VPN技术在构建远程访问VPN时具有几个不利的因素:

(1)需要配置,使用不太方便。安装和使用对操作者的技术要求高。

(2)需要特定的客户端支持。由于SSL协议几乎支持所有的浏览器,所以用SSL VPN可直接通过浏览器使用内嵌的SSL协议完成。

(3)兼容性不够好。虽然现在手提电脑、PDA、智能手机等一系列移动终端设备已经广泛流行,成为一种主要的办公手段。但它在技术的更新上还没有同步到支持这类移动用户的接入应用。

2)SSL VPN适用环境分析

相对于IPSec VPN来说,虽然SSL VPN具有一些显著的优势,但其不足也是值得我们探究。其优点包括无需客户端软硬件、适用于大多数设备和操作系统、支持对网络驱动器的访问、具有良好的安全性和可以绕过防火墙与代理服务器进行访问等。其不足之处也可归纳为以下三个方面:

(1)认证方式单一。SSL VPN的认证只能通过证书完成,而且在版本1和2之间只能进行单向认证。同时,由于采用数字证书认证,需要CA的支持,而证书的管理是比较复杂的。

(2)应用局限性大。SSL VPN的应用主要基于Web浏览器,采用反向代理技术访问内部网络,仅提供对Web应用的远程访问,不能实现网关到网关的VPN。对非Web系统和新的、复杂的Web技术则只能提供有限的支持。

(3)只能提供有限的安全保障给访问资源。在基于SSL协议的网络下运用VPN通过Web浏览器进行通信时,它只能对通信双方共有部分的应用通道进行加密,而并不支持加密到两个主机之间的所有通道。而且,SSL的数字签名行为不支持于应用层,且SSL VPN的加密级别也还达不到IPSec VPN的加密标准。

此外,SSL VPN也只适用于机构远程点对网访问VPN,而无法用于构建网关到网关VPN。

5 总结

对于VPN网络中隧道技术的成功搭建,仿佛让我们回到了本地局域网一样操控我们工作的时代。虽然对于一些如视频同步、语音广播和传真等实时性极强的业务,目前的广域网数据传输还存在着一些有待完善的地方,但随着VPN技术应用中更多难题的攻克,很多问题都能在新技术的实践中变得迎刃而解。更大带宽及光纤的使用可以让传输速度更加得快,完全能够满足一般的数据库存取、文件传输甚至语音和传真业务等实时性强的应用。对于一般的、实时性不强的应用则更加得游刃有余。

摘要：本文从企业在网络应用中对于安全性的需求角度出发,对VPN中两种常用隧道技术的特征和适用环境进行了分析。尤其通过对其两种技术的安全性、便利性、可操作性和数据传输等实际环境的配置要求等进行论述,从而深刻理解到IPSec VPN和SSL VPN在企业网络搭建过程中,对于企业网络运营选择所起到至关重要的作用。

关键词：VPN,隧道,适用特征,环境

参考文献

[1]田园.网络安全教程[M].北京:人民邮电出版社,2009.

[2]程思,程家兴.VPN中的隧道技术研究[J].计算机技术与发展,2010(2).

[3]赵登科.基于L2TPIPSec构建远程访问型VPN[J].中国商界,2010(210).

VPN及其隧道技术 篇5

一、VPN简介

虚拟专用网 (VPN) 被定义为通过一个公用网络 (通常是因特网) 建立一个临时的、安全的连接, 是一条穿过混乱的公用网络的安全、稳定的隧道。在虚拟专网中, 任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是利用某种公共网的资源动态组成的。VPN技术采用存取控制、机密性、数据完整性等措施, 保证信息在传输过程中的机密性、完整性和可用性, 可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接, 并保证数据的安全传输。

二、基于MPLS的VPN技术

1、MPLS

MPLS (多协议标记交换) 使用标签 (Label) 进行转发, 一个标签是一个短的、长度固定的数值, 由报文的头部携带, 不含拓扑信息, 只有局部意义。MPLS包头的结构包含20比特的标签, 3比特的EXP, 1比特的S, 8比特的TTL。MPLS是一种特殊的转发机制, 它通过MPLS信令建立好MPLS标记交换通道 (LSP) , 数据转发时, 在网络入口对报文进行分类, 根据分类结果选择相应的LSP, 打上相应的标签, 中间路由器在收到MPLS报文以后直接根据MPLS报头的标签进行转发。在LSP出口 (或倒数第二跳) , 弹出MPLS标签, 还原为IP包。

2、基于MPLS的VPN实现

如上图所示, MPLS/VPN的实现主要包含以下组件:

PE:骨干网边缘路由器, 使用静态路由、RIPv2、OSPF或EBGP与CE路由器交换路由信息。CE:用户网边缘路由器, 是一台IP路由器, 它与直接连接的PE路由器建立邻接关系。P:骨干网核心路由器, 负责MPLS转发, 只维护到供应商PE路由器的路由。VRF:虚拟路由转发表, 它包含同一个Site相关的路由表、转发表、接口、路由实例和策略等。

在提供基于MPLS体系结构的VPN服务时, 首先要定义并配置VRF。MPLS/VPN主干网中每个PE路由器与需要从特定VPN接收路由的站点相连, 因此PE路由器必须包含该VPN相关的VRF。每个PE路由器都有一个唯一的标识符, 然后使用IGP在整个P网络中传播该标识符。每个P路由器都给该主机路由指定一个标签, 并将相应的标签传播给其每个邻居。最后, 其他所有PE路由器都通过MPLS标签分发进程收到一个与该出口PE路由器关联的标签。当入口PE路由器收到出口PE路由器标签后, 便可以开始交换VPN分组了。然而, 收到VPN分组后, 没有任何信息告诉出口PE路由器该分组的目的地位于哪个VPN中, 为使VPN站点之间的通信是唯一的, 引入了另一组标签。每个PE路由器都在每个VRF中为每个路由分配一个唯一的标签。现在, MPLS/VPN网络便可以转发VPN分组了。入口PE路由器收到VPN分组后, 将检查相应的VRF, 并取得出口PE路由器关联给目标地址的标签。从转发表获得另一个标签 (它指向出口PE路由器) 。这两个标签被合并到MPLS标签栈中, 加入到VPN分组的前面, 并被发送到出口PE路由器。网络中所有的P路由器都只根据栈顶的标签来交换VPN分组, 栈顶标签指向出口PE路由器。由于这种常规MPLS转发规则, P路由器将不会查看非栈顶标签, 因此对第二个标签以及通过网络运载的VPN分组一无所知。出口PE路由器收到被标记的分组, 丢弃第一个标签, 并查找第二个标签, 该标签唯一的标识了目标VRF。如果需要, 将在目标VRF中查找, 并将分组发送到合适的CE路由器。

目前, MPLS/VPN利用公用骨干网络强大的传输能力, 降低了企业内部网络接入Internet的建设成本, 极大地提高了用户网络运营和管理的灵活性, 同时满足了用户对信息传输安全性、实时性、宽频带和方便性的需要, 相信MPLS/VPN技术在未来的应用将会有更好的前景。

参考文献

[1]赵斌:《MPLS和VPN体系结构CCIP版》, 人民邮电出版社, 2003年。

VPN技术及其未来应用发展方向 篇6

VPN是Virtual Private Network的简称, 是当前刚刚新兴的一种网络技术, 通过VPN, 能够借助公用网安全地实现对企业网络内部的远程访问。网络连接包含三部分, 一是客户机, 二是传输介质, 三是服务器, VPN同样是由上述三部分构成, 不过与一般网络连接不同的是, VPN在进行网络连接所使用的传输通道是隧道, 它是基于专用网络与公共网络而进行创建的。

VPN不仅拥有公众网的诸多优势:功能丰富而强大, 还拥有专用网的很多特点:高效而灵敏, VPN是一种处于上述两种网络之间的一种特殊网络, VPN在充分应用当前资源的基础上, 为客户提供低成本、高灵活的网络连接方式, 降低工具、人力资源以及管理方面的支出以及通信支出。最近几年, 电子商务以及互联网的持续发展, 在很大程度上推动了VPN技术的应用与发展。

VPN可以分为三种, 一是远程访问虚拟网;二是企业内部虚拟网;三是企业扩展虚拟网, 上述三种网络分别对应之前应用的远程访问网络、企业内部网络、企业网及联系企业网所形成的Evxtrantet。

2 VPN的运作机制

虚拟网络连接和直接拨号连接之间既有共同点也有不同点, 在直接拨号连接中, PPP数据包流是借助专用线路实现信息传输的;在VPN中, PPP数据包流首先通过LAN运行的路由器进行发出, 在借助共享IP网络上拥有的隧道实现传输至LAN路由器的目标。两者之间所存在的典型差异在于专用线路被隧道取而代之。

一般而言, 往往通过两种不同方法创建隧道, 一是客户启动方式, 二是客户透明方式。如果选择客户启动方式, 那么客户与相关隧道服务器全部安装隧道软件, 服务器上的隧道软件基本上在企业核心站上进行安装的。利用客户软件对隧道进行初始化设置, 通过用户ID、口等方式获取许可证鉴权。隧道创建成功之后就能够实现正常通信功能。如果选择客户透明方式, 那么ISP中的PSPS就需要拥有支持隧道接入的服务器以及路由器, 客户拨号之后连接服务器, 在进行识别验证之后, 服务器与某个远程带点形成隧道服务器, 它与服务器就可以创建隧道, 一般会通过用户口令获取许可证鉴权, 那么客户端就能够在此基础上创建直接对话, 该启动方式需要客户拨号进而与正确的服务器相连接。

拨号VPN也被称作VDPN, 能够为远程办公用户、移动用户实现企业网的远程方案, 该方式是VPN当前应用比较普遍的一种方式, 它是运行在L2F协议之上的。VDPN能够支持来自不同领域的用户借助公共网络实现连接企业内部网络的目标。

3 VPN技术的未来应用发展方向

现在VPN基本上集中应用在两个方向, 方向一:Internet或者其他公用网络中的某一个部分, 通过该行业所汇聚的信息资源连接网络;方向二:内部网络应用, 为该行业和系统内部进一步实现办公自动化提供便捷服务。在上述两个应用中都是通过Internet或者相关公共网络技术中的IP实现数据传输功能。

当前在不同专业网中所应用的2种模式中, 第一种应用的具体实现步骤为:通过网络属性和信息资源的供给对象, 选择距离最近的本地的中国公用计算机互联网或者是中国公众多媒体通信网, 这样就无需使用DDN专线, 只要在域名设定和信息主页研发制定过程中进行统一设计即可, 对其形象进行统一设定, 把宝贵的人力资源应用于信息资源发掘与深度加工方面。第二种应用的具体实现步骤为:择距离最近的本地的中国公用计算机互联网或者是中国公众多媒体通信网, 通过先进的VPN技术实现不同区域之间的数据传输与通信, 并且充分发挥中国公用计算机互联网的高速通信通道创建一个为自己所用的内部网络。

上述文中所介绍的具体应用流程也能够在企业不同区域中实现数据信息的传输与通信。VPN技术自身具有众多优势, 在未来发展过程中, 会用一个非常明朗的发展前景与应用前景, 具体应用流程并不是非常难, 企业一般通过软件更新、升级就能够把现在应用设备进一步升级成拥有VPN功能的相关设备。如果公司当前所应用的网络是基于路由器进行运行的, 或者安装防火墙提高安全系数, 那么就可以以此为基础实现对应的VPN。

因为VPN技术主要是通过隧道通信和加密方式而实现的, 此类任务定会使得数据包的数量得到进一步提升, 网络硬件的运行负荷也会有所提升。研究数据显示, 如果应用VPN技术, 网络数据流量会有所提升, 通常会提升百分之三十, 并且会影响网络的运行速度。因此可以尝试通过应用专用的VPN设备实现隧道通信和加密目标。还有一种方法是通过网络运营商提供的VPN设备实现道通信和加密目标。此时, 企业与网络运营商会通过专业的帧中继实现连接功能, 网络运营商中的路由器上安装隧道终端器, 在此需要企业网络中心的RADIUS服务器与网络运营商的安全服务器共同协作增强安全系数, 使得安全性能得到很大程度的提升, 需要明确的是, 在应用VPN技术时, 网络运营服务商和企业之间需要合理分配工作、共同完成目标。

在应用VPN技术时, 一定要充分考虑企业的实际发展状况与特点, 因为VPN技术是通过多种不同协议而实现的, 所以要选择合适的协议, 并且要结合当前企业系统中已经使用的协议, 在两者协调配合的基础上选择最佳应用协议。在VPN技术应用中, 最关键的技术是加密密钥技术, 这就要对加密方式和密钥长度进行合理选取, 在网络运作负荷方面和安全性能方面实现均衡发展。

4 结论

现在对VPN技术的应用还只是局限于和路由器、防火墙之间的简单连接, 但是现在随着企业的发展, 需求持续增多、VPN技术不断提升, 它还有很多功能与性能需要改进与完善, 最终演化为一组互相联系的网络应用。

摘要：随着信息技术的不断发展, 作为一种虚拟网络应用技术--VPN技术, 在近些年来得到的广泛的应用, 在本文中, 首先对VPN技术概念性信息进行介绍与说明, 并且在深入分析其工作原理的基础上对VPN技术的未来发展应用进行分析与讨论。

关键词：VPN技术,工作原理,应用分析

参考文献

VPN及其隧道技术 篇7

(1) 窃听攻击。一般情况下, 绝大多数网络通信是利用公共网络资源进行信息交互存在不安全隐患, 攻击者通过获取数据通信路径, 就可以“窃听”或者“解读”数据流, 引起通信信息外泄、危及敏感数据安全

(2) 中间者攻击。中间者攻击主要对通信对象的通信过程以及通信数据进行监视、截取和控制, 对数据交换进行重定向, 使用网络低层协议的通信两端的主机是很难区分出不同的通信对象。

(3) 流量数据分析攻击。“流量数据分析”攻击是通过检查IP包中的网络流量, 分析谁正在参与交互通信、使用何种服务、推测出信息交互者之间的关系等方式, 通过检查包的未加密字段或未加保护包的属性进行攻击。

2 VPN 的安全关键技术

目前, VPN主要采用四项技术来保证安全, 这四项技术分别是隧道技术、加密技术、密钥管理技术和身份认证技术

(1) 隧道技术。网络隧道技术在不改变网络标准的条件下, 利用公共网络来实现某些使用特别通信协议的网络或用户之间的连接和通信, 是一种利用可路由协议 (如IP协议) 在网络中传送其他协议数据包到目标网络的技术。目前, 通常采用封装普通组播数据报的办法, 将报头、校验和以及有效负载组成的组播数据报转换 (封装) 成源路由IP数据报。源路由IP数据报有不同的报头结构, 并可以容纳完全的组播数据报, 在封装时, 最终目标和源路由器的IP地址被插入到数据报的报头中。然后使用IP协议可用的算法对数据报进行传输, 并且通过路由器发送, 直到到达最终的目标路由器。当数据包到达最终目标路由器时, 它进行解包, 源路由报头被删除, IP地址由原来的组播IP地址代替, 然后将数据报提交给目标网络中的相应主机。

(2) 加密技术。目前VPN中均采用对称加密体制和公钥加密体制相结合的方法。对称加密体制的通信双方共享一个密钥, 发送方使用该密钥将明文加密成密文, 接受方使用相同的密钥将密文还原成明文。公钥加密体制, 也称非对称加密体制。在通信过程中, 发送方用接收方的公开密钥加密消息, 并且可以用发送方的秘密密钥对信息加密, 进行数字签名。接收方收到消息后, 用自己的秘密密钥解密消息, 并使用发送方的公开密钥解密数字签名, 验证发送方身份。数据加密技术按照不同的形式有不同的分类方法, 贯穿于整个信息存储、传输、鉴别和管理的全过程。

(3) 密钥管理技术。密钥管理技术的主要任务是保障公用数据网上传递密钥的安全。1) 对称密钥管理。数据发送方可以为每次交换的信息生成唯一一把对称密钥并用公开密钥对该密钥进行加密, 然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的数据接收方。2) 公开密钥管理/数字证书。目前电了商务广泛采用数字证书技术, 通信双方之间可以使用数字证书 (公开密钥证书) 来交换公开密钥, 标识通信双方。

(4) 身份认证技术。身份认证技术是网络安全中最直接、最前沿的一道防线, 是鉴别合法用户与非法用户重要手段, 用户在使用网络安全系统, 首先必须向身份认证系统表明自己的身份, 经过身份认证系统识别确认身份后, 根据用户身份、权限级别决定能否访问某个资源或者进行某项操作, 在允许并监督经过授权的操作同时防止非法操作, 是防止黑客入侵和计算机病毒破坏的重要手段, 在信息安全中占有非常重要的地位。目前, 身份确认技术的发展越来越受到人们的重视, 根据层次和先后出现的顺序, 主要包括一般常用的静态口令、一次性口令、数字证书和生物特征技术等等。

3 VPN 技术的优点

(1) 降低成本, VPN利用了现有的Internet组建虚拟专网, 不需要使用重新敷设专用的线路就能实现数据安全的传输, 实现了资源共享, 降低了通信成本。

(2) 易于扩展, 采用VPN只需在结点处架设VPN设备, 就可利用Internet建立安全连接, 这样在分部增多, 内部网络结点趋于复杂, 只需添加一台VPN设备, 改变相关配置, 就可以实现新的内部网络安全连接。

(3) 保证安全, VPN技术利用可靠的加密认证技术, 在内部网络建立隧道, 增加了信息安全性, 可以有效防止信息被泄露、篡改和复制。

4 VPN 技术的应用

(1) VPN技术在远程办公系统中的应用。网络时代, 企业规模不断扩大, 分支机构分布广泛, 企业内部及合作伙伴之间的信息交互非常频繁。由于公网以非加密的明文进行传输, 保密性和安全性很差, 而防火墙、加密传输、入侵检测或基于专线连接的方式不仅成本高, 而且多数是被动防御, 难以适应现代企业的需求。虚拟专用网 (VPN) 以其公网连接、加密传输的优势, 赢得了越来越多企业的青睐。企业总部一般是企业信息存放、处理的中心, 内部主机数量多, 数据流量大, 安全性和实时性要求高;分支机构内部建有一定规模的局域网, 同时通过当地ISP接Internet网, VPN网关部署在机构内部网与Internet网的接口处;移动办公人员访问内部网络时, 不需使用VPN网关设备, 只需要移动用户的主机上安装启动VPN安全包即可。

(2) VPN在电子商务安全中的应用。随着互联网的发展, 电子商务己经逐渐成为人们进行商务活动的新模式。越来越多的企业通过Internet进行商务活动, 但电子商务的安全问题是制约电子商务发展的主要瓶颈, 如何建立一个安全、便捷的电子商务环境, 对信息提供足够的保护, 商家和用户都十分关心。VPN能够利用Internet或其他公共互联网络的基础设施为用户创建隧道, 并提供与令用网络一样的安全和功能保障, 采用VPN技术组网, 降低组网费用和通讯费用, 增加灵活性, 能为需要跨地域开展电子商务活动的企业提供安全畅通的网络, 解决电子商务安全的基础网络安全问题。

(3) VPN技术在金融行业的应用。解决方案金融系统已经建立了覆盖全国的网络, 包括广泛的企业内部网、办公网和开放Web站点。随着业务的合并、应用的整合, 事实上所有这些网络就构成了LAN+WAN+Internet的一个复杂的而又不可分割的有机体。这样一个有着多层次、广用户的业务应用, 存在纵横交错的逻辑合并和物理连接的网络, 不可避免地存在众多安全隐患。为了解决端到端的数据安全, 许多VPN方案被提出:比如IIPPTP, L2TP, L2F VPN以及MPLS VPN。东软推出的NetE ye VPN采用了先进的工PSec协议, Net Eye VPN提供了完善的产品线, 精简的NetE ye Firewall with VPN, 为用户提供便捷的接入, 灵活的安全策略控制。

5 结语

网络在无形中改变了各行各业的运作方式, 信息运营也基本实现了业务的互联、资源的共享。与此同时, 网络安全性也越来越得到广泛关注, VPN技术提供了一种简洁有效、安全可靠的解决方案被广泛应用。

摘要：本文分析了影响VPN技术安全性的因素, 着重研究了网络安全VPN关键技术工作原理, 剖析了VPN技术利弊, 讨论了VPN技术的实际应用。

关键词：网络安全,VPN,应用

参考文献

[1]范青.浅谈虚拟专用网 (VPN) 的技术研究与应用[J].科技信息, 2007 (33) .

[2]王永生.VPN技术在企业中的应用[J].大众科技, 2008 (8) .

[3]金武功.关于VPN技术和应用[J].电脑知识与技术, 2007 (17) .