VPN安全管理技术

通信论坛( 52China Computer&Network计算机与网络创新生活VPN安全管理技术张淑青1高海龙2(1保定市智能电脑有限公司河北保定071000)(2华北电力大学计算机科学与技术学院河北保定071000)[摘要]VPN技术具有较高的安全性并且实现较简单,费用低廉。本文阐述了VPN中采用的隧道技术加解密技术,身份认证,使用者与设备身份认证技术等安全技术的实现,着重介绍了VPN中应用的第2层隧道协议、第3层隧道协议及SSL等协议,分析了ssL VPN技术的主要优点及其不足之处。简单介绍了现行的SKIP与ISAKMP/OAKLEY密钥管理技术和常用的身份认证技术。[关键词]VPN安全管理 隧道协议 SSL保证数据的安全。1引言隧道技术在传输过程中，首先由客户端给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网Internet和电子商务的蓬勃发展，促使各企业的局域网络发送,并由互联网络将数据路由到隧道的服务器端。隧道服日益向外界开放,从而也给网络的管理和安全带来很多问题。务器端收到数据包之后,去除隧道数据传输协议包头,然后将Intemet 是基于TCP/IP技术的、不可管理的开放性国际互联负载数据转发到目标网络。网络,基于Intenet的商务活动面临着恶意的信息威胁和安全隧道是由隧道协议形成的,分为第2层隧遒协议、第3层隐患。另外,企业分支机构相互间的网络基础设施互不兼容也隧道协议及Ssl协议等。更为普遍,难于实现分支机构的互联。企业异地局域网之间租2.1第2层隧道技术用数字数据网(DDN)专线或帧中继实现互联将导致高昂的网第2层隧道技术是在数据链路层进行的，第2层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入络通信/维护费用。虚拟专用网(VPN)的出现则较好的解决了上述问题:通隧道协议中。这种双层封装方法形成的数据包靠第2层协议过公用网来建立VPN,节省了大量的通信及维护费用;VPN进行传输。第2层隧道协议有PPTP、L2F、L2TP等。L2TP协可保证连接用户的可靠性及传输数据的安全和保密性;不需议是目前ETF的标准,由ietF融合PPTP与L2F而形成。第建立租用线路或帧中继线路,连接方便灵活;虚拟专用网使用2层隧道协议具有简单易行的优点,但是他们的可扩展性都不好。户可以利用ISP的设施和服务，同时又完全掌握着自己网络也没有提供内在的安全机制,不能满足会话的保密性需求。的控制权,用户只利用ISP提供的网络资源,对于其它的安全点对点隧道协议(RFC2637 ,Point-to -Point TunnelingProtocol,PPTP)是- -种支持多协议虚拟专用网络的网络技术。设置、网络管理变化可由自己管理。数据安全性是VPN的核心向题，也是用户最关心的问通过该协议,远程用户能够通过Microsoft Windows NT工作题。目前VPN主要采用4项技术来保证安全,这4项技术分站、Windows 95和Windows 98操作系统以及其它装有点对别是隧道技术(Tuneling)、加解密技术(Encrypion & Decrp-点协议的系统安全访向公司网络,并能拨号连人本地ISP,通tion) 、密钥管理技术(Key Managenent)、使用者与设备身份认过Internet安全链接到公司网络。证技术(Authentication)。PPTP协议允许对P , IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。2隧道技术第2层转发协议(RFC2342,Layer 2 Forwarding prool,隧道技术(Tunneling)是VPN的基本技术,类似于L2R用中国煤化工的安全隧道来将ISP点对点连接技术,它首先在公共网络上建立一条数据通pop连!Y片C N M H G立了一个用户与企业道(隧道),然后把封装后的数据包通过这条隧道传输来客户网络间的虚拟点对点连接。定稿日期:2008-01-22《计算机与网络》2008年第05期通信论坛计算机与网络创新生活China Computer & Network(53)第2层隧道协议(RFC2661,Layer 2 Tuneling Protocol,密安全通道的加密协议， 它利用密钥算法在互联网上提供端L2TP)是用来整合多协议拨号服务至现有的因特网服务提供点身份认证与通信保密,为诸如网站、电子邮件、网上传真等商点。PPP 定义了多协议跨越第2层点对点链接的一一个封装等数据传输进行保密。它是随电子商务与B/S结构发展起来机制。特别地,用户通过使用众多技术之一(如:拨号 POTS、的协议,在web应用上极具优势,是未来的主流。ISDN、ADSL等)获得第2层连接到网络访问服务器(NAS),(1) SSL工作过程然后在此连接上运行PPP。在这样的配置中,第2层终端点和SSL包含3个基本阶段:对等协商密钥算法支持;基于公:PPP会话终点处于相同的物理设备中(如:NAS)。钥密码的密钥交换和基于证节的身份认证;基于对称密钥的L2TP协议允许对IP,IPX或NetBEUI数据流进行加数据传输保密。密,然后通过支持点对点数据报传递的任意网络发送,如IP,SSs工作时首先由SsL的记录层(Record layer)封装 更高X.25,桢中继或ATM。层的HTTP等协议。记录层数据可以被随意压缩加密,与消第2层隧道协议(PPTP和L2TP)创建隧道的过程类似息验证码(MAC)打包在一起。 每个记录层包都有一一个内容类于在双方之间建.立会话,隧道的2个端点必须同意创建隧道型(content type)段用以记录更上层用的协议。并协商隧道各种配置变量,如地址分配,加密或压缩等参数。工作时客户端要收发几个握手信号:发送一个Clien-绝大多数情况下，通过隧道传输的数据都使用基于数据报的tHello消息,说明它支持的密码算法列表、压缩方法及最高协协议发送。采用隧道维护协议作为管理隧道的机制。议版本，也发送稍后将被使用的随机字节。然后收到一个2.2第3层隧道技术ServeHello消息,包含服务器选撣的连接参数,源自客户端初第3层隧道技术是在网络层进行的,第3层隧道协议是期所提供的CientHello当双方知道了连接参数,客户端与服把各种网络协议直接装人隧道协议中,形成的数据包依靠第务器交换证书(依靠被选择的公钥系统)。这些证书通常基于3层协议进行传输。第3层隧道协议有gRE (RFC 2784,x.509,不过已有草案支持以OpenPGP为基础的证书。服务器General Routing Encapsulaion)、IPSec等。IPS(IP Securiy)定能够请求得到来自客户端的证书，所以连接可以是相互的身义了一个系统来提供安全协议选择.安全算法,确定服务所使份认证。用密钥等服务,从而在IP层提供安全保障。(2) SSL VPN技术的主要优点第3层隧道技术的实现通常假定所有配置问题已经通①无需安装客户端软件。执行基于SSL协议的远程访问过手工过程完成。这些协议不对隧道进行维护。而第2层隧道不需要在远程客户端设备上安装软件。只需通过标准的支持协议(PPTP和L2TP)则必须包括对隧道的创建,维护和终止。SSL的Web浏览器连接因特网;IPSec协议位于网络层，是目前应用最广泛的VPN协②适用大多数设备。基于Web访问的开放体系可以运议,安全性高,但配置较复杂。行标准的浏览器访问任何设备;IPSec是一种由letF设计的端到端的确保基于IP③可以穿越防火墙进行访问。由于SSL以443通信端口通讯的数据安全性的机制。按照ETF的规定,使用封装作为传输通道,它通常是作为Web Server对外的数据传输通安全负载与加密一道提供来源验证，确保数据完整性。道,不需修改防火墙的配置,从而影响通信系统的安全性;不采用数据加密时,IPSec使用验证包头提供来源验证确④维护工作量小,减少费用。对于那些简单远程访问用保数据完整性。且只有发送方和接受方知道秘密密钥,户，基于SsL的VPN网络可以非常经济地提供远程访问服如果验证数据有效，接受方就可以知道数据来自发送务,而这也是SSL VPN最适用的场合。方,并且在传输过程中没有受到破坏。.(3) SSL VPN的不足IPSec可以看成是位于TCP/IP协议栈的下层协议。该层通用性:只能有限地支持Windows应用或者其它非基于由每台机器上的安全策略和发送、接受方协商的安全关联进Web界面的系统;安全性:SSL中验证网络服务器身份所使用行控制。IPSec隧道模式允许对IP负载数据进行加密,然后封的数字证节可能会被偷窃或复制;网络性能:SSL会话中所需装在IP包头中通过企业IP网络或公共IP互联网络如Inter-的任务繁重的密码计算会影响网络服务器的性能。net发送。中国煤化工2.3 SSL技术3其MYHCNMHG安全套接层(Secure Sockets Layer ,SL)及其新继任者传输层安全(Transport Layer Security ,TLS)是在互联网上提供保加解密技术是数据通信中一项较成熟的技术,VPN 可直.2008年第05期《计算机与网络> :通信论坛(54)China Computer & Network计算机与网络创新生活接利用现有技术。-种有效的解决方案,将逐渐取代采用专线构建企业专用网密钥管理技术的主要任务是如何在公用数据网上安全络 的传统做法。地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用DifieHellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有2把参考文献密钥,分别用于公用、私用。[1]谢希仁.计算机网络(第四版)[M].北京:电子工业出版社，身份认证技术最常用的是使用者名称与密码或卡片式2003.认证等方式。[2]拓守恒.VPN安全-隧道技术研究).福建电脑,2007(1):30-31.4结束语[3]刘菌,陈常嘉VPN技术应用与实现浅谈D].电子科技,2006(11): 77-80.VPN为借助公共网络服务平台搭建广泛的通信网络的[4]李世武,韩雅琴.VPN技术与实现策略研究0].计算机与网络,2006(23):38-40.企业以廉价的价格享受更高的安全保证,通过各种安全技术的引人,可以保证通信的安全性,提供较高的网络性能。VPN[5]何亚辉,肖路,陈凤英.基于IPSec的VPN技术原理与应用兼备了公众网和专用网的许多优点成为构建企业专用网络的0].重庆工学院学报,2006(11):114 -117.(上接第51页)在UML2.0中规定,配置图的节点(Node)所代表的计算机资源,不仅是指硬件设备(Device) ,如处理器,读卡器,移动[1] 文烨斌,姚国祥,许龙飞.UML2.0的新特性以及在选课系设备,通信设备等;而且可以是指包含在设备内的可执行环境统中的应用D.佳木斯大学学报(自然科学版),2005(4):3-5.(Executing Environment)。执行环境是其他软件的宿主,如操[2] 马浩海,刘实,蒋严冰.UML2.0扩展机制分析D].内蒙古大作系统J2EE容器、工作流引擎、数据库等。学学报(自然科学版),2005 ,36(1):1-3.[3] WILL K C.Will UML 2.0 Be Agile or Awkward J.Commu7结束语nicationsof the ACM JanuaryD.2002,45(1):107-110.UMI2.0在不断完善的同时,OMG的分析设计平台小再传捷报:易PC火爆浙江好易购组副主席Cris Kobryn却认为UML正变得越来越肥胖，需要据悉,华硕易PC日前在电视购物等传统渠道的销售再减肥。其实UML用的范围越来越广,需要面对的问题就越来次创下了火爆的场景,在湖南卫视的快乐购梅开二度，在1越复杂,同时还要满足各个行业,各种企业的需求,因此规模小时8分种的短短时间内，易PC再- -次创下了销售 700台越来越庞大也在所难免。但是如果新的规约变得越来越复杂的火爆战绩。不仅如此,易PC在2007年底在杭州好易购创和庞大,就会难以管理、理解和实施。值得注意的是UML2.0下了每6秒成交一台的记录后,于3月初再度登陆浙江杭州的外廓Profiles 允许增加和删减UML的部分特性，可以调整好易购频道,再一次创下火爆销售360台的佳绩!出合适自己使用的UML。从某种程度.上说,易PC已经不再单单是一一个产品的型2003年9月，总部位于德国汉堡的Gendeware公司号名称,而是简约时尚超便携的代名词。易PC已然成为时巳经成功开发出支持UMI2.0规约的建模工具Poseidon尚休闲的风尚标志了，越来越多的年轻- -代加入到易PC . -for UML 2.0,目前最新的版本是6.0。这个新的建模工族,网上不仅出现了很多易PC的专门网站,还出现了很多和具集提供了和其他UML工具的交互能力，而且还支持易PC相关的新鲜名词,比如,易粉、易饭、易PC周边等等。易PC为何如此受欢迎?我们知道,对于已经相对成熟UML2.0规约的元素以及新增图形，其企业版还是首个支持异地成员对同一模型共同开发的建模工具。IBM也的传中国煤化工同质化效应使得PC市场1YH-次爆发性. .创新性的在2004年底推出了其新-代的软件开发平台Atlantic ,这突破。CNMH G在入了一段新鲜的血系统将会给予UMI2.0更多的支持。液和全新发展思路,它是对现有台式机、笔记本电脑及掌上电脑的丰富和拓展,是真正的“第四类电脑"。《计算和与数据> 2008年第05期