VPN综述.docx
《VPN综述.docx》由会员分享,可在线阅读,更多相关《VPN综述.docx(26页珍藏版)》请在冰豆网上搜索。
VPN综述
VPN综述
摘要:
随着人们对Internet访问的增加,传统的互联网接入已经不能满足用户的需求。
传统网络没有服务质量保证,没有权限和安全机制,界面复杂不易掌握,而VPN就克服了这些难题。
VPN的组网方式为企业提供了一种低成本的网络基础设施,并增加了企业网络功能,扩大了适用范围。
本文首先介绍了VPN的定义和研究意义,接着介绍VPN的关键技术以及实现VPN的主要安全协议,最后提出了VPN在实际中的应用以及它的发展趋势。
关键词:
VPN;IPSec;SSL;MPSL;网络;协议;隧道
SummaryofVPN
Abstract:
TheincreaseofInternetaccess,thetraditionalInternetaccessalreadycannotsatisfythedemandofusers,becausethetraditionalnetworknoservicequalityassurance,havenojurisdictionandsecuritymechanism,interfacecomplexnoteasycontrol,howeverVPNovercomingthesedifficulties.VPNnetworkforenterprisewayprovidesalow-costnetworkinfrastructure,andincreasedenterprisenetworkfunction,expandedthescope.
ThispaperfirstintroducesthedefinitionofVPNanditsstudyimplications.ThenintroducesthekeytechnologiesforimplementingaVPNwhichincludestheTunneltechnologyanditsmainsecureprotocols.FinallyproposedVPNinrealapplicationandit'sdevelopmenttrend.
Keywords:
VPN;IPSec;SSL;MPSL;network;protocol;Tunnel.
目录
1引言1
2VPN基础2
2.1VPN研究的历史背景和目的2
2.2VPN网络的优点2
2.3VPN论文课题的基础2
2.3.1VPN的组成3
2.3.2VPN的分类3
2.3.3VPN的网络管理6
2.3.4如何选择合适的VPN8
3VPN技术9
3.1VPN的安全技术9
3.1.1VPN隧道技术9
3.1.2VPN加密技术10
3.1.3密钥管理技术11
3.1.4身份认证技术11
3.2VPN隧道类型12
3.3PPP协议和PPTP协议12
3.4IPSec协议13
3.4.1IPSec的特点13
3.4.2IPSec的应用13
3.5SSLVPN14
3.5.1SSLVPN的特点14
3.5.2SSL的实际应用15
3.6MPLSVPN16
3.6.1MPLS的特点16
3.6.2MPLS的应用16
3.7SSLVPN与IPSecVPN比较17
4VPN的应用和发展趋势18
4.1VPN的应用18
4.1.1远程访问VPN(RemoteaccessVPN)18
4.1.2站点到站点的内联网(SitetoSiteintranetVPN)19
4.1.3外联网VPN(ExtranetVPN)20
4.2VPN发展趋势21
参考文献22
致谢23
1引言
VPN是一种新型的远程网络访问技术,早在几年前就出现,并得到许多网络设备商、软件系统商的支持。
许多企业用户也陆续采用这一新的技术,于是在1999年VPN出现了它的第一鼎盛时期,成为当时业界的焦点。
但是由于VPN在当时还算是新生技术,它在许多方面,特别是安全方面还相当不够完善,许多企业用户在使用过程中受到网络安全的威胁。
于是VPN网络技术在发展中受到很大的阻力,中间出现了停滞状态。
但是随着人们各方面的努力,VPN不仅在网络安全方面得到了相当大的改进,在其他技术方面也得到了全面的扩充。
随着Windows系统的不断升级,原来对VPN网络技术支持不够全面、彻底的不良局面得到了改善。
在硬件方面,各网络设备商也投入了极大的热情,开发了不同方案的VPN设备,目前主要包括集中器、交换机、路由器、防火墙等,使VPN设备得以推广,由于技术的成熟和竞争的激烈,使得VPN设备价格大幅下降,VPN网络技术再上一个台阶。
以前采用数据专线构建企业之间网络的互联,所花费的成本数目过大,只有仅少数的大型公司才能拥有,中小企业无法接受。
如果采用传统拨号方式,那么通信费用就更加昂贵。
但是使用VPN技术,企业部门间根本不需要构建专门的物理连接。
这样用户就不必花费巨额资金来构建专门的物理连接网络,而且节省了长途通信费用。
伴随全球经济高速发展的趋势,VPN网络技术越来越受到人们的欢迎。
2VPN基础
2.1VPN研究的历史背景和目的
VPN(VirtualPrivateNetwork,虚拟专用网络)被定义为通过一个公用网络(通常是因特网)建立一个安全的临时的连接,是一条穿过混乱网络的安全的、稳定的隧道。
其实,虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。
虚拟专用网是通过一个公用网络(通常是因特网或网络服务提供商的IP骨干网)或专网(局域网)来构建的虚拟专用网络,是通过特殊的设计的硬件和软件,直接通过共享的IP网所建立的隧道来完成的。
通过VPN可以实现远程网络之间的安全、点对点的连接。
VPN是专用网络的延伸,它包含了类似因特网的共享或公共网络的连接。
它的基本点就是化公为私,使每个企业可以临时从公用网中挖走一部分地盘供自己专用,虚拟专用网是对企业内部网的扩展。
VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
VPN可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网的虚拟专用网[1]。
2.2VPN网络的优点
VPN网络与其他网络相比较有自己鲜明的优点,主要体现在以下:
①降低成本,VPN利用了现有的Internet组建虚拟专网,不需要使用专用的线路就能实现数据安全的传输,提供了比其它通信方式(如专线和长途电话)更低廉的成本;②易于扩展,在分部增多,内部网络结点越来越多时,专线连接网络结构趋于复杂,费用昂贵,而采用VPN只需在结点处架设VPN设备,就可利用Internet建立安全连接,只需添加一台VPN设备,改变相关配置即可;③保证安全,安全是VPN技术的基础,为了保障信息的安全,VPN技术利用可靠的加密认证技术,在内部网络建立隧道,以防止信息被泄露、篡改和复制[2]。
2.3VPN论文课题的基础
VPN课题的基础包括VPN的组成、分类、管理和选择等问题。
2.3.1VPN的组成
VPN是一门新型的网络技术,它为我们提供了一种通过网络安全地对企业内部专用网络进行远程访问的连接方式。
我们知道一个网络连接通常有三个部分组成:
客户机、传输机和服务器。
VPN网络同样也需要这三个部分,不同的是VPN连接不是采用物理的传输介质,而是一种称之为“隧道”的技术来作为传输介质的,这个隧道是建立在公共网络或专用网络基础之上的,如因特网或专用的Intranet(企业内部网)等。
同时要是事先VPN连接,企业内部网络必须配置一台服务器。
VPN服务器一方面连接企业内部专用网络,另一方面要连接到因特网或其他专用网络,这就要求VPN服务器要有一个公用的IP地址,也就是说企业必须拥有一个合法的因特网或专用网域名。
当客户机通过VPN连接与专用网络通信时,先有NSP(NetworkServicesProvider,网络服务提供商)将所有数据传送到VPN服务器,然后再由VPN服务器将所有的数据传送到目标计算机。
因为在VPN隧道中通信能确保通信通道的专用性,并且传输的数据是经过压缩、加密的,所以VPN通信同样具有专用网络的通信安全性。
整个VPN通信过程可以简化为以下4个通用步骤:
1.客户机向VPN服务器发出请求。
2.VPN服务器响应请求并向客户机发出身份质询,客户机将加密的用户身份验证响应信息发送到VPN服务器。
3.VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限;如果该用户拥有远程访问权限,VPN服务器接受此连接。
4.最后VPN服务器将身份验证过程中产生的客户机和服务器共有密钥将用来对数据进行加密,然后通过VPN隧道技术进行封装、加密、传输到目的的内部网络[3]。
2.3.2VPN的分类
根据不同的划分标准,VPN可以按一下几个分类标准进行划分。
1.按VPN的应用平台分类
根据VPN的应用平台可以分为:
软件平台、专用平台及辅助平台三类。
(1)软件平台VPN
当对数据连接速率要求不高,对性能和安全要求不强时,可以利用一些软件公司所提供的完全基于软件的VPN产品来实现简单的VPN功能能甚至可以不需要另外购置软件,仅依靠微软的Windows操作系统,特别是自Windows2000以后的系统就可以实现纯软件平台的VPN连接。
这类VPN网络一般性能差,数据传输速率较低,同时在安全性方面也比较低,一般使用连接用户较少的小型企业。
(2)专用硬件平台VPN
使用专用硬件平台VPN设备可以满足企业和个人用户对高数据安全及通信性能的需求,尤其是从加密及数据乱码等对CPU处理能力要求很高的功能。
这些平台虽然投资了大量的硬件设备,但是成本太高。
并且由于全是由硬件来构成的平台,因此在管理的灵活性和可管理性方面就显得不尽如人意。
对于专业的VPN网络服务提供商来说选择这类较为合适。
(3)辅助硬件平台VPN
这类VPN的平台介于软件和硬件平台之间,辅助硬件平台VPN主要是指以现有网络设备为基础,再增添适当的VPN软件以实现VPN功能。
此种最为常见,性能也是最好的一种。
但通常这种平台中硬件不能完全由原来的网络硬件来完成,必要时添加专业的VPN设备,如交换机、VPN网关或路由器等。
这种平台具有硬件平台的高性能、高安全性,同时也具有了软件平台的灵活性,并且可以利用绝大多数现有硬件设备,节省了总体投资。
是目前绝大多数企业选用的VPN方案[4]。
2.按VPN的协议分类
VPN隧道协议主要有三种:
PPTP(PointtoPointTunnelingProtocol,点对点隧道协议)、L2TP(Layer2TunnelingProtocol,第二层隧道协议)和IPSec。
PPTP和L2TP协议是工作在OSI/RM(OpenSystemInterconnection/ReferenceModel,开放系统互连参考模型)开放式模型中的第二层,所以又称之为第二层隧道协议。
在VPN网络中最常见的第三层隧道协议是IPSec。
第二层隧道协议和第三层隧道协议的本质区别是用户的数据包是被封装在哪一层的数据包隧道里传输的。
这两种协议混合使用,可以分别形成性能更强的L2TP/IPSecVPN网络,这一网络是目前性能最好、应用最广的一种[5]。
3.按VPN的部署模式分类
VPN的部署模式从本质上描述了VPN通信的起点和终点,不同模式使用不同的环境,满足不同需求,总的来说有三种部署模式。
(1)端到端(End-to-End)模式
该模式是自建VPN的客户所采用的典型模式,也是最为彻底的VPN网络。
这种模式中企业有完全的自主控制权。
最大好处也是最大的不足之处就是整个网络的维护权都是由企业自身完成,整个网络都是在加密的隧道中完成通信的,但是花费昂贵。
(2)供应商—企业(Provider—Enterprise)模式
这是一种外包方式,也是目前主流的VPN部署方式。
客户部需要购买专门的隧道设备、软件,由VPN服务提供商(NSP)提供设备来建立通道并验证。
客户可以通过加密数据实现端到端的全面安全性。
在该模式中,最常见的隧道协议有L2TP、L2F(Level2Forwardingprotocol,第二层转发协议)和PPTP。
(3)内部供应商(Intra—Provider)模式
这也是一种外包模式,与上一种方式最大的不同就在于用户对NSP的授权级别不同,可以全权交给NSP来维护。
在该模式实现中,通道的建立和终止都是在NSP的网络中实现的,客户不需要做任何工作。
最大的不足是用户自主权不足,存在一定的不安全因素[6]。
4.按VPN的服务类型分类
根据VPN应用的类型来分,VPN的应用业务大致可以分为三类:
IntranetVPN、AccessVPN与ExtrantVPN,但是更多的情况下同时用到这三种VPN网络。
5.按VPN的网络组建技术分类
随着VPN的出现和发展,VPN网络组建技术出现了多样化,按组建技术分类一般可将VPN技术分为两大类:
OverlayVPN和MPLSVPN。
OverlayVPN是在帧中继、ATM(AsynchronousTransferMode,异步传输模式)或IP网络上建立隧道或加密的,此方案建立在点对点连接的基础上的。
是一种传统的VPN类型。
MPLSVPN能够将数据流分开,无需建立隧道或加密即可通过保密性,是一种新型的VPN类型,有许多优势[7]。
6.按VPN连接方式分类
基于IP的VPN连接方式可以分为两类:
拨号VPN(VDPN,虚拟拨号专网)和专线VPN,完整的VPN解决方案通常把拨号VPN和专线VPN组合在一起来满足用户的使用需求。
7.根据VPN组网方式分类
根据国内公众多媒体通信网的状况,在国内采用VPN组网一般分为三类:
ATMVPC组建方式、IPTunneling组建方式和Dial—upAccess组建方式。
8.按所用设备的类型分类
根据网络规模的大小。
所采用的网络设备也可能有所不同,所以许多网络设备提供商针对各种不同用户需求开发,生产支持VPN远程访问的网络设备。
这些设备主要分为交换机、路由器和防火墙,有这些设备组成的VPN网络就可以称之为相应的VPN网络方式[8]。
2.3.3VPN的网络管理
VPN管理的目标是使VPN可以像专用网络一样对待。
实现这个目标的第一步是推出的VPN管理工具能够像管理专网那样去管理VPN,比如监测网络的容量利用率、服务质量。
第二部是推出统一的管理工具,这种工具必须能够管理常规网络和VPN网络。
最后不可缺少的是网络的管理和维护。
管理拨号VPN的两个关键是网络层地址管理(NLAM)和隧道管理。
隧道管理指外部软件应用,他用来建立隧道并维护用户信息和执行客户账户管理。
1.用户IP地址管理
对于用户IP地址管理,主要体现在用户网络和公共网络之间的IP地址分配办法。
根据隧道协议的不同,采用不同的用户IP地址分配策略。
对于用户内部企业网的管理,可采用合法或保留IP地址策略。
VPN将企业内部的数据进行重新封装之后在公网之上传输。
对于远程用户来讲,其分配的IP地址策略根据VPN连接所采用的隧道协议而变化。
如果采用L2F(Level2Forwardingprotocol,第二层转发协议)或L2TP(Layer2TunnelingProtocol,第二层隧道协议)隧道协议,用户只需一次拨号,并且只分配企业网内部IP地址。
如果采用PPTP或IPSec隧道协议,用户需要二次拨号,即在拥有公网IP的基础上,需要对企业网VPNGateway(网关)进行拨号,然后分配企业网内部IP[9]。
2网络层地址管理
网络层地址管理(NLAM)是拨号VPN建立远端节点的网络层协议配置(滤波器、路由协议、子网屏蔽等)和域名等级的能力。
具有适当容量的VPN结构能够支持一下服务:
远端授权拨号上网用户服务(RADIUS,要有厂商的正确配置)、动态主机控制协议(DHCP或功能相同的协议)和域名服务(DNS)。
RADIUS不仅用于用户授权,还用来执行一部分或全部的网络层配置信息。
管理第三层地址系统必须很有权威,这意味着一旦对话终止,地址必须返回与用户域名有关的地址层。
网络层地址管理和IP地址管理恰恰相反。
许多公司网依然使用IPX和AppleTalk协议,所以支持这些协议和IP地址管理服务依然存在。
3.VPN成员的管理
对VPN成员的管理,主要包括用户连接的认证、授权、计费管理以及内部IP地址分配,VPN“隧道”建立,数据加密,用户访问权限管理等多个重要功能。
(1)成员认证
在远程成员接入企业内部之前必须对其进行用户身份认证。
用户数据集中存储于外部数据库中。
对用户数据库的访问需要一个中间协议来完成,如LDAP(LightweightDirectoryAccessProtocol,目录访问协议)或者RADIUS等认证协议。
该用户数据库对用户是透明的。
VPN接入服务器针对相应的成员组进行定义(如数据加密格式、过滤定义、服务属性定义等)。
LDAP(LightweightDirectoryAccessProtocol,轻型目录访问协议)体现在X.500目录管理服务内容之中,LDAP就像因特网的目录模式一样迅速接受。
LADP是基于条目进行管理的,他可对因特网上的个人进性标准的和扩展的属性定义。
用户目录服务器是用户的信息中心。
RADIUS(RemoteAuthenticationDialInUserService,远程认证拨入用户服务)分布式安全系统,通过认证服务器来验证拨号连接属性和认证连接权限。
它在远程接入认证中有广泛的应用。
(2)访问控制过滤和用户优先级定义
在用户接入之后,要对用户进行访问控制过滤,主要过滤内容为用户源、目的IP、目的的端口号、TCP连接定制等。
在对用户进行访问控制之后,要根据用户认证数据库内容对用户进行呼叫优先级定义,主要是解决大量用户接入带来的网络堵塞问题,在网络拥塞到一定程度之后,将只允许优先级较高的连接建立,但是一旦连接建立之后就不在中断。
(3)计费结算
VPN接入服务器将对用户访问企业网进行日志记录,根据用户日志记录可以对用户访问企业进行计费结算。
其记录内容包括:
用户访问时间和数据通信量、安全因素拒绝记录以及系统配置修改记录等。
目前,针对各厂家VPN设备不同,对成员的管理也有很大的区别。
我国已经研发基于VPDN的系统管理软件,也可以对网络层和信息层的用户进行认证、授权、计费(AAA)管理,通过BWD(浏览器/Web服务器/数据库)的体系结构实现动态的用户数据库更新,这种体系结构对用户端要求少,管理升级只需在服务器端或数据库端完成,利用数据库的大容量数据处理能力,实现大规模数据并发访问和海量存储的功能。
这套管理系统采用RADIUS认证体系,经过全面数据库改造,运用模块化设计模型,在电信领域已经大面积采用,是经过实践考验的系统管理软件[10]。
2.3.4如何选择合适的VPN
企业利用VPN可以完成多种实物,从文件传输、商业合伙人事务处理及合作应用,一直到数据库和远程拨号的接入,VPN可传输很多重要的应用和重要的数据,而且通过利用公共IP网可以享受到节约资金的好处。
由于今天网络容量和各种重要的商业数据日益增长,必须有自动化VPN安装和操作,同时也必须有广泛的安全性和高效的性能,这是两个有相互矛盾的特性。
动态VPN交换为公共网带来了自动化操作和安全性。
VPN必须具有的特性:
(1)方便安装和自动操作管理。
(2)动态链接。
VPN通过网络进行的再发送应当方便且高效,这主要决定用户和机构应用的需要。
此外,由于必须对动态路由选择作出判定,因而,他们应当具有必要的优化带宽的智能性,因为IP网络的静态配置不能满足企业连续处理动态改变的需要。
(3)安全性。
VPN必须提供全面的安全性,以确保公共网上数据的安全传输。
除了封装和加密之外,所有携带安装和维护信息进入控制路径的数据都必须得到保护。
VPN也必须是开放并且是适应标准的,以便保证将来验证和安全技术的实施。
VPN市场的产品和服务增长迅速。
与此相对应,许多VPN厂商在定义和配置VPN标准上也加入了竞争。
因此在实际选择的时候也要根据情况而定。
3VPN技术
3.1VPN的安全技术
目前VPN技术大致分为四类:
隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。
3.1.1VPN隧道技术
VPN通道的建立基于隧道技术。
在隧道被初始化之后,传送过程中VPN数据的保密性和完整性可以通过高级加密技术加以保护。
隧道技术允许一个来自不同信源的流量所占的IP网络对非IP数据进行路由。
隧道协议是用附加的包头封装数据帧的,附加的包头提供了路由信息,因此封装后的包能够通过中间的公用网。
封装后的包所途径公用网络的逻辑路径成为“隧道”。
一旦分装的帧到达了公用网上的目的地,所附加的包头就会被释放出来,数据帧直接发送到目的地。
形成隧道需要具备以下几个要素。
(1)隧道开通器(TI):
用于数据发送端在发送数据中开通专用隧道。
(2)有路由能力的公用网络:
这主要由带VPN路由功能得路由器完成。
(3)一个或多个隧道终止器(TT):
以确定数据包头和数据帧的分离位置。
(4)必要时增加一个隧道交换机以增加灵活性。
隧道开通器的任务是在公用网中开出一条隧道,有利于发送端将数据发送到专用隧道中进行传输。
这是在VPN两端都需要的。
隧道终止器的任务是使隧道到此终止,不再继续向前延伸。
VPN网络中通道还用一个或多个安全服务器。
安全服务器除提供防火墙和地址转换功能之外,还通过与隧道设备的通信来提供加密、身份查验和授权功能。
它们通常也提供各种信息,如带宽、隧道端点、网络策略和服务等级[11]。
隧道技术在网络中也是封装技术,将一种协议的数据包封装在VPN隧道协议中在所建立的VPN对应方之间传输。
由于在公共网络中网络协议的各个层次都有可能遭到攻击,为了使隧道中数据更加安全可靠,VPN隧道技术在网络的越下层实现,则受保护的数据安全性就越高。
因此VPN技术通常在IP协议的第二层和第三层实现的。
如图3.1所示。
图3.1VPN在OSI网体系结构
3.1.2VPN加密技术
加密技术是数据通信中一项较成熟的技术。
利用加密技术保证传输数据的安会是VPN安全技术的核心。
为了适应VPN工作特点,目前VPN中均采用对称加密体制和公钥加密体制相结合的方法。
对称加密体制(也称常规加密体制)的通信双方共享一个秘密密钥,发送方使用该密钥将明文加密成密文,接受方使用相同的密钥将密文还原成明文。
对称加密算法运算速度快,因而VPN中将其用于加密需要传输的数据,为了加大保密强度和便于程序实现,实际运用中多采用分组密码算法。
VPN目前常用的对称密码加密算法有:
DES、3DES、RC4、RC5、IDEA、BLOWFISH、CAST等。
公钥加密体制,或称非对称加密体制,是通信各方使用两个不同的密钥,一个是只有发送方知道的秘密密钥,另一个则是与之对应的公开密钥,公开密钥不需要保密。
在通信过程中.发送方用接收方的公开密钥加密消息,并且可以用发送方的秘密密钥对消息的某一部分或全部加密,进行数字签名。
接收方收到消息后,用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验证发送方身份。
当前常见的公钥体制有RSA、D—H和椭
升级会员 