VPN安全管理技術(shù)

通信論壇( 52China Computer&Network計算機與網(wǎng)絡(luò )創(chuàng )新生活VPN安全管理技術(shù)張淑青1高海龍2(1保定市智能電腦有限公司河北保定071000)(2華北電力大學(xué)計算機科學(xué)與技術(shù)學(xué)院河北保定071000)[摘要]VPN技術(shù)具有較高的安全性并且實(shí)現較簡(jiǎn)單,費用低廉。本文闡述了VPN中采用的隧道技術(shù)加解密技術(shù),身份認證,使用者與設備身份認證技術(shù)等安全技術(shù)的實(shí)現,著(zhù)重介紹了VPN中應用的第2層隧道協(xié)議、第3層隧道協(xié)議及SSL等協(xié)議,分析了ssL VPN技術(shù)的主要優(yōu)點(diǎn)及其不足之處。簡(jiǎn)單介紹了現行的SKIP與ISAKMP/OAKLEY密鑰管理技術(shù)和常用的身份認證技術(shù)。[關(guān)鍵詞]VPN安全管理 隧道協(xié)議 SSL保證數據的安全。1引言隧道技術(shù)在傳輸過(guò)程中，首先由客戶(hù)端給負載數據加上一個(gè)隧道數據傳送協(xié)議包頭，然后把封裝的數據通過(guò)互聯(lián)網(wǎng)Internet和電子商務(wù)的蓬勃發(fā)展，促使各企業(yè)的局域網(wǎng)絡(luò )發(fā)送,并由互聯(lián)網(wǎng)絡(luò )將數據路由到隧道的服務(wù)器端。隧道服日益向外界開(kāi)放,從而也給網(wǎng)絡(luò )的管理和安全帶來(lái)很多問(wèn)題。務(wù)器端收到數據包之后,去除隧道數據傳輸協(xié)議包頭,然后將Intemet 是基于TCP/IP技術(shù)的、不可管理的開(kāi)放性國際互聯(lián)負載數據轉發(fā)到目標網(wǎng)絡(luò )。網(wǎng)絡(luò ),基于Intenet的商務(wù)活動(dòng)面臨著(zhù)惡意的信息威脅和安全隧道是由隧道協(xié)議形成的,分為第2層隧遒協(xié)議、第3層隱患。另外,企業(yè)分支機構相互間的網(wǎng)絡(luò )基礎設施互不兼容也隧道協(xié)議及Ssl協(xié)議等。更為普遍,難于實(shí)現分支機構的互聯(lián)。企業(yè)異地局域網(wǎng)之間租2.1第2層隧道技術(shù)用數字數據網(wǎng)(DDN)專(zhuān)線(xiàn)或幀中繼實(shí)現互聯(lián)將導致高昂的網(wǎng)第2層隧道技術(shù)是在數據鏈路層進(jìn)行的，第2層隧道協(xié)議是先把各種網(wǎng)絡(luò )協(xié)議封裝到PPP中,再把整個(gè)數據包裝入絡(luò )通信/維護費用。虛擬專(zhuān)用網(wǎng)(VPN)的出現則較好的解決了上述問(wèn)題:通隧道協(xié)議中。這種雙層封裝方法形成的數據包靠第2層協(xié)議過(guò)公用網(wǎng)來(lái)建立VPN,節省了大量的通信及維護費用;VPN進(jìn)行傳輸。第2層隧道協(xié)議有PPTP、L2F、L2TP等。L2TP協(xié)可保證連接用戶(hù)的可靠性及傳輸數據的安全和保密性;不需議是目前ETF的標準,由ietF融合PPTP與L2F而形成。第建立租用線(xiàn)路或幀中繼線(xiàn)路,連接方便靈活;虛擬專(zhuān)用網(wǎng)使用2層隧道協(xié)議具有簡(jiǎn)單易行的優(yōu)點(diǎn),但是他們的可擴展性都不好。戶(hù)可以利用ISP的設施和服務(wù)，同時(shí)又完全掌握著(zhù)自己網(wǎng)絡(luò )也沒(méi)有提供內在的安全機制,不能滿(mǎn)足會(huì )話(huà)的保密性需求。的控制權,用戶(hù)只利用ISP提供的網(wǎng)絡(luò )資源,對于其它的安全點(diǎn)對點(diǎn)隧道協(xié)議(RFC2637 ,Point-to -Point TunnelingProtocol,PPTP)是- -種支持多協(xié)議虛擬專(zhuān)用網(wǎng)絡(luò )的網(wǎng)絡(luò )技術(shù)。設置、網(wǎng)絡(luò )管理變化可由自己管理。數據安全性是VPN的核心向題，也是用戶(hù)最關(guān)心的問(wèn)通過(guò)該協(xié)議,遠程用戶(hù)能夠通過(guò)Microsoft Windows NT工作題。目前VPN主要采用4項技術(shù)來(lái)保證安全,這4項技術(shù)分站、Windows 95和Windows 98操作系統以及其它裝有點(diǎn)對別是隧道技術(shù)(Tuneling)、加解密技術(shù)(Encrypion & Decrp-點(diǎn)協(xié)議的系統安全訪(fǎng)向公司網(wǎng)絡(luò ),并能撥號連人本地ISP,通tion) 、密鑰管理技術(shù)(Key Managenent)、使用者與設備身份認過(guò)Internet安全鏈接到公司網(wǎng)絡(luò )。證技術(shù)(Authentication)。PPTP協(xié)議允許對P , IPX或NetBEUI數據流進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò )或公共互聯(lián)網(wǎng)絡(luò )發(fā)送。2隧道技術(shù)第2層轉發(fā)協(xié)議(RFC2342,Layer 2 Forwarding prool,隧道技術(shù)(Tunneling)是VPN的基本技術(shù),類(lèi)似于L2R用中國煤化工的安全隧道來(lái)將ISP點(diǎn)對點(diǎn)連接技術(shù),它首先在公共網(wǎng)絡(luò )上建立一條數據通pop連!Y片C N M H G立了一個(gè)用戶(hù)與企業(yè)道(隧道),然后把封裝后的數據包通過(guò)這條隧道傳輸來(lái)客戶(hù)網(wǎng)絡(luò )間的虛擬點(diǎn)對點(diǎn)連接。定稿日期:2008-01-22《計算機與網(wǎng)絡(luò )》2008年第05期通信論壇計算機與網(wǎng)絡(luò )創(chuàng )新生活China Computer & Network(53)第2層隧道協(xié)議(RFC2661,Layer 2 Tuneling Protocol,密安全通道的加密協(xié)議， 它利用密鑰算法在互聯(lián)網(wǎng)上提供端L2TP)是用來(lái)整合多協(xié)議撥號服務(wù)至現有的因特網(wǎng)服務(wù)提供點(diǎn)身份認證與通信保密,為諸如網(wǎng)站、電子郵件、網(wǎng)上傳真等商點(diǎn)。PPP 定義了多協(xié)議跨越第2層點(diǎn)對點(diǎn)鏈接的一一個(gè)封裝等數據傳輸進(jìn)行保密。它是隨電子商務(wù)與B/S結構發(fā)展起來(lái)機制。特別地,用戶(hù)通過(guò)使用眾多技術(shù)之一(如:撥號 POTS、的協(xié)議,在web應用上極具優(yōu)勢,是未來(lái)的主流。ISDN、ADSL等)獲得第2層連接到網(wǎng)絡(luò )訪(fǎng)問(wèn)服務(wù)器(NAS),(1) SSL工作過(guò)程然后在此連接上運行PPP。在這樣的配置中,第2層終端點(diǎn)和SSL包含3個(gè)基本階段:對等協(xié)商密鑰算法支持;基于公:PPP會(huì )話(huà)終點(diǎn)處于相同的物理設備中(如:NAS)。鑰密碼的密鑰交換和基于證節的身份認證;基于對稱(chēng)密鑰的L2TP協(xié)議允許對IP,IPX或NetBEUI數據流進(jìn)行加數據傳輸保密。密,然后通過(guò)支持點(diǎn)對點(diǎn)數據報傳遞的任意網(wǎng)絡(luò )發(fā)送,如IP,SSs工作時(shí)首先由SsL的記錄層(Record layer)封裝 更高X.25,楨中繼或ATM。層的HTTP等協(xié)議。記錄層數據可以被隨意壓縮加密,與消第2層隧道協(xié)議(PPTP和L2TP)創(chuàng )建隧道的過(guò)程類(lèi)似息驗證碼(MAC)打包在一起。 每個(gè)記錄層包都有一一個(gè)內容類(lèi)于在雙方之間建.立會(huì )話(huà),隧道的2個(gè)端點(diǎn)必須同意創(chuàng )建隧道型(content type)段用以記錄更上層用的協(xié)議。并協(xié)商隧道各種配置變量,如地址分配,加密或壓縮等參數。工作時(shí)客戶(hù)端要收發(fā)幾個(gè)握手信號:發(fā)送一個(gè)Clien-絕大多數情況下，通過(guò)隧道傳輸的數據都使用基于數據報的tHello消息,說(shuō)明它支持的密碼算法列表、壓縮方法及最高協(xié)協(xié)議發(fā)送。采用隧道維護協(xié)議作為管理隧道的機制。議版本，也發(fā)送稍后將被使用的隨機字節。然后收到一個(gè)2.2第3層隧道技術(shù)ServeHello消息,包含服務(wù)器選撣的連接參數,源自客戶(hù)端初第3層隧道技術(shù)是在網(wǎng)絡(luò )層進(jìn)行的,第3層隧道協(xié)議是期所提供的CientHello當雙方知道了連接參數,客戶(hù)端與服把各種網(wǎng)絡(luò )協(xié)議直接裝人隧道協(xié)議中,形成的數據包依靠第務(wù)器交換證書(shū)(依靠被選擇的公鑰系統)。這些證書(shū)通?；?層協(xié)議進(jìn)行傳輸。第3層隧道協(xié)議有g(shù)RE (RFC 2784,x.509,不過(guò)已有草案支持以OpenPGP為基礎的證書(shū)。服務(wù)器General Routing Encapsulaion)、IPSec等。IPS(IP Securiy)定能夠請求得到來(lái)自客戶(hù)端的證書(shū)，所以連接可以是相互的身義了一個(gè)系統來(lái)提供安全協(xié)議選擇.安全算法,確定服務(wù)所使份認證。用密鑰等服務(wù),從而在IP層提供安全保障。(2) SSL VPN技術(shù)的主要優(yōu)點(diǎn)第3層隧道技術(shù)的實(shí)現通常假定所有配置問(wèn)題已經(jīng)通①無(wú)需安裝客戶(hù)端軟件。執行基于SSL協(xié)議的遠程訪(fǎng)問(wèn)過(guò)手工過(guò)程完成。這些協(xié)議不對隧道進(jìn)行維護。而第2層隧道不需要在遠程客戶(hù)端設備上安裝軟件。只需通過(guò)標準的支持協(xié)議(PPTP和L2TP)則必須包括對隧道的創(chuàng )建,維護和終止。SSL的Web瀏覽器連接因特網(wǎng);IPSec協(xié)議位于網(wǎng)絡(luò )層，是目前應用最廣泛的VPN協(xié)②適用大多數設備?；赪eb訪(fǎng)問(wèn)的開(kāi)放體系可以運議,安全性高,但配置較復雜。行標準的瀏覽器訪(fǎng)問(wèn)任何設備;IPSec是一種由letF設計的端到端的確?；贗P③可以穿越防火墻進(jìn)行訪(fǎng)問(wèn)。由于SSL以443通信端口通訊的數據安全性的機制。按照ETF的規定,使用封裝作為傳輸通道,它通常是作為Web Server對外的數據傳輸通安全負載與加密一道提供來(lái)源驗證，確保數據完整性。道,不需修改防火墻的配置,從而影響通信系統的安全性;不采用數據加密時(shí),IPSec使用驗證包頭提供來(lái)源驗證確④維護工作量小,減少費用。對于那些簡(jiǎn)單遠程訪(fǎng)問(wèn)用保數據完整性。且只有發(fā)送方和接受方知道秘密密鑰,戶(hù)，基于SsL的VPN網(wǎng)絡(luò )可以非常經(jīng)濟地提供遠程訪(fǎng)問(wèn)服如果驗證數據有效，接受方就可以知道數據來(lái)自發(fā)送務(wù),而這也是SSL VPN最適用的場(chǎng)合。方,并且在傳輸過(guò)程中沒(méi)有受到破壞。.(3) SSL VPN的不足IPSec可以看成是位于TCP/IP協(xié)議棧的下層協(xié)議。該層通用性:只能有限地支持Windows應用或者其它非基于由每臺機器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)進(jìn)Web界面的系統;安全性:SSL中驗證網(wǎng)絡(luò )服務(wù)器身份所使用行控制。IPSec隧道模式允許對IP負載數據進(jìn)行加密,然后封的數字證節可能會(huì )被偷竊或復制;網(wǎng)絡(luò )性能:SSL會(huì )話(huà)中所需裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò )或公共IP互聯(lián)網(wǎng)絡(luò )如Inter-的任務(wù)繁重的密碼計算會(huì )影響網(wǎng)絡(luò )服務(wù)器的性能。net發(fā)送。中國煤化工2.3 SSL技術(shù)3其MYHCNMHG安全套接層(Secure Sockets Layer ,SL)及其新繼任者傳輸層安全(Transport Layer Security ,TLS)是在互聯(lián)網(wǎng)上提供保加解密技術(shù)是數據通信中一項較成熟的技術(shù),VPN 可直.2008年第05期《計算機與網(wǎng)絡(luò )> :通信論壇(54)China Computer & Network計算機與網(wǎng)絡(luò )創(chuàng )新生活接利用現有技術(shù)。-種有效的解決方案,將逐漸取代采用專(zhuān)線(xiàn)構建企業(yè)專(zhuān)用網(wǎng)密鑰管理技術(shù)的主要任務(wù)是如何在公用數據網(wǎng)上安全絡(luò ) 的傳統做法。地傳遞密鑰而不被竊取?，F行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用DifieHellman的演算法則,在網(wǎng)絡(luò )上傳輸密鑰;在ISAKMP中,雙方都有2把參考文獻密鑰,分別用于公用、私用。[1]謝希仁.計算機網(wǎng)絡(luò )(第四版)[M].北京:電子工業(yè)出版社，身份認證技術(shù)最常用的是使用者名稱(chēng)與密碼或卡片式2003.認證等方式。[2]拓守恒.VPN安全-隧道技術(shù)研究).福建電腦,2007(1):30-31.4結束語(yǔ)[3]劉菌,陳常嘉VPN技術(shù)應用與實(shí)現淺談D].電子科技,2006(11): 77-80.VPN為借助公共網(wǎng)絡(luò )服務(wù)平臺搭建廣泛的通信網(wǎng)絡(luò )的[4]李世武,韓雅琴.VPN技術(shù)與實(shí)現策略研究0].計算機與網(wǎng)絡(luò ),2006(23):38-40.企業(yè)以廉價(jià)的價(jià)格享受更高的安全保證,通過(guò)各種安全技術(shù)的引人,可以保證通信的安全性,提供較高的網(wǎng)絡(luò )性能。VPN[5]何亞輝,肖路,陳鳳英.基于IPSec的VPN技術(shù)原理與應用兼備了公眾網(wǎng)和專(zhuān)用網(wǎng)的許多優(yōu)點(diǎn)成為構建企業(yè)專(zhuān)用網(wǎng)絡(luò )的0].重慶工學(xué)院學(xué)報,2006(11):114 -117.(上接第51頁(yè))在UML2.0中規定,配置圖的節點(diǎn)(Node)所代表的計算機資源,不僅是指硬件設備(Device) ,如處理器,讀卡器,移動(dòng)[1] 文燁斌,姚國祥,許龍飛.UML2.0的新特性以及在選課系設備,通信設備等;而且可以是指包含在設備內的可執行環(huán)境統中的應用D.佳木斯大學(xué)學(xué)報(自然科學(xué)版),2005(4):3-5.(Executing Environment)。執行環(huán)境是其他軟件的宿主,如操[2] 馬浩海,劉實(shí),蔣嚴冰.UML2.0擴展機制分析D].內蒙古大作系統J2EE容器、工作流引擎、數據庫等。學(xué)學(xué)報(自然科學(xué)版),2005 ,36(1):1-3.[3] WILL K C.Will UML 2.0 Be Agile or Awkward J.Commu7結束語(yǔ)nicationsof the ACM JanuaryD.2002,45(1):107-110.UMI2.0在不斷完善的同時(shí),OMG的分析設計平臺小再傳捷報:易PC火爆浙江好易購組副主席Cris Kobryn卻認為UML正變得越來(lái)越肥胖，需要據悉,華碩易PC日前在電視購物等傳統渠道的銷(xiāo)售再減肥。其實(shí)UML用的范圍越來(lái)越廣,需要面對的問(wèn)題就越來(lái)次創(chuàng )下了火爆的場(chǎng)景,在湖南衛視的快樂(lè )購梅開(kāi)二度，在1越復雜,同時(shí)還要滿(mǎn)足各個(gè)行業(yè),各種企業(yè)的需求,因此規模小時(shí)8分種的短短時(shí)間內，易PC再- -次創(chuàng )下了銷(xiāo)售 700臺越來(lái)越龐大也在所難免。但是如果新的規約變得越來(lái)越復雜的火爆戰績(jì)。不僅如此,易PC在2007年底在杭州好易購創(chuàng )和龐大,就會(huì )難以管理、理解和實(shí)施。值得注意的是UML2.0下了每6秒成交一臺的記錄后,于3月初再度登陸浙江杭州的外廓Profiles 允許增加和刪減UML的部分特性，可以調整好易購頻道,再一次創(chuàng )下火爆銷(xiāo)售360臺的佳績(jì)!出合適自己使用的UML。從某種程度.上說(shuō),易PC已經(jīng)不再單單是一一個(gè)產(chǎn)品的型2003年9月，總部位于德國漢堡的Gendeware公司號名稱(chēng),而是簡(jiǎn)約時(shí)尚超便攜的代名詞。易PC已然成為時(shí)巳經(jīng)成功開(kāi)發(fā)出支持UMI2.0規約的建模工具Poseidon尚休閑的風(fēng)尚標志了，越來(lái)越多的年輕- -代加入到易PC . -for UML 2.0,目前最新的版本是6.0。這個(gè)新的建模工族,網(wǎng)上不僅出現了很多易PC的專(zhuān)門(mén)網(wǎng)站,還出現了很多和具集提供了和其他UML工具的交互能力，而且還支持易PC相關(guān)的新鮮名詞,比如,易粉、易飯、易PC周邊等等。易PC為何如此受歡迎?我們知道,對于已經(jīng)相對成熟UML2.0規約的元素以及新增圖形，其企業(yè)版還是首個(gè)支持異地成員對同一模型共同開(kāi)發(fā)的建模工具。IBM也的傳中國煤化工同質(zhì)化效應使得PC市場(chǎng)1YH-次爆發(fā)性. .創(chuàng )新性的在2004年底推出了其新-代的軟件開(kāi)發(fā)平臺Atlantic ,這突破。CNMH G在入了一段新鮮的血系統將會(huì )給予UMI2.0更多的支持。液和全新發(fā)展思路,它是對現有臺式機、筆記本電腦及掌上電腦的豐富和拓展,是真正的“第四類(lèi)電腦"?！队嬎愫团c數據> 2008年第05期