虚拟专用网VPN
来源:百度文库 编辑:神马文学网 时间:2024/05/23 17:35:40
信息系统的开放性和信息的安全性一直是一对矛盾,计算机系统在不断追求开放的同时,如何保证合法用户对系统资源的合法访问,如何防止黑客的攻击,也成为必须解决的首要问题。VPN的出现正是为了解决两个私有网络的连接问题,这也是PPTP、L2TP等VPN的根本目的,因为这样就可以为行业或者企业提供高性能、低价位的Internet接入。针对目前Internet上存在的诸多信息安全隐患,以及各种安全措施越来越受到企业的重视,“方案评析”栏目在本期推出了VPN技术应用专题,通过对东软、联想、天融信、Cisco等各类虚拟通道技术的应用分析,与读者共同探讨完善企业信息安全架构的最有效方法。
在信息经济时代,越来越多的机构、企业都从Internet中获得了巨大的便利。然而与此同时,人们也必须面对Internet的开放所带来的对数据安全的挑战,如果Internet网上传输的数据得不到有效的保护,那么企业的大量重要数据将暴露在公众面前,当这些数据被不法分子所窃取并用于非法目的时,必然给企业和客户带来重大的损失。针对这种状况,从事计算机信息安全的研究机构和企业,提出了众多解决方案,其中一种最适用于计算机网络通信安全需求的解决方案,就是VPN技术。
什么是VPN?
虚拟私有网络(VPN,Virtual Private Network)是一种利用公共网络来构建的私人专用网络技术,用于构建VPN的公共网络包括Internet、帧中继、ATM等。“虚拟”这一概念是相对传统私有网络的构建方式而言的,对于广域网连接,传统的组网方式通过远程拨号连接来实现,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴(典型的VPN架构如图1所示)。
关键业务网络系统的典型架构由机构设置决定,一般而言,一个典型的关键业务网络系统包含一个总部、若干分支机构、数量不等的合作伙伴及移动远程用户等。除远程用户外,其余各部分均为规模不等的局域网络,其中总部局域网是整个网络系统的核心,同时也是网络管理中心。各部分之间的联接方式多种多样,包括远程拨号、专线、Internet等,而互联方式则可分为三种模式:
① 个人拨号远程访问企业网络;
② 远程分支机构局域网通过专线或公网和总部局域网连接;
③ 合作伙伴(客户、供应商)局域网,通过专线或公网和总部局域网的非控制区连接。
VPN怎样给信息加密?
VPN系统一般采用建立在网络协议堆栈上的应用层VPN技术,在系统的TDI层和协议堆栈之间增加安全扩展模块,实现密钥管理、协商、数据加密/解密的过滤驱动程序(数据流程如图2所示)。通过这种安全扩展方式,不必修改上层的应用程序,所有要通过网络收发的数据包都必须经过该安全驱动程序的过滤。VPN的信息安全措施主要包含下以几种:
● 身份验证和数据加密 用户通过VPN客户端访问VPN网关时,客户端首先对用户进行双因子身份验证,即用户同时拥有用户数字证书和该证书的使用口令。VPN客户端采用基于PKI技术的数字证书技术,完成VPN网关服务器和用户身份的双向验证。验证通过后,VPN网关服务器产生对称会话密钥,并分发给用户。在用户与VPN网关服务器的通信过程中,使用该会话密钥对信息进行加密传输。身份验证和保护会话密钥在传递过程中的安全,主要通过非对称加密算法完成,VPN系统使用1024位的RSA算法,具有高度的安全性。
● 数据完整性保护 完善的VPN系统不但要对用户的身份进行认证
● 访问权限控制 企业需要利用VPN网络组织内部运营流程并与其客户及合作伙伴交换重要信息,这就要求企业VPN系统必须拥有严格的访问控制机制。VPN技术采用细粒度的访问权限列表模型(ACL),管理员可方便地为每个VPN用户分配不同的访问特权。ACL以用户身份特征为基础, 其管理与VPN系统的技术维护无关,企业可以将制定和管理ACL的工作,交由行政部门执行,既方便公司的管理,又可有效防止网络维护人员窃取公司机密。
VPN与专线的区别在哪?
与传统的电信专线网络相比,VPN虚拟专网具备以下优势:
● 廉价的网络接入 VPN虚拟专网利用免费的Internet资源将企业在全省乃至全国的各分支机构进行互联,各节点全部采用本地电话或本地专线接入方式,大大节省了长途拨号及长途专线的连接费用(VPN与专线访问的比较如下表所示)。
● 严格的用户认证 VPN系统全部采用CA认证体制(采用非对称密钥证书体系),即在企业信息中心VPN控制平台建立全省统一的认证授权系统,所有企业客户端都有自己的私有证书、用户名及密码,使接入用户与VPN虚拟专网、VPN网关进行双向身份鉴别,同时客户端还支持双因素身份认证。每次用户登录都将有严格的审计日志记录,以便于日后的审计与稽核,同时VPN系统增加了用户操作的数字签名,即数据交易的不可抵赖性,这种技术一般用于银行的金融业务交易。所以与普通专线相比,其强制认证措施确保了企业内网服务的访问与稽核安全。
● 高强度的数据保密 由于数据全部通过互联网进行传输,所以必须进行数据加密与数据完整性保护。VPN虚拟专网一般提供128位以上的对称加密措施,非对称密码算法使用1024位,并采用网络协议堆栈上的应用层VPN技术,全部采用一次一密体制,数据安全性极高。同时VPN虚拟专网采用MD5数据摘要算法,用以保护数据传输过程的完整性。而普通电信专线不提供任何形式的加密措施,所以VPN技术虽然构建在Internet之上,但其高强度的加密措施使得数据传输的安全性要比普通电信专线高得多。