趙統(tǒng)一
摘 要:本文對(duì)影響網(wǎng)絡(luò)安全VPN關(guān)鍵技術(shù)的一些因素進(jìn)行了分析,分析了網(wǎng)絡(luò)安全VPN 關(guān)鍵技術(shù)工作原理,并對(duì)VPN 技術(shù)利弊進(jìn)行了剖析,討論了VPN 技術(shù)在實(shí)際工作中的運(yùn)用。
關(guān)鍵詞:網(wǎng)絡(luò)安全 VPN 應(yīng)用
1 影響VPN技術(shù)的安全性因素
(1)竊聽攻擊。一般情況下,絕大多數(shù)網(wǎng)絡(luò)通信是利用公共網(wǎng)絡(luò)資源進(jìn)行信息交互存在不安全隱患,攻擊者通過獲取數(shù)據(jù)通信路徑,就可以“竊聽”或者“解讀”數(shù)據(jù)流,引起通信信息外泄、危及敏感數(shù)據(jù)安全
(2)中間者攻擊。中間者攻擊主要對(duì)通信對(duì)象的通信過程以及通信數(shù)據(jù)進(jìn)行監(jiān)視、截取和控制,對(duì)數(shù)據(jù)交換進(jìn)行重定向,使用網(wǎng)絡(luò)低層協(xié)議的通信兩端的主機(jī)是很難區(qū)分出不同的通信對(duì)象。
(3)流量數(shù)據(jù)分析攻擊。“流量數(shù)據(jù)分析”攻擊是通過檢查IP 包中的網(wǎng)絡(luò)流量,分析誰(shuí)正在參與交互通信、使用何種服務(wù)、推測(cè)出信息交互者之間的關(guān)系等方式,通過檢查包的未加密字段或未加保護(hù)包的屬性進(jìn)行攻擊。
2 VPN 的安全關(guān)鍵技術(shù)
目前,VPN 主要采用四項(xiàng)技術(shù)來保證安全,這四項(xiàng)技術(shù)分別是隧道技術(shù)、加密技術(shù)、密鑰管理技術(shù)和身份認(rèn)證技術(shù)。
(1)隧道技術(shù)。網(wǎng)絡(luò)隧道技術(shù)在不改變網(wǎng)絡(luò)標(biāo)準(zhǔn)的條件下,利用公共網(wǎng)絡(luò)來實(shí)現(xiàn)某些使用特別通信協(xié)議的網(wǎng)絡(luò)或用戶之間的連接和通信,是一種利用可路由協(xié)議(如IP 協(xié)議)在網(wǎng)絡(luò)中傳送其他協(xié)議數(shù)據(jù)包到目標(biāo)網(wǎng)絡(luò)的技術(shù)。目前,通常采用封裝普通組播數(shù)據(jù)報(bào)的辦法,將報(bào)頭、校驗(yàn)和以及有效負(fù)載組成的組播數(shù)據(jù)報(bào)轉(zhuǎn)換(封裝)成源路由IP 數(shù)據(jù)報(bào)。源路由IP 數(shù)據(jù)報(bào)有不同的報(bào)頭結(jié)構(gòu),并可以容納完全的組播數(shù)據(jù)報(bào),在封裝時(shí),最終目標(biāo)和源路由器的IP 地址被插入到數(shù)據(jù)報(bào)的報(bào)頭中。然后使用IP 協(xié)議可用的算法對(duì)數(shù)據(jù)報(bào)進(jìn)行傳輸,并且通過路由器發(fā)送,直到到達(dá)最終的目標(biāo)路由器。當(dāng)數(shù)據(jù)包到達(dá)最終目標(biāo)路由器時(shí),它進(jìn)行解包,源路由報(bào)頭被刪除,IP 地址由原來的組播IP 地址代替,然后將數(shù)據(jù)報(bào)提交給目標(biāo)網(wǎng)絡(luò)中的相應(yīng)主機(jī)。
(2)加密技術(shù)。目前VPN 中均采用對(duì)稱加密體制和公鑰加密體制相結(jié)合的方法。對(duì)稱加密體制的通信雙方共享一個(gè)密鑰,發(fā)送方使用該密鑰將明文加密成密文,接受方使用相同的密鑰將密文還原成明文。公鑰加密體制,也稱非對(duì)稱加密體制。在通信過程中,發(fā)送方用接收方的公開密鑰加密消息,并且可以用發(fā)送方的秘密密鑰對(duì)信息加密,進(jìn)行數(shù)字簽名。接收方收到消息后,用自己的秘密密鑰解密消息,并使用發(fā)送方的公開密鑰解密數(shù)字簽名,驗(yàn)證發(fā)送方身份。數(shù)據(jù)加密技術(shù)按照不同的形式有不同的分類方法,貫穿于整個(gè)信息存儲(chǔ)、傳輸、鑒別和管理的全過程。
(3)密鑰管理技術(shù)。密鑰管理技術(shù)的主要任務(wù)是保障公用數(shù)據(jù)網(wǎng)上傳遞密鑰的安全。1)對(duì)稱密鑰管理。數(shù)據(jù)發(fā)送方可以為每次交換的信息生成唯一一把對(duì)稱密鑰并用公開密鑰對(duì)該密鑰進(jìn)行加密,然后再將加密后的密鑰和用該密鑰加密的信息一起發(fā)送給相應(yīng)的數(shù)據(jù)接收方。2)公開密鑰管理/數(shù)字證書。目前電了商務(wù)廣泛采用數(shù)字證書技術(shù),通信雙方之間可以使用數(shù)字證書(公開密鑰證書)來交換公開密鑰,標(biāo)識(shí)通信雙方。
(4)身份認(rèn)證技術(shù)。身份認(rèn)證技術(shù)是網(wǎng)絡(luò)安全中最直接、最前沿的一道防線,是鑒別合法用戶與非法用戶重要手段,用戶在使用網(wǎng)絡(luò)安全系統(tǒng),首先必須向身份認(rèn)證系統(tǒng)表明自己的身份,經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別確認(rèn)身份后,根據(jù)用戶身份、權(quán)限級(jí)別決定能否訪問某個(gè)資源或者進(jìn)行某項(xiàng)操作,在允許并監(jiān)督經(jīng)過授權(quán)的操作同時(shí)防止非法操作,是防止黑客入侵和計(jì)算機(jī)病毒破壞的重要手段,在信息安全中占有非常重要的地位。目前,身份確認(rèn)技術(shù)的發(fā)展越來越受到人們的重視,根據(jù)層次和先后出現(xiàn)的順序,主要包括一般常用的靜態(tài)口令、一次性口令、數(shù)字證書和生物特征技術(shù)等等。
3 VPN 技術(shù)的優(yōu)點(diǎn)
(1)降低成本,VPN 利用了現(xiàn)有的Internet 組建虛擬專網(wǎng),不需要使用重新敷設(shè)專用的線路就能實(shí)現(xiàn)數(shù)據(jù)安全的傳輸,實(shí)現(xiàn)了資源共享,降低了通信成本。
(2)易于擴(kuò)展,采用VPN 只需在結(jié)點(diǎn)處架設(shè)VPN 設(shè)備,就可利用Internet 建立安全連接,這樣在分部增多,內(nèi)部網(wǎng)絡(luò)結(jié)點(diǎn)趨于復(fù)雜,只需添加一臺(tái)VPN 設(shè)備,改變相關(guān)配置,就可以實(shí)現(xiàn)新的內(nèi)部網(wǎng)絡(luò)安全連接。
(3)保證安全,VPN 技術(shù)利用可靠的加密認(rèn)證技術(shù),在內(nèi)部網(wǎng)絡(luò)建立隧道,增加了信息安全性,可以有效防止信息被泄露、篡改和復(fù)制。
4 VPN 技術(shù)的實(shí)際運(yùn)用用
(1)VPN 技術(shù)在遠(yuǎn)程辦公系統(tǒng)中的應(yīng)用。網(wǎng)絡(luò)時(shí)代,企業(yè)規(guī)模不斷擴(kuò)大,分支機(jī)構(gòu)分布廣泛,企業(yè)內(nèi)部及合作伙伴之間的信息交互非常頻繁。由于公網(wǎng)以非加密的明文進(jìn)行傳輸,保密性和安全性很差,而防火墻、加密傳輸、入侵檢測(cè)或基于專線連接的方式不僅成本高,而且多數(shù)是被動(dòng)防御,難以適應(yīng)現(xiàn)代企業(yè)的需求。虛擬專用網(wǎng)(VPN)以其公網(wǎng)連接、加密傳輸?shù)膬?yōu)勢(shì),贏得了越來越多企業(yè)的青睞。企業(yè)總部一般是企業(yè)信息存放、處理的中心,內(nèi)部主機(jī)數(shù)量多,數(shù)據(jù)流量大,安全性和實(shí)時(shí)性要求高;分支機(jī)構(gòu)內(nèi)部建有一定規(guī)模的局域網(wǎng),同時(shí)通過當(dāng)?shù)豂SP 接Internet 網(wǎng),VPN 網(wǎng)關(guān)部署在機(jī)構(gòu)內(nèi)部網(wǎng)與Internet 網(wǎng)的接口處;移動(dòng)辦公人員訪問內(nèi)部網(wǎng)絡(luò)時(shí),不需使用VPN 網(wǎng)關(guān)設(shè)備,只需要移動(dòng)用戶的主機(jī)上安裝啟動(dòng)VPN 安全包即可。
(2)VPN 在電子商務(wù)安全中的應(yīng)用。隨著互聯(lián)網(wǎng)的發(fā)展,電子商務(wù)己經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。越來越多的企業(yè)通過Internet 進(jìn)行商務(wù)活動(dòng),但電子商務(wù)的安全問題是制約電子商務(wù)發(fā)展的主要瓶頸,如何建立一個(gè)安全、便捷的電子商務(wù)環(huán)境,對(duì)信息提供足夠的保護(hù),商家和用戶都十分關(guān)心。VPN 能夠利用Internet 或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道,并提供與令用網(wǎng)絡(luò)一樣的安全和功能保障,采用VPN 技術(shù)組網(wǎng),降低組網(wǎng)費(fèi)用和通訊費(fèi)用,增加靈活性,能為需要跨地域開展電子商務(wù)活動(dòng)的企業(yè)提供安全暢通的網(wǎng)絡(luò),解決電子商務(wù)安全的基礎(chǔ)網(wǎng)絡(luò)安全問題。
(3)VPN 技術(shù)在金融行業(yè)的應(yīng)用。解決方案金融系統(tǒng)已經(jīng)建立了覆蓋全國(guó)的網(wǎng)絡(luò),包括廣泛的企業(yè)內(nèi)部網(wǎng)、辦公網(wǎng)和開放Web 站點(diǎn)。隨著業(yè)務(wù)的合并、應(yīng)用的整合,事實(shí)上所有這些網(wǎng)絡(luò)就構(gòu)成了LAN+WAN+Internet 的一個(gè)復(fù)雜的而又不可分割的有機(jī)體。這樣一個(gè)有著多層次、廣用戶的業(yè)務(wù)應(yīng)用,存在縱橫交錯(cuò)的邏輯合并和物理連接的網(wǎng)絡(luò),不可避免地存在眾多安全隱患。為了解決端到端的數(shù)據(jù)安全,許多VPN 方案被提出:比如IIPPTP,L2TP,L2F VPN 以及MPLS VPN。東軟推出的NetEye VPN 采用了先進(jìn)的工PSec 協(xié)議,NetEye VPN 提供了完善的產(chǎn)品線,精簡(jiǎn)的NetEye Firewall withVPN,為用戶提供便捷的接入,靈活的安全策略控制。
5 結(jié)語(yǔ)
網(wǎng)絡(luò)在無(wú)形中改變了各行各業(yè)的運(yùn)作方式,信息運(yùn)營(yíng)也基本實(shí)現(xiàn)了業(yè)務(wù)的互聯(lián)、資源的共享。與此同時(shí),網(wǎng)絡(luò)安全性也越來越得到廣泛關(guān)注,VPN 技術(shù)提供了一種簡(jiǎn)潔有效、安全可靠的解決方案被廣泛應(yīng)用。
參考文獻(xiàn)
[1]王永生. VPN技術(shù)在企業(yè)中的應(yīng)用[J].大眾科技. 2008(08).
[2]范青. 淺談虛擬專用網(wǎng)(VPN)的技術(shù)研究與應(yīng)用[J].科技信息(科學(xué)教研). 2007(33).
[3]金武功. 關(guān)于VPN技術(shù)和應(yīng)用[J].電腦知識(shí)與技術(shù)(學(xué)術(shù)交流). 2007(17).