荣东明 周 全 何 远
[摘要]随着企业信息化的发展,移动办公对远程接入提出了新的挑战。从远程接入的发展,VPN原理和特点等几个方面进行论述,并对远程接入在实际应用中的注意事项做说明。
[关键词]移动办公远程接入无线VPN
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110079-01
随着企业信息化发展和3G时代的到来,人员的流动性加大,传统的办公方式已经满足不了新的的需求,移动办公,soho办公(Small Office Home Officer)逐渐将成为新的的办公方式。相比传统的办公方式,移动办公和soho办公带来了更灵活的工作时间以及办公地点。因此远程登录,远程访问开始成为现代工作生活的一种必要的需求。
一、远程接入的发展
普通电话拨号技术是历史最久的远程接入技术。基本方式是两个计算机之间分别安装一种称为调制解调器(Modem)的网络连接设备,然后通过电话拨号的形式建立计算机间远程接入。
普通电话的网络连接速度并不能满足企业网络带宽的要求,市场的发展需要一种能够承载多媒体业务的网络。于是,就出现了综合业务数字网ISDN(Integrated Service Digital Network)。
ADSL技术的发展使宽带进入了千家万户,互联网得到很快的发展,带宽从拨号时代几K发展到现在的几M,对光纤接入的用户都达到了100M级。通过互联网的资源,连接企业的内部网络便成了人们的理想,于是VPN(Vi
rtual Private Network)虚拟专用网络便诞生了。
基于有线资源的接入技术受到线路资源的限制,VPN用户只能在接入点使用。3G时代的到来,给远程接入带来了新的发展。通过3G终端使用VPN接入到企业的内部网络,用户的接入时间与接入空间得到有效的扩展,移动VPN将会成为未来一段时间远程接入的新趋势。
普适计算(Pervasive Computing)也称无处不在计算(Ubiquitous Computing),它集移动通信技术、计算技术、小型计算设备制造技术、小型计算设备上的操作系统及软件技术等多种关键技术于一体,通过将普适计算设备嵌入到人们生活的各种环境中,使通信服务以及其它基于信息网络的各种“以人为中心”的计算和信息访问服务在任何时候、任何地点都成为可能,它将会把远程接入推向新的时代。
二、VPN及无线VPN的原理
电话拨号大家比较熟悉,普适计算还在发展过程中,VPN近年来得到业界广泛的应用,移动VPN逐渐成为新的趋势。因此我们主要来谈谈VPN与移动VPN的原理。
(一)VPN原理
虚拟专用网VPN(Virtual Private Network)指的是依靠ISP(Inter
Net服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。虚拟专用网络可以实现不同网络的组件和资源之间的相互连接,能够利用Internet或其它公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
本质上VPN是使用一种类似于节点间,通过建立点到点关系的连接的方式来进行加密通信。按照标准的OSI(Open System Interconnection,开放式系统互联参考模型)分层协议来运作,加密数据包通过添加IP包头逐层向下传输一直到实际物理链路,然后根据IP头中的目的地址发送给目的端主机,VPN网关收到包以后,解密数据包并逐层向上,直到剩下的是原来的数据包为止。整个过程对于后台的应用程序来说是完全透明的。
VPN的安全加密算法主要有L2TP、IPSEC、SSL等,各有优缺点,适用于不同的应用环境。L2TP本质上是一种隧道传输协议,它使用两种类型的消息:控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道,而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。在安全性考虑上,L2TP仅定义了控制消息的加密传输方式,对传输中的数据并不加密。IPSec VPN简单来说就是采用IPSec协议来实现远程登录的一种VPN技术,IPSec是IETF(Internet Engineer Task Force)制定的安全标准,IPSec协议是一个范围广泛、开放的虚拟专用网安全协议,它提供所有在网络层上的数据保护,提供透明的安全通信。IPSec是基于网络层的,不能穿越通常的NAT、防火墙。SSL VPN简单来说就是采用SSL协议来实现远程登录的一种新型VPN技术。SSL(S
ecurity Socket Layer)协议是网景公司提出的基于WEB应用的安全协议,它包括:服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性,SSL是基于传输层的。SSL协议被内置于IE等浏览器中,使用SSL协议进行认证和数据加密的SSL VPN就可以免于安装客户端,简化了客户端的操作。所以通常情况SSL VPN使用的较多。
(二)移动VPN原理
VPN应用于无线领域便成了移动VPN,通过无线路由器等接入的其实质还是固定网络的VPN,移动VPN主要指通过GPRS,WCDMA等远程接入方式,其与普通VPN原理一样。但由于无线网络的安全性较低,所以在安全性方面需要加入新的内容。移动VPN对移动终端的要求取决于移动VPN所采用的技术和实现方式。根据VPN中隧道的发起位置来划分,VPN可以分为两种:网络发起的VPN和终端发起的VPN。
网络发起的VPN是指VPN隧道的发起点是网络设备,在移动网络中,指由GGSN发起VPN隧道至企业网关。它可以是GRE、MPLS、IPSec、L2TP等技术之一,或是这些技术的组合。网络发起的VPN一般对终端无特殊要求。
终端发起的VPN是指隧道的起点是终端,由终端主动发起一条隧道至企业网关。终端发起的VPN一般采用IPSec或L2TP技术,这要求终端支持IPSec协议或L2TP协议。目前大多数终端均不支持IPSec协议和L2TP协议,如要实现这种VPN方式,可通过数据卡方式实现。同时,在这种情况下,VPN和移动运营商没有直接关系,移动网络只对VPN起承载作用。这种VPN常用于保障端到端的数据安全的业务场景。
移动VPN在无线接入子网可以设置自主认证体系,以便对经过HLR认证的客户在拨号联接时进行机号、用户名、拨号口令的核查并进行日志记录,杜绝非法用户的进入。合法的用户在使用前必须采用登录访问方式,以确保即使发生未发觉的遗失,由于捡拾者无法知道登录信息,所以也无法使用系统。
三、VPN具有以下主要特点
安全保障:由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
服务质量保证(QoS):VPN网为企业数据提供不同等级的服务质量保证,如对移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素;而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。
可扩充性和灵活性:VPN能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。可管理性:VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至客户和合作伙伴,要求减小网络风险,具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理以及QoS管理等内容。
四、远程接入时应注意的措施
1.使用VPN业务的终端应强制采取一些安全政策和设置,以便进一步提高VPN连接的安全性。
2.一开始VPN连接,就通过非常严格的政策来关闭并行网络连接。避免屏幕录制等木马窃取用户信息而对VPN造成威胁。
3.拒绝用户在上网期间把数据保存到本地,迫使他们把数据保存到网络上。即使笔记本电脑被偷或手持终端丢失也不成问题,因为上面根本没有什么信息。
五、结语
通过虚拟专用网VPN可以帮助远程用户、分公司、合作伙伴及经销商等建立内部的可信安全连接,保证数据的安全传输,这样既可以得到最新的信息,扩大信息量,又能保证沟通的及时性。
移动数据业务是3G网络有别于2G的重要业务。移动数据VPN则是针对企业用户提供良好应用的非常重要的业务基础。基于移动数据VPN,可为企业用户提供安全、便捷的企业资源访问、Web/WAP信息发布、E-mail服务、行业特色服务等。所以通信企业在搞好自身移动办公的同时,如何在企业信息化浪潮中推广好移动VPN业务是3G时代通信企业要考虑好的问题。
参考文献:
[1]安全VPN保护无线游民,http://www2.ccw.com.cn/weekly/tech/htm
2009/20090215_588386.shtml.
[2]虚拟专用网VPN,http://safe.zol.com.cn/119/1195850.html.
[3]移动数据VPN技术及业务研究,http://www.eefocus.com/article/07-02/061002306979.html.
[4]IP VPN技术特点与安全机制,http://www.gz183.com.cn/Info/99/info
12125_1.htm.
作者简介:
荣东明(1970-),通信工程师,研究方向:网络安全;周全(1971-),通信工程师,研究方向:网络安全;何远(1977-),在读硕士研究生,研究方向:网络安全。