胡婧
北京交通大学 北京 100044
随着网络技术在企业管理中的不断普及,信息化的应用层次不断深入,各种局域网及其应用系统已经得到广泛应用,应用领域也从传统的个别部门的简单业务,逐渐向涵盖企业关键业务的整体网络系统扩展。尤其是以 Internet为代表的全球性的信息共享,为企业利用网络进行信息交换和管理提供了有利的条件。例如一般企业的内部管理系统,银行的金融业务系统,证券公司的证券交易系统,甚至党政机关的信息系统等,越来越多的企业建立了自己的内部网络,并与 Internet相连。因此,如何在充分利用企业的现有资源,不需要高额投资的基础上,建立高效,安全,易维护的企业内部网络,已经成为影响企业未来发展的一个重要课题。然而,传统的企业内部网络配置中,仍然存在一些需要解决的问题。
传统企业网络的接入方式十分昂贵。在传统的企业网络配置中,要使各部门局域网之间进行远程访问,通常采用的一种方法是DDN(数字数据网)专线,它由数字传输电路和相应的数字交叉复用设备组成,其中,数字传输主要以光缆传输电路为主,数字交叉连接复用设备对数字电路进行半固定交叉连接和子速率的复用。DDN作为计算机数据通信联网传输的基础,提供点对点、一点对多点的大容量信息传送通道,如利用全国DDN网组成的海关、外贸系统网络。各省的海关、外贸中心首先通过省级DDN网长途中继,到达国家DDN网骨干核心节点,然后由国家网管中心按照各地所需通达的目的地分配路由,建立一个灵活的全国性海关外贸数据信息传输网络,并且可通过国际出口局与海外公司互通信息,足不出户就可进行外贸交易。但是在整体网络的资源利用率上,DDN独享资源,信道专用将会造成一部分网络资源的浪费,而且用户需要租用一条专用通信线路,因此通讯及维护费用非常昂贵。
传统企业网络的安全性存在问题。计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引伸,即网络安全是对网络信息保密性、完整性和可用性的保护。企业网络安全是企业内部网络赖以生存的保障,只有网络安全得到保障,企业网络才能更好地实现自身的价值。
影响企业网络安全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,主要包括以下几个方面:①病毒的感染。如蠕虫病毒,木马程序等,计算机病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易的通过代理服务器以软件下载,邮件接收等方式进入企业网络,窃取企业机密文件等,从而给企业造成很大的损失。②来自外部网络的攻击。外部网络入侵者伪装为合法用户,恶意修改网络数据,窃取或破坏企业机密信息等。③来自企业内部网络的攻击。在企业局域网内部,如非法盗用别人的用户口令,以合法身份盗用机密信息,破坏信息内容等。实际上,企业网络的安全性并不是十分乐观,目前欧州各国的小型企业每年因计算机病毒导致的经济损失高达上百亿欧元,而这些病毒主要是通过电子邮件进行传播的。而包括从身份盗用到网络间谍在内的其他网络安全问题造成的损失则很难量化,网络安全问题带来的损失由此可见一斑。
为了解决企业内部网络存在的以上问题,可以采用更为先进的虚拟专用网络(Virtual Private Network, VPN)技术。它是一种利用 Internet或其他公共互联网络的基础设施,为用户提供具有安全性和可靠性的专用网络的技术。顾名思义,它并不是像前面提到的数字数据网(DDN)那样的真正的专用网络,但是却能够实现专用网络的功能。所谓虚拟,是指在虚拟专用网中,不再需要在两个节点之间建立传统的端到端的物理链路,而是利用公共网的资源动态组成的。所谓专用网络,是指用户可以根据自己的需求,建立一个“量身定做”的专用网络。由于 VPN是在公共网络上临时建立的专用虚拟网络,企业用户就省去了租用专线的费用,而所需的资金支出,仅仅是需要购买一套 VPN设备,以及向企业所在地的网络服务提供商(ISP)支付一定的上网费用。相比DDN专线而言,采用VPN技术的运营成本大大降低。
在确保网络安全性方面,VPN主要采用隧道技术,加解密技术,密钥管理技术以及使用者与设备身份认证技术。实现 VPN的最关键部分是在公共网络上建立虚信道,而建立虚信道就是利用隧道技术实现的,隧道是利用一种协议传输另一种协议的技术,即用隧道协议来实现 VPN功能。为创建隧道,隧道的客户机和服务器必须使用同样的隧道协议。常用的VPN隧道协议主要包括第二层隧道协议--L2TP,第三层隧道协议--IPSec以及安全套接层协议--SSL。
一种方案是采用L2TP协议,它主要由L2TP访问集中器(L2TP Access Concentrator, LAC)和L2TP网络服务器(L2TP Network Server, LNS)构成,企业用户通过公用电话网或ISDN拨号呼叫本地接入服务器LAC;LAC接受呼叫并进行基本的识别过程,这一过程可以采用几种标准,如域名、呼叫线路识别(CLID)或拨号 ID业务(DNIS)等,当用户被确认为合法企业用户时,就建立一个通向LNS的拨号VPN隧道,LAC将用户的PPP帧封装后通过隧道传送到LNS,后者去掉封装包头,取出PPP帧,再去掉PPP帧头,最后获得网络层数据包。L2TP的优点在于通过使用Nr(下一个希望接受的信息序列号)和Ns(当前发送的数据包序列号)字段进行流量和差错控制。双方通过序列号来确定数据包的顺序和缓冲区,一旦丢失数据,根据序列号可以进行重发。作为PPP的扩展协议,L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。L2TP定义了控制包的加密传输,每个被建立的隧道分别生成一个独一无二的随机密钥,以便对付欺骗性的攻击。但是由于它对传输中的数据并不进行加密,所以更加安全的一种做法是与IPSce协议相结合使用。IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议认证头(Authentication Header, AH)、封装安全载荷(Encapsulating Security Payload, ESP)、因特网密钥交换(Internet Key Exchange, IKE)和用于网络认证及加密的一些算法等。认证机制使 IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性,以防数据在传输过程中被窃听。IPsec协议中的AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供数据可靠性保证,IKE协议通过一系列数据的交换,最终计算出双方共享的密钥。
对于一般企业来说,以上两种协议相结合的虚拟网络配置方案,已经提供了足够的网络访问安全性,可以保证在公网中建立的虚信道不被非法用户篡改。但是,如果需要访问内部网络人员的身份多种多样,比如可能有自己企业的员工、控股公司的工作人员、供货商、分销商、商业合作伙伴等,那么除了保证网络访问的安全性以外,还要具备根据不同用户的不同身份,给予不同的访问权限,以达到保护敏感数据安全性的目的。这时涉及到另一种方案,采用安全套接层协议(SSL)的VPN网络。在安全性方面,SSL安全通道是在客户与所访问的网络资源之间建立的,无论在内部网络还是在因特网上数据都不是透明的,客户对资源的每一次操作都需要经过安全的身份验证和加密,这样可以确保点到点的真正安全。不同身份的用户虽然都可以通过SSL安全同道进入内部网络,但是不同人员可以访问的数据是不同的。而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个操作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。
通过上面提到的几种方案,可以说明 VPN技术已经能够提供足够的网络安全保障,可以保证用户数据不被非法访问与修改,所以用户不必担心企业内部的数据在公网上传输的安全性。另外,随着ADSL、DWDM等技术的大规模应用和推广,互联网带宽的不断增加,企业用户不再需要花费大量的经费去投资自己的专用网络,甚至花费巨额的长途话费进行远程网络接入。企业用户可以根据自身需求,选择适合自己的虚拟网络应用,这样不仅会大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性。从企业自身的发展来看,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。在不远的将来,VPN技术必将成为企业内部网络建设的最佳解决方案之一。
[1]谢希仁.计算机网络(第 4版)[M].北京:电子工业出版社.2003.
[2]王晶晶.基于IPSec协议的VPN技术探索与研究[J].电脑知识与技术.2008.
[3]罗爱玲,马范援.虚拟专网安全性的研究与实现[J].计算机工程.2004.
[4]张建军,田伟.VPN 在企业信息网络建设中的应用[J].网络安全技术与应用.2006.