朱梅 樊中奎
摘要:VPN(虚拟专用网)技术是采用隧道技术以及加密、身份认证等方法,在公共网络上构建企业网络的技术。该文首先对VPN的基本原理进行说明,结合TCP/IP协议、加密技术等与VPN相关基础知识较详细论述了VPN通道技术以及IPsec协议和VNP的两个主要协议: 认证头协议(AH)和封装安全载荷协议(LZTP)。最后展示了VPN的不同应用场景。
关键词:VPN;隧道;安全传输
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)27-0042-03
随着网络技术的快速发展,越来越多的组织或单位的员工需要随时随地连接到总部的网络,很多跨国企业在全球建立多个分支机构,同时企业也要使用网络与合作伙伴或客户之间进行动态的联系,这些都会给企业带来了网络的管理和安全性问题[1]。VPN(visual Private Network)技术就是在这种形势下应运而生,它使企业能够在公共网络上创建自己的专用网络,使得企业员工,分支机构,以及合作伙伴之间可以进行安全保密的通信。VPN已经是当前网络中的一项重要的应用。
1 VPN的工作原理
VPN就是在当前现有网络协议的基础之上通过附加相关的协议使通信双方可以在公共网络上进行通信时能够实施数据机密性保护,数据完整性保护,数据源身份认证,数据重放避免的方法进行数据保护的技术。
1.1 网络风险
数据泄漏风险是指网络通信过程中拨入段数据泄漏风险包括:攻击者在拨入链路上实施监听; ISP查看用户的数据;Internet上数据泄漏的风险。信息在到达请求或返回信息服务点之前穿越多个路由器,明文传输的数据很容易在路由器上被查看和修改[2]。窃听者可以在其中任一段网络链路上监听数据,逐段加密不能防止报文在路由器上被抓取,恶意的ISP(网络提供商)经常利用修改通道的终点的方法让信息转到一个存在风险的网关。安全在网关中的风险:数据在安全网关中是没有经过加密的,所以网关管理员可以随意查看机密数据,网关本身也会存在漏洞,一旦被黑客攻破,流经安全网关的数据将面临风险。单位内部网中数据泄漏的风险:内部网中可能存在被内部恶意人员或者恶意程序控制的主机、路由器等,内部员工可以获得企业内部网的数据报文。
数据源身份伪造:发送信息者伪造别人的身份进行信息的传送,而接收者不能明确的确定发送者的身份,从而给接收者带来不必要的损失。在公司企业中如果接收到伪造公司领导身份发送重要的决策指令将会给公司和企业带来重大的损失。
信息篡改,截断:当黑客通过其他相关手段掌握了信息的传递方式,以及信息格式等相应的规律后,通过各种方法,将网络上传送的报文信息在中间路由器上被修改,然后再发向目的地,这种方式是恶意者常使用的方法 [9]。
重放攻击:重放攻击又称重播攻击、回放攻击是计算机世界黑客常用的攻击方式,所谓重放攻击就是恶意人员发送一个目的主机已接收过的包,让系统重新执行相关操作来进行恶意活的过程,这种方式主要用来身份认证阶段。
1.2 VPN协议介绍
采用VPN技术,通过使用VPN服务器可以通畅的链接单组或组织内部网,同时又能保证信息的安全保密。当前直接使用路由器可以很容易实现不同主机网络之间的互联,但是并不能对特别用途的数据进行限制。使用VPN服务器进行网络信息的管控,只有符合单位身份要求的用户才能连接VPN服务器获得访问信息的权限。此外,VPN服务器可以对所有VPN数据进行加密,部门内部的局域网对其他用户来说是不可见的,从而确保数据的安全性。
常用的VPN协议有:L2F(Layer 2 Forwarding Protocol),是由思科系统公司开发的,创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密;它依赖于协议被传输以提供保密,L2F是专为隧道点对点协议(PPP)通信[3]。L2TP(Layer Two Tunneling Protocol,第二层隧道协议)是一种虚拟隧道协议,是一种虚拟专用网的协议。L2TP协议本身不具有加密的功能 ,因此必须跟其他协议配和使用才能完成保密通信的工作。与L2TP协议搭配的加密协议是IPsec,通常称为L2TP/IPsec。点对点隧道协议(Point to Point Tunneling Protocol)是实现虚拟专用网(VPN)的方式之一,PPTP使用传输控制协议(TCP)创建控制通道来发送控制命令,以及利用通用路由封装(GRE)通道来封装点对点协议(PPP)数据包以发送数据,这个协议最早由微软等厂商主导开发,但因为它的加密方式容易被破解,微软已经不再建议使用这个协议。
1.3 VPN隧道技术
隧道技术是一种在现在网络协议的基础之上,通过在现有报文中增加相关的内容,让带有这样信息的报文在公共的网络中进行安全传输。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。这些包含有VPN相关协议的帧或包封装到新带有路由信息的包头中,从而使封装的负载数据能够通过互联网络传递。
经过封装的数据包在网络上的两个端点之间通过公共互联网络进行传输,这段公共互联网络上传递时所经过的逻辑路径称为隧道[16]。一旦到达接收数据的网络,数据将被解包并转发到最终目的地。隧道技术的本质就是数据封装,传输和解包在内的全过程如图1所示。
PPP(Point to Point Protocol)协议隧道技术建立过程:
阶段1:创建PPP链路
PPP使用链路控制协议(LCP)进行物理链路的链接,链路创建的过程中首先是选择通信的方式;通信双方的验证协议;通信双方的数据压缩或加密方式。
阶段2:用户验证
这此阶段客户端将自己的身份信息发送给你远端接入服务器,这个过程是以安全的方式进行的避免信息的泄露。这个过程通常使用包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。
阶段3:PPP回叫控制
回叫控制阶段是PPP中的一个可选的阶段。当验证完成后远程客户和网络访问服务器断开,然后由网络服务器使用特点的电话号码进行回叫。这样能够对远程客户身份进行重新确认,有效增加了通信的安全性。
阶段4:调用网络层协议
在上面阶段完成后,在数据进行传输以前要完成网络层协议的调用,当前网络层的一般为IP协议,此时IP控制协议就会为用户分配动态地址。在微软的PPP方案中还会调用压缩控制协议和数据加密协议。
阶段5:数据传输阶段
在此阶段PPP就开始在连接对等双方之间数据转发。每个被传送的数据包都被封装在PPP包头内,该包头将会在到达接收方后被去除。如果选择使用数据压缩并且完成了协商,数据将会在被传送之前进行压缩。同样如果选择了数据加密并完成了协商,数据将会在传送之前进行加密。
1.4 IPSec隧道数据传输过程
IPSec是网络层的协议标准,主要负责数据的安全传输是当前使用较多的网络协议。IPsec对规定了IP数据流的加密机制,并且制定了隧道模式的数据包格式,使用IPsec协议隧道一般称为IPSEC隧道。由一个隧道客户和隧道服务器组成IPSec隧道,两端都配置使用IPSec隧道技术,加密机制采用协商完成。为实现数据传输的安全,IPSEC隧道模式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获的最初的负载IP包,负载IP包在经过正常处理之后被路由到位于目标网络的目的地[4]。
一个数据包经IPsecVPN隧道的传送过程,由左边的VPN保护子网内的PC机向右边VPN保护子网内的PC机传送数据时。1HostA发送的数据由VPN网关1内口;2VPN网关1内口接收后发现需要经过隧道,则把数据交由VPN网关1加密;3加完密后再由左eth0外口发送到VPN网关2的eth0外口;4右VPN网关2外口收到数据发现需要解密;5则由右VPN网关2内口解完密后交由右内网交换机转发或由本机接收,具图如图2所示。
2 VPN技术应用
2.1 用VPN连接分支机构
随着社会的发展当前有很多大型的公司企业他们在全球有很多分支机构,而每个分支机构都要与总部进行频繁信息传输,这些信息之中有很多是重要的商业机密信息一旦泄露会给公司带来巨大的损失。所以分支构与总部以及分支之间的信息通信一定要进行保护,由于公司地域范围太大不可能建立私的网络。使用VPN连接公司的各个各支机构是进行保密通信是VPN是当前最好的选择。由于公司各个分支以及总部的内部都是安全的线路,只要在公共网上保证信息的保密就能保证信息的安全,所在各个分支以及总部接入到公网以前架设VPN网关,双方的通信信息发出时对信息进行加密,接收到信息对信息进行解密,保证通信的安全。总部与分支机构之间VPN组网的示意如:图3所示。
2.2用VPN连接合作伙伴
当前很多大型的生产性企业都有很多的原料供应商,众多的原料供应商是公司的业务伙伴。公司与这些原料供商之间有相应的数据进行传输。这种模式跟总部与分支机构之间的关系是不相同的,公司与合作伙伴有时有竞争关系业务伙伴间的主机不是可信任的,所以合作双方对自己的数据都会使用更高级别的保护,因此在VPN网的设计时公司网与VPN网关之间的通信信息也要进行保密保护。公司与合作机构的VPN方案如图4所示。
2.3 用VPN连接远程用户
为保障单位内部网的安全,很多应用不会对公网 放,比如办公协同OA系统、财务查询系统等。但是有时候又需要在单位以外访问,比如当放假期间,老师可能需要在家里登陆OA查看学校最近发布的通知,这时可通过VPN的方式实现安全登录单位内部网。如图所示在个人用户在访问到公司内部网之前保证信息的安全,所以从个人到ISP提供商之间的网通信息也要进行信息的保护,这时用户一般使用户名密码的方式进行登录,然后取得双方进行通信的证书,然后通信双方通过证书中指定的加密方式进行保密通信,此方法是个人和单位进行通信的常用方法。
3 结论
本文从Internet的发展说明VPN技术产生的背景和意义,再对VNP的相关技术、协议进行研究与分析,对VPN中重要技术隧道的原量进行了详细的剖析。在此基础上,结合当前VPN的实际使用情况对三类使用方式结合示意进行了说明。当前对公共网络进行保密通信的技术还有很多新的技术的出现,本人会继续对相关内容进行关注。
参考文献:
[1] Gasey Wilson, Peter Doak. 虚拟专用网的创建与实现[M]. 钟鸣, 魏允韬,译. 北京: 机械工业出版社, 2000.
[2] 戴宗坤, 唐三平. VPN 与网络安全[M]. 北京: 电子工业出版社, 2002(8).
[3] 卿斯汉等. 密码学与计算机网络安全[M]. 清华大学出版社, 2001: 121-125.
[4] 张鹏, 李建, 王坤. IPsec 和 SSL 的分析和比较[J]. 信息工程大学学报, 2002,3(1): 68-70.