- 易迪拓培训,专注于微波、射频、天线设计工程师的培养
IP VPN技术特点与安全机制
□ 信息产业部电信规划研究院 翟海生
一、对VPN的理解
早在1993年,欧洲虚拟专用网联盟(EVUA)就成立了,力图在全欧洲范围内推广VPN,但那时的VPN还主要是一个技术名词,VPN服务的真正发展还是近一两年的事。Internet是目前世界上最大和使用最广泛的网络,它所采用的IP技术包容性好,同时又是业界比较流行的通信机制;另外,Internet的迅猛发展为VPN提供了技术基础,全球化的企业为VPN提供了市场。正是基于上述理由,业内人士认为基于IP的VPN非常具有发展前途。
VPN可分为传统意义的VPN和IP VPN。所谓传统意义上的VPN,即在DDN网或公用分组交换网或帧中继网上组建VPN,并具有一个共同的特点,即利用DDN网或公用分组交换网或帧中继网的部分网络资源如传输线路、网络模块、网络端口等划分成一个分区, 并设置相对独立的网络管理机构,对分区内数据量及各种资源进行管理,分区内的各节点共享分区内的网络资源,它们之间的数据处理和传送相对独立,就好像真正的专用网一样。所谓IP VPN是依靠ISP和其它NSP(网络服务提供商)在公用网络中建立专用的数据通信网络的技术。其中,IETF草案基于IP VPN的理解是“使用IP机制仿真出一个私有的广域网”,即通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓“虚拟”,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓“专用网络”,是指用户可以为自己制定一个最符合自己需求的网络。
尽管VPN有上述区分,但目前业界所讨论的主要是基于IP的VPN,因此本文主要针对IP VPN从多层面、多角度进行分析探讨。
二、IP VPN的分类
按照网络连接方式的不同,一般把IP VPN分为以下三种类型。
1.远程访问虚拟专网(Access VPN)
Access VPN与传统的远程访问网络相对应,它通过一个拥有与专用网络相同策略的共享基础设施,提供对企业内部网或外部网的远程访问。如图1所示。在Access VPN方式下远端用户不再像传统的远程网络访问那样通过长途电话拨号到公司远程接入端口,而是拨号接入到远端用户本地的ISP,采用VPN技术在公众网上建立一个虚拟的通道。Access VPN能使用户随时随地以其所需的方式访问企业资源。Access VPN包括模拟拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术,能够安全地连接移动用户、远程工作者或分支机构。
2.企业内部虚拟专网(Intranet VPN)
越来越多的企业需要在全国乃至世界范围内建立各种办事机构、分公司、研究所等,各个分公司之间传统的网络连接方式一般是租用专线。显然,在分公司增多、业务开展越来越广泛时,网络结构趋于复杂,费用昂贵。利用VPN特性可以在Internet上组建世界范围内的Intranet VPN,如图2所示。利用Internet的线路保证网络的互联性,而利用隧道、加密等VPN特性可以保证信息在整个Intranet VPN上安全传输。Intranet VPN通过一个使用专用连接的共享基础设施,连接企业总部、远程办事处和分支机构。企业拥有与专用网络的相同政策,包括安全、服务质量(QoS)、可管理性和可靠性。
3.扩展的企业内部虚拟专网(Extranet VPN)
信息时代的到来使各个企业越来越重视各种信息的处理,希望可以提供给客户最快捷方便的信息服务,通过各种方式了解客户的需要,同时各个企业之间的合作关系也越来越多,信息交换日益频繁。Internet为这样的一种发展趋势提供了良好的基础,而如何利用Internet进行有效的信息管理,是企业发展中不可避免的一个关键问题。利用VPN技术可以组建安全的Extranet VPN,如图3所示,既可以向客户、合作伙伴提供有效的信息服务,又可以保证自身的内部网络的安全。其在网络组织方式上与Intranet VPN没有本质的区别,但由于是不同公司的网络相互通信,所以要更多的考虑设备的互连、地址的协调、安全策略的协商等问题。
三、IP VPN的特点
随着商务活动的日益频繁,各企业开始允许其生意伙伴、供应商访问本企业的局域网,简化信息交流的途径,增加信息交换速度。这些合作和联系是动态的,并依靠网络来维持和加强,于是各企业发现,这样的信息交流不但带来了网络的复杂性,还带来了管理和安全性的问题,因为Internet是一个全球性和开放性的、基于TCP/IP 技术的、不可管理的国际互联网络,因此,基于Internet的商务活动就面临非善意的信息威胁和安全隐患。 还有一类用户,随着自身的的发展壮大与跨国化,企业的分支机构不仅越来越多,而且相互间的网络基础设施互不兼容也更为普遍。因此,用户的信息技术部门在连接分支机构方面也感到日益棘手。
Access VPN、Intranet VPN和Extranet VPN为用户提供了三种VPN组网方式,但在实际应用中,用户所需要的VPN又应当具备哪些特点呢?一般而言,一个高效、成功的VPN应具备以下几个主要特点。
1.具备完善的安全保障机制
虽然实现IP VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接,称之为建立一个隧道,可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证了数据的私有性和安全性。在安全性方面,由于VPN直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。Extranet VPN将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。
2.具备用户可接受的服务质量保证(QoS)
IP VPN应当为企业数据提供不同等级的服务质量保证,不同的用户和业务对服务质量保证的要求差别较大。例如对于移动办公用户,提供广泛的连接和覆盖性是Access VPN保证服务的一个主要因素;而对于拥有众多分支机构的Intranet VPN或基于多家合作伙伴的Extranet VPN而言,能够提供良好的网络稳定性是满足交互式的企业网应用首要考虑的问题;另外,对于其它诸如视频等具体应用则更对网络提出了明确的要求,包括网络时延及误码率等等。所有以上网络应用均要求VPN网络根据需要提供不同等级的服务质量。在网络优化方面,构建VPN的另一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率较低,在流量高峰时引起网络拥塞,产生网络瓶颈,难于满足实时性要求高的业务服务质量保证;而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽优化管理,使得各类数据能够被合理地先后发送,并预防拥塞的发生。
3.具备良好的可扩充性与灵活性
IP VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.具备完善的可管理性
在IP VPN管理方面,要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。尽管可以将一些次要的网络管理任务交给服务提供商去完成,但企业自己仍需要完成许多网络管理任务,所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上,VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
四、IP VPN的安全机制
由于IP VPN是在不安全的Internet中进行通信,而通信的内容可能涉及到企业的机密数据,因此其安全性就显得非常重要,必须采取一系列的安全机制来保证VPN的安全。IP VPN的安全机制通常由加密、认证及密钥交换与管理组成。
1.加密技术简介
在VPN中为了保证重要的数据在公共网上传输时不被他人窃取,采用了加密机制。在现代密码学中,加密算法被分为对称加密算法和非对称加密算法。
对称加密算法采用同一把密钥进行加密和解密,优点是速度快,但密钥的分发与交换不便于管理。而采用不对称加密算法进行加密时,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥d,另一个则是对应的公用密钥e,任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。不对称加密还有一个重要用途即数字签名。
2.认证技术简介
认证技术可以区分被伪造、篡改过的数据,这对于网络数据传输,特别是电子商务是极其重要的。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换,映射为一段短的报文即摘要。由于HASH函数的特性,使得要找到两个不同的报文具有相同的摘要是困难的。该特性使得摘要技术在VPN中有两个用途:
验证数据的完整性
发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要与发来数据报文比较,相同则说明数据报文未经修改。由于在报文摘要的计算过程中一般是将一个双方共享的秘密信息连接上实际报文一同参与摘要的计算,不知道秘密信息将很难伪造一个匹配的摘要,从而保证了接收方可以辨认出伪造或篡改过的报文。
用户认证
该功能实际上是验证数据的完整性功能的延伸。当一方希望验证对方,但又不希望验证秘密在网络上传送。这时一方可以发送一段随机报文,要求对方将秘密信息连接上该报文作摘要后发回,接收方可以通过验证摘要是否正确来确定对方是否拥有秘密信息,从而达到验证对方的目的。
3.密钥的交换与管理
VPN中无论是认证还是加密都需要秘密信息,因而密钥的分发与管理显得非常重要。密钥的分发有两种方法:一种是通过手工配置的方式,另一种是采用密钥交换协议动态分发。手工配置的方法由于密钥更新困难,只适合于简单网络的情况。密钥交换协议采用软件方式动态生成密钥,适合于复杂网络的情况且密钥可快速更新,可以显著提高VPN的安全性。
五、IP VPN市场
近两年来,国际上IP VPN的业务与市场发展迅速。据Cahners In-Stat公司估算,在1999年,VPN的市场为26.7亿美元;并预计到2003年,VPN的市场将增加到320亿美元。另据Infornetics Research公司预言,在2001年全球VPN市场将达到120亿美元;到2004年北美的VPN业务收入将增至88亿美元。IP VPN的市场空间如此之大,究其原因主要源于以下一些因素。
1.全球经济一体化
由于全球经济的一体化,许多国际业务和地区间业务增长迅速,从事相应商务活动的公司大量增加,以及IP VPN在扩大全球性业务的同时又降低了长途通信费率,这些都推动了IP VPN市场的发展。根据Infonetics的研究报告,VPN业务的开展将为企业节省长途专线租用成本的20%~47%,节省远程拨号费用的60%~80%。由于VPN能提供良好的性能价格比以及其自身标准的不断完善,使得使用IP VPN更趋经济、适用。
2.Internet已成为全社会的信息基础设施
在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。
3.IP VPN为企业和服务提供商实现了双赢
从IP VPN在全球的发展来看,它对有VPN需求的企业和Internet服务提供商来说,无疑都是一种相当不错的选择,同时为使用它的企业和提供它的运营商带来了经济效益。基于Internet的网络使远端的用户能安全方便地访问本企业的内部资源;企业可以使用VPN与他们的合作伙伴进行安全的通信;运营商因此可以靠提供带宽和增值业务来获利。
摘自《通信世界》
上一篇:全方位数据仓库解决方案
下一篇:未来的IP网络和IP网络管理