中图分类号:TP393文献标识码:A 文章编号:1672-3791(2012)04(a)-0000-00
现如今,针对网络的安全性、保密性、可靠稳定性的问题而研究出来并迅速发展起来了一种技术,那就是VPN。无论是数据传输的可靠性、网络安全性,还是经济实用性来看,VPN技术是一种不错的选择。
1VPN
1.1 VPN简介
虚拟专用网(VirtuaIPrivateNetwork)简称VPN,它是一种“用于公共数据网络,提供用户一种可以直接连接到私人局域网感觉的服务”。它不仅节省了用户不少的费用,还提供了更强大的安全性和可靠性。
我们将VPN分成三大类:一是企业与合作伙伴、客户、供应商之间的ExtranetVPN,二是企业网与远程(移动)雇员之间的远程访问(Re-moteAccess)VPN,三是企业各部门与远程分支之间的In-tranetVPN。
1.2 VPN特点
1.2.1 非常良好的安全性
VPN 在架构上采用了很多种安全机制,例如信道(Tunneling)、加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(Intrusion Detection)等技术来解决这个问题。就是为了保证重要性的资料在公众网络中传输时不至于被窃取,或是即使被窃取了,对方亦无法读取封包内所传送的资料。它可以通过使用点到点协议用户级身份验证的方法来进行确认,而对一些敏感的数据,我们将通过使用VPN连接VPN服务器将高度敏感的数据地址物理地进行分隔,它只有企业Intranet上拥有适当权限的用户才能通过远程访问建立与VPN服务器的VPN连接,我们还可以访问一些敏感部门网络中受到保护的资源。所有的流量都经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保护。
1.2.2 成本低
远程用户可以通过向当地的ISP申请账户登陆到Internet,我们可以将Internet作为隧道与企业内部专用网络相连,用户的通信费用大幅度降低;然后,企业可以节省购买和维护通讯设备的费用。据分析,在 LAN(局域网)-to-LAN(局域网)连接时,用 VPN 与使用专线的成本相比较,要比其它的节省 30%~50% 左右;就远程访问而言,用 VPN比直接拨入到企业内部网络节省 60%~80% 的成本。这是由于VPN 在设备的使用量及广域网络的频宽使用上,平均比专线式的架构节省,因而能使网络的总成本(Total Cost of Ownership)降低。
1.2.3 管理简便
由于VPN 使用了比较少的设备来建立网络,所以使网络的管理更为轻松;不管连接的是哪个用户都需要通过VPN隧道的路径来进入内部网络。
1.2.4 网络架构弹性大
VPN的平台具备非常完整的扩展性,大到企业总部的各个设备,小到各分公司,还有个人拨号用户,都能被包含于整体的 VPN 架构中,同时,VPN 的平台还具有对未来广域网络频宽扩充及连接更新架构的特性。VPN 和专线式的架构相比较具有弹性,当将网络扩充或是变更网络架构时, VPN 可以轻松的达到目的。
1.2.5 它还具有网络协议的支持
对于IP、IPX和NetBEUI协议,网络客户机都可以轻易的使用VPN。这就意味着我们通过VPN连接可以远程运行依赖于特殊网络协议的应用程序。所以VPN支持最常用的网络协议。
1.2.6 能够使用多种宽带技术
不论是ADSL、Cable还是 Modem,用户都可以选择使用本地服务供应商所能够提供的宽带接入技术。
1.2.7 IP地址的安全性
我们以Internet作为传输载体,再采用VPN技术,来实现企业网宽带远程访问,那是一个非常理想的企业网远程宽带访问解决方案。因为VPN是加密的,VPN数据包在Internet中传输时,Internet上的用户只能看到公用的IP地址,却看不到VPN使用的协议。
1.2.8 具有高度的灵活性
只要该用户能够接入Internet,用户不论是在家中、在出差途中、还是在任何环境中,他都能够安全地连接到企业网内部。这样既不受到地域限制,也不会受到接入方式限制。
2VPN的实现技术
VPN实现具有三个关键技术是隧道技术、加密技术和QoS技术。
2.1 隧道技术
隧道技术可以通过路由器满足ExtranetVPN以及IntranetVPN的需求。但在远程访问VPN过程中,多数用户是采用拨号上网。这时我们就可以通过L2TP和PPTP来加以解决。
2.2 加密技术
加密技术可以对数据或报文头进行加密。网络层加密实现的最安全方法是在主机的端到端进行。在网络层中的加密标准是IPSec。它的另一个选择是“隧道模式”:加密只在路由器中进行,而终端与第一条路由之间不加密。这种方法不太安全,因为数据从终端系统到第一条路由时可能被截取而危及数据安全。终端到终端的加密方案中,VPN安全粒度达到个人终端系统的标准;而“隧道模式”方案,VPN安全粒度只达到子网标准。
2.3 QoS技术
QoS应该在主机网络中实行,这也就是VPN建立起来的隧道这一段,这样我们才可以建成一条性能符合用户要求的隧道。 对于公共网的VPN我们可以通过隧道技术、数据加密技术以及QoS机制,来使VPN用户降低成本、提高效率、增强安全性,VPN终将是广大用户的最终选择。
我们通过隧道技术和加密技术,已经能够建立起一个具有互操作性、安全性的VPN,但是这个VPN在性能上还不稳定,管理上仍不能满足所有企业的要求,这就要加入一些QoS技术。
3 结 语
现如今,VPN技术可以利用在公共网络上建立起来的安全的专用网络,从而为企业用户提供了一个低成本、高效率、高安全性的资源共享和互联服务,它是企业内部网的一个扩展和延伸。VPN技术在未来的企业信息化建设中具有广阔的前景,国内的VPN应用已经有向银行、保险、运输、大型制造与连锁企业迅速扩散的趋势,这是市场发展的必然。VPN已经是通信技术上的一个重要的突破,它使Internet这种大众化而又不安全的网络发挥出了重要作用。但就现在而言,VPN还存在一些缺陷,VPN协议还没有完全标准化,而各VPN产品厂商对VPN也有不同的认知。总的来说,随着虚拟运营商逐渐进入VPN服务领域,我们还有更多的电信业务运营的ISP浮出水面,而国内的一些企业对VPN的认识还在逐步加深和探究。
参考文献
[1] 杨小平等.《Internet应用基础教程》.省略screen.省略/zhishipuji/knowledge/vpn.htm
[3] 王达等.虚拟专用网(VPN)精解[M] 北京:清华大学出版社,2004.
中图分类号:TP393.18 文献标识码:A 文章编号:1007-9599 (2012) 08-0000-02
一、引言
随着信息化技术的飞速发展,互联网尤其是大学校园网络的应用已经渗透在我们生活的每个角落里。校园网的服务质量尤其安全状况方面的好坏将直接影响学校正常的教学活动。但是近年来大学高校不断扩招,高校合并、分校区设立、新校区建设等情况在高校中比比皆是。现有的公共互联网不但带宽无法保障,学校信息资源的安全也受到了极大的威胁,因此如何保障各个校区安全、高效的共享校园资源,已成为校园网络亟待解决的问题。VPN技术的出现,大大改善了校园网这一尴尬的局面,VPN技术是通过改造现有互联网,实现了不同校区既安全又高效的共享信息资源[1]。
二、VPN技术
VPN(Virtual Private Network)即虚拟专用网,是在公共互联网中为客户搭建专有网络的一种技术[2]。相对于物理存在的专有网络而言,它是在公共Internet中,通过对网络数据进行加密传输,实现了逻辑上存在的一个私有网络。
(一)VPN接入技术的分类
目前VPN安全接入组网技术主要分为以下三种,即L2TR/PPTP VPN、IPSec VPN、SSL VPN[3]。这三种接入方式所处的网络协议层次不同,所注重的侧重点不同。在实际运用中,需要根据自己的应用环境来选择不同的接入技术,以此达到事半功倍的效果。
1.L2TR/PPTP VPN
L2TR/PPTP VPN属于二层VPN技术。用户一般不需要自己安装该客户端软件,因为目前L2TR/PPTP VPN客户端软件一般都已经建成在主流的windows操作系统中了,大大方便了用户的使用。但是该软件的加密和认证手段都相对简单,面对安全性要求较高的应用环境,其安全系数低的缺陷就凸显了出来,因此它仅适用于安全性要求一般的应用环境。
2.IPSec VPN
IPSec VPN属于三次VPN技术,对于应用层来说是透明的。当接收到数据包后,IPSec VPN通过查询SPD即安全策略数据库来决定对数据包的处理。根据查询结果,不仅可以对数据包丢弃或者转发,还可以对数据包进行IPSec处理,数据包的IPSec处理大大增加了网络数据的安全性。同时其安全性的提升,是以增加网络协议复杂度为代价,用户的计算机上需要安装单独的IPSec VPN软件,这将对客户端造成一定的不便。
3.SSL VPN
SSL VPN属于协议的最上层即应用层VPN技术,SSL VPN技术的安全性主要是通过SSL协议来保证的。现有的浏览器都已经支持SSL协议,用户只需要安装浏览器就可以实现SSL VPN的应用,其部署简单、高效。但是在日常生活中,浏览器并不能支持所有的应用,因此在非WEB应用情况下,用户同样需要安装专门的客户端软件。
(二)VPN的关键技术
VPN是近年来在网络安全方面发展较快的一项高效应用技术,它拥有横跨加密技术、数学理论、互联网技术等多学科领域的特点,其中最核心的关键技术包括:隧道技术、加密技术、认证技术[4]。
1.隧道技术
隧道技术是VPN功能实现中最基本的技术。它是将待传输的数据信息加密、封装后嵌入在公共互联网协议中,以实现信息数据的有效传输的一种技术。隧道技术可以将加密、封装后的信息嵌入在开放性的通行系统互连参考模型的任何一层协议中,例如:应用层VPN协议即SSL VPN、网络层VPN协议即IPSec VPN、数据链路层VPN协议即L2TR/PPTP VPN。
2.加密技术
VPN是在公共互联网上建立私有网络,在公共网络中不法分子可以通过一定技术得到这些信息,为了防止信息数据被不法分子获取或者篡改,对原始信息进行加密处理显得尤为重要。信息加密技术随着互联网的发展已经非常的成熟,可以借鉴现有成熟的加密技术即可。在VPN解决方案中比较普遍使用的加密算法有DES、3DES、RSA、Diffe-Hell-man等算法。
3.认证技术
VPN作为一个单位内的私有专用网络,在信息传输过程中,不仅要对信息的安全性、完整性认证,更需要对网络上的用户和设备进行认证。目前对使用者的身份认证方法非常多,仅仅使用用户ID、密码的验证方式还远远不能提供足够的安全保障,还可以综合利用数字认证、数字签名、动态口令等方法进行安全认证。
(三)VPN的优点
VPN作为一种虚拟专用网络,与传统的物理专用网络相比,有以下几方面的优点:
1.成本低
传统的物理专用网络需要点对点的部署专用物理线路,如需要铺设光纤、中转器等网络设备,但是VPN技术是在现实互联网的基础上,通过建立安全隧道,完成信息专线传输的。在信息传输过程中,不需要特殊的点对点物理网络,仅公共网络即可实现,大大减少了运行成本;
2.可扩展性强
如果学校有了新的分校或需要与其他高校实现信息资源共享时,在校园网中必然需要增加新的网络节点,相对于传统专用网络,VPN只需要简单的设置、部署即可完成扩展工作,其扩展性是传统专用网络所不具备的。
3.安全性强
VPN在发送端利用隧道技术对原始数据进行加密、封装;在传输过程中对数据采用加解密技术处理;在接收端对用户身份进行认证处理。信息数据在通过以上几个环节的处理,不仅实现了信息的专用传输,而且加强了信息数据传输的安全性。
三、VPN在分布式校园网络中应用
近年来,大学高校在不断扩招、快速发展的背景下,已经形成了一所高校、多个分校区、地域分散的特点。在多个校区里,无论是信息资源共享还是管理方面都必须满足统一性、高效性的要求。为了实现这一要求,必然导致跨地域分布校园网络的信息交换呈现以下几个特点:
(1)信息交换量大,不同地域的校园网需要实现共享信息资源、统一管理平台等要求,相对于互联网而言,校园网内信息的交换量十分庞大;
(2)信息交换频率高,例如在校园内需要对校园某一活动进行投票,则在该时段内,信息交换的频率必然非常高;
(3)信息安全性强,在校园内经常会传输一些性较强的信息,例如校园财务管理、图书馆数据库信息、校园学生基本信息等方面,都需要保证其安全性;
可见,校园网必须满足网络架构分布式、信息传输高效性以及数据的安全性;然而一方面学校经费有限,另一方面各个校区地域分布较远,甚至很多分校都不在同一个城市,如果按照传统的方法来搭建专用网络,学校需要铺设专用的光纤线路和其他设备,显然在运行成本和效率方面都不理想。本文通过分析VPN技术的特点及其优点,并结合现高校校园网络实际存在的问题,笔者认为,VPN技术不仅可以高效的解决以上问题,同时还可以提供以下几方面的应用:
(一)校区互联
针对高校存在的一所高校、多个分校区、地域分散的特点,可以将每所分校的子网络通过VPN技术专线连接在一起,实现各个校区资源共享、管理统一,不仅大大提高了工作、学习、管理效率,而且不需要铺设专门的网络线路,大大减少了运行管理成本。
(二)移动办公
在高校学术交流越来越频繁的背景下,学生、老师外出交流、学习的机会将越来越多,VPN技术可以保证外出校内人员,可以在其他地域共享校内丰富的信息资源。从而实现传统物理专用网络所不能提供的功能,提高他们的工作、学习效率。
(三)校际交流
在高校经费有限的背景下,要获取更多的信息资源,多个高校实现信息资源共享,无疑是最经济、最有效的办法。但是对处于不同城市的高校来说,铺设专用的网络线路对高校来说,显然是不可能的。然而VPN技术仅需要简单的部署即可完成上述效果,既经济又高效。
四、结论
针对高校多分校区、地域分散的特点,笔者通过VPN接入技术的分类、关键技术及其优点等方面详细论述了VPN技术,并总结了分布式校园网络中,信息交换所呈现的一些特点,最后提出利用VPN技术,实现安全、高效的数据传输,并将其运用在高校内部网络的各种方面。
参考文献:
[1]郭小辉.高校多校区教学资源的整合与利用初探[J].重庆科技学院学报;社会科学版,2009,5:197-198
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
一、引言
随着科学技术的飞速发展,国内外各高校图书馆之间的交流合作不断深化、师生员工对于知识的需求多元化,迫使各高校图书馆集中科研力量开发新型借阅系统、利用新兴网络技术建设一个既能满足当前应用又能满足长远发展需求的数字图书馆网络平台。但是在建设数字图书馆的过程中很多高校遇到了一些问题:电子书商基于对产品版权的保护,在电子资源中设置数字版权(DRM),限制了访问的IP地址范围,这与师生员工利用公共网络帐号(网络运营商提供的动态分配IP地址的上网帐号)访问校园内网(专用网络)的电子资源的权限冲突,导致师生员工无法检索需要的信息资料,直接造成许多图书馆电子资源的闲置和浪费,使得投入和产出不成正比,影响了数字图书馆的合理化建设。面对这种情况,VPN技术为我们提供了一套可管理、可认证、安全的远程访问电子资源的解决方案。
二、VPN技术简介
1.VPN简述
VPN(Virtual Private Network)可译为“虚拟专用网”。它并不是一个新名词,因为在电信服务的电话网络中早就提出了VPN的概念。VPN不是真的专用网络,但是却能实现专用网络的功能。因特网工程技术委员会(IETF)对的VPN的解释是:通过公共网络建立一个临时的、安全的、私有的点对点连接,通过对网络数据的封包和加密传输,从而实现在公网上传输私密数据,并达到私有专用网络的安全级别。VPN网络的认证机制很好的保护了用户收发数据的完整性、准确性,避免收发的数据不相符;而且VPN技术本身对网络流量能进行预测和控制,实现网络带宽的优化管理,从而避免在互联网使用高峰期造成网络堵塞,提高了数据传输的质量;另外,单位、企业很在意的经济投入也是非常的合理、节约,只要一次性购买VPN设备(包括服务器、路由器等),而不再需要增购其它的存储设备,进行重复性建设,并且VPN网络更不用考虑线路带宽的利用率和费用的问题。一旦组建好VPN网络之后只须安排一个专业技术员对其进行日常的管理维护(主要是安全管理、设备正常运行监控、配置管理、访问控制列表管理等)即可。此外,现有公共网络提供多种接入方式,如:PSTN拨号、ADSL、CableModem、小区宽带等,VPN网络也可以根据各种接入方式的信息量、实时性及通信条件等情况,分别选择不同的速率与之链接;同时,VPN网络能够支持任何类型的数据流,支持多种类型的传输媒介,满足同步传输语音、图像的需求,方便增加新的节点,增加访问用户的数量,具有很高的可扩充性能。
2.VPN关键技术
那么,VPN是采用什么技术和协议来很好的发挥它的特点的?首先我们需要了解国际标准组织制定的OSI网络模型,它把传统Internet网络分为7层:物理层、数据链路层、网络网际协议层、数据信息传送层、对话层、表示层和应用层;最底层是物理层,而最高层是应用层,VPN技术利用这个OSI模型为基础,开发出目前主流的三类Internet VPN远程安全接入技术(基于网络协议第三层的安全链接技术IPSecVPN、基于多协议的标记交换技术MPLS VPN、基于网络协议第七层的安全链接技术SSL VPN)。这些VPN技术具有类似的功能,但也存在着不同特性和各自擅长的应用取向。无论采用什么技术标准的VPN网络运用下面四种核心手段保证通信安全。
1)隧道技术(Tunneling)
隧道技术是VPN网络的基本技术,并依靠多种隧道协议来完成,例如:PPTP(点对点
隧道协议)、PPP(点对点通信协议)、L2F(数据链路层转发协议)、L2TP(数据链路层隧道协议)等。目前比较流行的隧道协议是IPSec(网络协议安全标准)与SSL(安全认证应用层标准)协议的结合,使用此协议可以很容易地建立IP层(网络协议第三层)用户的要求,也可以实现需要C/S(客户机/服务器)架构或者B/S(浏览器/服务器)架构的数据管理信息系统的要求。
2)加密&解密技术(Encryption&Decryption)
加密&解密技术是网络实时数据通信中一项比较成熟的技术,VPN可以直接利用此项技术。现行VPN使用的加密&解密技术主要有两种:对称加密(单钥加密)算法和不对称加密(公钥加密)算法。其中不对称加密算法生成的密钥用户管理方便,占用存储空间小,所以此算法是目前VPN网络中使用最为广泛的算法。
3)密钥管理&交换技术(KeyManagement)
密钥管理&交换技术是保护在公共网络上传输的私有数据流可以安全地传递密钥、识别密钥从而进行数据交换。为了使数据可以安全、准确、及时地传递,国际标准组织制定了ISAKMP、Oakley、IKE、Photuris和SKEME等密钥管理&交换协议,进而形成了现行的密钥管理&交换机制,主要有三种:KMI机制(基于传统网络)、PKI机制(基于开放网络)和SPK机制(基于大规模专用网络),最为广泛使用的是KMI机制。
4)使用者身份认证技术(Authentication)
使用者身份认证技术最常用的是用户名、口令或智能卡认证(特殊的U盘)等方式。在实际应用中,移动用户使用智能卡方式,此卡内存贮有用户登录VPN网络所要求的各项相关数据信息;远程非移动用户采用用户名与口令方式来登录,例如ADSL连接方式则在拨号时实现,如果是专线用户则在路由器中实现,此用户名与口令一般不需要登录用户来干预,所以用户访问VPN网络就如同在局域网内一样方便。
如今,VPN技术突飞猛进,又出现许多新技术元素,所以VPN技术的发展前景很广阔。而解决数字图书馆建设中的一些疑难问题就目前看来采用VPN技术是一种很高效的解决办法。
三、数字图书馆建设中几种常见(VPN)模式
在各个高校数字图书馆建设过程中,根据师生用户群的使用特点以及应用环境的不同,VPN大致可采用三种不同的解决方案:远程访问虚拟网(AccessVPN)、校园内部虚拟网(IntranetVPN)和校园扩展虚拟网(ExtranetVPN)。
1.远程访问虚拟网(AccessVPN):如果图书馆员或者师生用户需要移动或者远程访问图书馆或者图书馆开展远程教育,就可以考虑使用AccessVPN。AccessVPN通过使用与专用网络相同策略的共享基础设施(公共骨干网),提供图书馆内网和公共网络之间的安全连接。AccessVPN能使图书馆所有用户随时、随地以其所需的方式办理图书馆各种业务。
2.图书馆内部虚拟网(IntranetVPN):近年来随着高校规模的不断扩大,办学方式的不断丰富,各大高校都呈现多校区办学模式,图书馆也不例外,许多高校图书馆组建分支机构,这样就可以考虑使用IntranetVPN。IntranetVPN通过公用网服务商提供的QoS机制(能自动识别数据包并转发到对应的地址去),使图书馆与各个校区分支机构的路由器之间建立VPN安全隧道,保证图书馆各个分支机构能实时、准确的与主机构之间交换数据。论文参考网。
3.图书馆扩展虚拟网(ExtranetVPN):其实这种应用模式只是图书馆内部虚拟网的扩展,这种模式为图书馆和电子资源供应商的网站平台之间提供了一种安全的连接通道,例如电子书商提供图书馆内网远程镜像访问企业主站的安全访问模式和各高校图书馆之间的合作,就可以考虑使用ExtranetVPN。论文参考网。ExtranetVPN更多的是考虑协调和安全问题。
以上提供的几种图书馆VPN解决方案常常通过软、硬件以及辅助设备把他们结合起来使用,这样就大大丰富了VPN技术在图书馆数字化建设中的作用。
四、VPN在安徽农业大学图书馆中的应用
安徽农业大学是安徽省一所省属重点综合性大学,安徽农业大学的数字图书馆建设也采用VPN技术来实现校外公网访问校内资源,实现学校的公共资源的充分利用。
现阶段,安徽农业大学图书馆还没有分馆,所以VPN技术主要应用于校外师生用户通过公共网络访问图书馆电子资源。学校采用一家很有实力的网络技术公司的M5600 SSL VPN路由器构建VPN网络,这种VPN路由器主要采用使用者用户名认证技术保证校外师生用户通过公共网络正确访问图书馆电子资源。论文参考网。根据目前的需求可以看出,现阶段的用户群还是比较集中和狭窄的,这也是为了保护学校资源和电子书商的版权。但是,为了能在不远的将来使图书馆资源利用率达到最优化,学校购买的VPN路由器是智能化和可升级的,这样就足以保证数字图书馆建设的可持续发展。
总之,VPN的应用前景是很广阔的,不仅仅是解决公共网络访问内网资源的问题;可以预见,数据共享是未来图书馆的发展趋势。各高校图书馆都会建设专有VPN网络,从而使信息资源全球化、集成化、多元化。
[参考文献]
1.李红艳. VPN技术在高校图书馆网络系统设计中的应用[J]. 中国期刊网CNKI数字图书馆,科技情报开发与经济,第16卷第21期,2006年.
2.唐淑娟,秦一方,井向阳. VPN技术与图书馆资源远程利用[J]. 中国期刊网CNKI数字图书馆,情报探索,第1期,2007年1月.
引言
虚拟专用网即VPN(Virtual Private Network)是利用接入服务器(Access Sever)、广域网上的路由器以及VPN专用设备在公用的WAN上实现虚拟专用网技术。通常利internet上开展的VPN服务被称为IPVPN。
利用共用的WAN网,传输企业局域网上的信息,一个关键的问题就是信息的安全问题。为了解决此问题,VPN采用了一系列的技术措施来加以解决。其中主要的技术就是所谓的隧道技术。
1. 隧道技术
Internet中的隧道是逻辑上的概念。假设总部的LAN上和分公司的LAN上分别连有内部的IP地址为A和B的微机。总部和分公司到ISP的接入点上的配置了VPN设备。它们的全局IP地址是C和D。假定从微机B向微机A发送数据。在分公司的LAN上的IP分组的IP地址是以内部IP地址表示的"目的地址A""源地址B"。因此分组到达分公司的VPN设备后,立即在它的前部加上与全局IP地址对应的"目的地址C"和"源地址D"。全局IP地址C和D是为了通过Internet中的若干路由器将IP分组从VPN设备从D发往VPN设备C而添加的。此IP分组到达总部的VPN设备C后,全局IP地址即被删除,恢复成IP分组发往地址A。由此可见,隧道技术就是VPN利用公用网进行信息传输的关键。为此,还必须在IP分组上添加新头标,这就是所谓IP的封装化。同时利用隧道技术,还必须使得隧道的入口与出口相对地出现。
基于隧道技术VPN网络,对于通信的双方,感觉如同在使用专用网络进行通信。
2. 隧道协议
在一个分组上再加上一个头标被称为封装化。对封装化的数据分组是否加密取决于隧道协议。因此,要成功的使用VPN技术还需要有隧道协议。
2.1 当前主要的隧道协议以及隧道机制的分类:
⑴ L2F(Layer 2 Forwarding)
L2F是cisco公司提出的隧道技术,作为一种传输协议L2F支持拨号接入服务器。将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器).
⑵ PTP(Point to point Tunnelimg protocol)
PPTP协议又称为点对点的隧道协议。PPTP协议允许对IP,IPX或NETBEUT数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互连网络传送。
⑶ 2TP(Layer 2 Tunneling Protocol)
该协议是远程访问型VPN今后的标准协议。
L2F、PPTP、L2TP共同特点是从远程客户直至内部网入口的VPN设备建立PPP连接,端口用户可以在客户侧管理PPP。它们除了能够利用内部IP地址的扩展功能外,还能在VPN上利用PPP支持的多协议通信功能,多链路功能及PPP的其他附加功能。因此在Internet上实现第二层连接的PPPSecsion的隧道协议被称作第二层隧道。对于不提供PPP功能的隧道协议都由标准的IP层来处理,称其为第三层隧道,以区分于第二层隧道。
⑷ TMP/BAYDVS
ATMP(Ascend Tumneling Management Protocol)和BaydVs(Bay Dial VPN Service)是基于ISP远程访问的VPN协议,它部分采用了移动IP的机制。ATMP以GRE实现封装化,将VPN的起点和终点配置ISP内。因此,用户可以不装与VPN想适配的软件。
⑸ PSEC
IPSEC规定了在IP网络环境中的安全框架。该规范规定了VPN能够利用认证头标(AH:Authmentication Header)和封装化安全净荷(ESP:Encapsnlating Security Paylamd)。
转贴于
IPSEC隧道模式允许对IP负载数据进行加密,然后封装在IP包头中,通过企业IP网络或公共IP互联网络如INTERNET发送。
从以上的隧道协议,我们可以看出隧道机制的分类是根据虚拟数据链络层的网络,DSI七层网络中的位置,将自己定义为第二层的隧道分类技术。按照这种划分方法,从此产生了"二层VPN "与"三层VPN"的区别。但是随着技术的发展,这样的划分出现了不足,比如基于会话加密的SSLVPN技术[2]、基于端口转发的HTTPTunnel[1]技术等等。如果继续使用这样的分类,将出现"四层VPN"、"五层VPN",分类教为冗余。因此,目前出现了其他的隧道机制的分类。
2.2 改进后的几种隧道机制的分类
⑴ J.Heinanen等人提出的根据隧道建立时采用的接入方式不同来分类,将隧道分成四类。分别是使用拨号方式的VPN,使用路由方式的VPN,使用专线方式的VPN和使用局域网仿真方式的VPLS。
例如同样是以太网的技术,根据实际情况的不同,可能存在PPPOE、MPLSYBGP、MSIP、或者IPSEC等多种VPN组网方式所提供的网络性能将大有区别,因此按照接入方式不同来分类也无法表示这几种方式在网络性能上的差异,由此将引起在实际应用中对VPN技术选型造成误导。
⑵ 由于网络性能是所有网络技术的重要评价标准。根据隧道建立的机制对网络性能的影响不同,可以将隧道分成封装型隧道和隔离型隧道的VPN分类方法。封装型隧道技术是利用封装的思想,将原本工作在某一层的数据包在包头提供了控制信息与网络信息,从而使重新封装的数据包仍能够通过公众网络传递。例如L2TP就是典型的封装型隧道。
隔离型隧道的建立,则是参考了数据交换的原理,根据不同的标记,直接将数据分发到不同的设备上去。由于不同标记的数据包在进入网络边缘时已经相互隔离,如果接入网络的数据包也是相互隔离的就保证了数据的安全性,例如LSVPN。从性能上看,使用封装型隧道技术一般只能提供点对点的通道,而点对多点的业务支持能力教差,但是可扩展性,灵活性具有优势。
采用隔离型隧道技术,则不存在以上问题,可以根据实际需要,提供点对点,点对多点,多点对多点的网络拓扑。
3. 诸种安全与加密技术
IPVPN技术,由于利用了Internet网络传输总部局域网的内部信息,使得低成本,远距离。但随之而来的是由于Internet技术的标准化和开放性,导致威胁网络的安全。虽然可采取安全对策的访问控制来提高网络的安全性,但黑客仍可以从世界上任何地方对网络进行攻击,使得在IPVPN的网点A和网点B之间安全通信受到威胁。因此,利用IPVPN通信时,应比专线更加注意Internet接入点的安全。为此,IPVPN采用了以下诸种安全与加密技术。[2]
⑴ 防火墙技术
防火墙技术,主要用于抵御来自黑客的攻击。
⑵ 加密及防止数据被篡改技术
加密技术可以分为对称加密和非对称加密(专用密钥号与公用密钥)。对称加密(或专用加密)也称常规加密,由通信双方共享一个秘密密钥。
非对称加密,或公用密钥,通信双方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥。任何一方都可以得到公用密钥。基于隧道技术的VPN虚拟专用网,只有采用了以上诸种技术以后,才能够发挥其良好的通信功能。
[中图分类号]F626.5 [文献标识码]A [文章编号]1009-5349(2012)02-0111-01
随着以Internet为标志的信息技术革命的飞速发展,网络正在迅速地渗入人们的生活中,依靠互联网络人们的生活越来越便捷,沟通越来越紧密。伴随着internet应用在商务活动中的不断深入,越来越多的企业希望其生意伙伴、供应商及附属企业等也能够访问本企业的局域网,从而使商务活动可以通过网络就能进行,大大节约了人力和物力,缩短了交易时间,减少了支出成本。但是这些企业间的商务活动是动态变化的,并需要依托于公用网络之上的,且由于公用网络是一个全球性的计算机通信网络,它具有资源共享和信息互通的特性,而一些用户间的互通和交流又是想要对其他用户进行保密的,于是网络的安全性逐渐成为一个潜在的巨大问题,这就需要有一种技术来解决这些问题,保证这些有保密需要的企业能顺利地进行信息交流,并保证企业信息的安全性。
基于各种需求,VPN技术应时而生。VPN(Virtual Private Network),即“虚拟专用网络”,简单地可以把它理解成是虚拟出来的企业内部专线。它在Internet上通过特殊的加密的通讯协议连接位于网络上不同地理位置的两个或多个企业内部网之间建立一条专有的通讯线路,VPN是指依靠Internet服务提供商(ISP)和其他网络服务提供商(NSP),在公用网络中建立专用的数据通信网络的技术。
一、VPN原理
VPN即在公用数据网上建立一条数据通道,这条数据通道就是隧道,隧道技术是VPN得以实现的关键技术,数据包从这条隧道上通过,从而实现虚拟通信。VPN的原理就是两台计算机通过连接到internet建立一条临时的、安全的、专用的连接。这俩台计算机之间组成一个私有网络,它们之间的通信内容进行封装后经过这条专用的隧道进行传输,然后在接收方进行解封装,还原成发送方的通信内容。没有参与虚拟通信的设备共享不到进行虚拟通信的设备之间传输的数据,因为这些私有的网络和没参与虚拟通信的网络使用了不同的地址空间和协议,即私有网络和公用网络之间是不兼容的,VPN是一种逻辑意义上的网络。
二、VPN的安全保障
由于VPN越来越广泛的应用和其技术特点,数据的安全问题成为VPN技术的关键问题。为保证数据的安全性,目前VPN主要采用四项技术:1.隧道技术(Tunneling)。隧道技术对于VPN具有重要意义。隧道技术的技术关键是分组封装,它将私有网的数据进行封装并在隧道中进行传输,隧道技术在虚拟网接入公用网的接口处将数据打包封装成可以在公网上传输的数据格式,在虚拟网结点与公网的接口处将数据解封装,得到数据。隧道由一系列隧道协议组成,定义了较为完整的数据封装和安全协议及其算法。2.加解密技术(Encryption & Decryption)。发送的一方将数据进行特定加密后再发送数据,当数据到达接收的一方时由接收方对数据进行解密处理的全过程。3.密钥管理技术(Key Management)。为了满足在公用数据网上所传送的数据的安全性和完整性的需要,密钥管理技术是解决如何传递密钥而不被非法篡改和盗窃的技术。4.使用者与设备身份认证技术(Authentication)。最常用的是用户名、口令或智能卡认证等方式。
三、VPN特点
1.低廉的成本。由于VPN是利用现有的公共网络,不需要重新构建一个新的网络,只是在公共网络上建立一个虚拟的逻辑上的网络,因此VPN可以大大降低构建网络的成本。与专线式的架构方式相比较,VPN在设备的使用量及广域网络的频宽使用上,都很节省,企业也不必投入大量的人力物力安装维护设备。2.网络架构灵活。VPN与专线式的结构相比更加灵活,VPN的构架可以根据用户的需要进行修改,可以随意增加新的节点,具有良好的扩展性,无论是企业的专线用户,还是个人拨号用户都可以采用VPN的方式实现互联。3.良好的安全性。为了确保数据的安全性,VPN架构中采用了多种安全机制,如隧道技术、加解密技术、身份认证技术、防火墙等技术,通过这些网络安全技术,确保通过VPN上传送的数据不会被攻击者窥视和篡改,防止非法用户的访问。4.便于管理。VPN使用了较少的设备来建立网络,使网络的管理较为轻松;各种类型的用户,都通过VPN的隧道进入内部网,可以实现各种类型的用户间的互联。5.使用方便。VPN的建立无需安装任何软件,无论何时何地,在有公用网络的前提下,只需在电脑中添加一个网络连接,即可与服务器瞬时连接,远程进行操作。
中图分类号:TP393
随着计算机网络技术的发展,数据传输的安全性与成本方面的矛盾越突出,有时也不能保障数据安全。通过运用VPN技术可以快捷、安全地构建一个安全通道,从而实现广泛的资源共享和移动办公。
1 建立农委虚拟网络是农委信息化工作的需要
近年来,农委工作包罗万象,仅到2008年底,各项数据就有105大类、494项之多,涵盖了土壤、气象、水、地貌等自然资源条件和人口、种植业、养殖业、林业等相关第二和第三产业等社会经济条件;同时覆盖了全部村级合作经济组织,及所有的农村社会经济数据;服务对象包括涉农政府机关、涉农企事业单位、农村各类经济实体和专业协会、城乡居民等。每年农委为国家和各部门提供了大量的决策支持;虽然农委系统信息网络基础建设也已经初具规模:有农委局域网络,存在网络物理隔离,计算机不上网等;农委电子政务框架也分为基础层、数据层、支撑层和应用层等几部分,电子政务成绩显著。但是农委根据部门职责和工作特点,今后以率先支持社会主义新农村建设和率先形成城乡一体化新局面为目标,建立农委政务信息资源共享交换平台,支撑农委跨层级、跨部门政务信息资源共享及业务信息系统共享的任务仍然十分繁重。
2 VPN技术
虚拟专用网络(VirtualPrivateNetwork)简称VPN,VPN作为一种新型的网络技术,是近年来随着Internet的广泛应用而迅速发展起来的,“虚拟”主要指这种网络是一种逻辑上的网络。
那么VPN是怎样工作的?
2.1 VPN的客户端拨叫VPN的服务器,
2.2 VPN的服务器响应
2.3 VPN服务器验证客户机的身份,验证成功VPN的连接建立和发送数据。
可以通过在公共网络上建立虚拟的连接来传输私有数据,再用认证、加密等技术来保证数据的安全,这样不仅降低了网络建设的费用,还提高了网络的安全性。
3 VPN特点
3.1 成本较低
VPN在设备的使用量同专线式比较,网络的总成本(TotalCostofOwner-ship)较低。在LAN(局域网)-to-LAN(局域网)连接时,用VPN比使用专线的成本会节省30%~50%左右;在远程访问方面,VPN和直接拨入到企业内部网络成本相比会节省60%~80%。
3.2 网络架构方面弹性大
VPN和专线式的架构比起来更加有弹性,VPN平台有完整扩展性,大至总部的设备,小至各部门,甚至个人拨号用户,都能在整体的VPN架构中,具有对未来广域网络频宽扩充及连接更新架构的特性。
3.3 安全性能好
VPN架构通过加密(Encryption)、认证(Authentication)、防火墙(Firewall)及黑客侦防系统(IntrusionDetection)等技术,确保资料的安全。
3.4 管理轻松
VPN在建立网络上可以用较少的设备完成,网络管理轻松;无论什么用户必须通过VPN隧道的路径进入内部网络。
3.5 服务质量好
公共网络中流量不稳定,带宽利用率低,在流量高峰期会引起网络拥堵,很卡,数据发送很慢或失败,数据有时接收不及时,流量低谷期带宽浪费。VPN网络对流量预测并且进行控制,优化了带宽管理,有效防止了网络拥堵,数据传输的质量得到了提高。
4 VPN的应用
4.1 远程访问
农委内部的资源(电子邮件、资料、数据库、重要会议和文件等),农委网的用户(农委各部门)可以通过拨号、ADSL等连接到Internet后,访问农委资源,而资源的管理者通过VPN下的远程桌面控制功能,对农委内资源进行管理。通过互联网建立虚拟专用网络实现了对农委共享目录的远程访问,安全性较高,操作简便。
4.2 IntranetVPN
是利用互联网把总部和分支机构连接起来,成为一个总体网络。这对于农委而言是用最低的成本换来最高的收益的好办法。有了IntranetVPN,农委就可以通过Internet这一公共网络将农委各门分支机构的LAN连到总部的LAN,以实现农委内部的资源共享、文件传送等,可节省开支。
4.3 ExtranetVPN
将IntranetVPN的连接再扩展到其他相关部门,以达到信息共享。
5 配置方法
农委的VPN网络不需要很贵的设备,配置及维护灵活简单,造价低廉实用,只需在Windows系统平台上建立VPN客户端就可以轻松方便地连接到农委网。农委根据工作需要在办公网络设立了专门文件共享目录,并根据各部门的权限可以分别访问各自的文件。由于移动办公需要,有时在外地和家中需要查看共享目录中的文件。借助于虚拟专用网络,可以实现这方便快捷这一功能。
在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。具体操作如下:
第一步,打开管理工具,用鼠标双击“路由和远程访问”。
第二步,弹出“路由和远程访问”的窗口。
第三步,配置路由和远程访问,弹出路由和远程访问的向导窗口。
第四步,单击“下一步”,在“配置”里,选择“自定义的配置”。
第五步,单击下一步,在“自定义配置”里,选择“vpn访问”和“拨号访问”。
第六步,单击下一步,然后单击“完成”按钮。
第七步,提示,是否开始服务,单击“是”。
第八步,出现正在启用路由和远程访问的图标。系统启用路由和远程访问。
第九步,单击已启用的“HANW(本地)”的右键,选择“属性”,并选择“IP”属性页,录入静态IP地址池:192.168.1.1192.168.1.50。然后点确定按钮。VPN服务器设定完毕。
第十步,在服务器上分别给每个部门开设远程访问用户账户,远程访问权限设定为允许。
通过远程访问测试,确认账户可用以后,在农业网通知公告,正式启用农委VPN网络。
6 结论
虚拟专用网VPN能够解决农委各部门远程访问中数字资源的问题,它安全性好、可操作性强、经济实用和灵活方便等,因此随着VPN技术的不断发展和完善,VPN技术在各部门的应用前景一定会更加广阔。
参考文献:
[1]林丽丽.VPN(虚拟专用网络)初探[J].沿海企业与科技,2005,9.
[2]满延俊.VPN安全可靠又省钱的网络新技术[J].高科技与产业化,2004,8.
[3]陈廷勇,邢敏,潘希秋.高校图书馆数字资源的远程访问研究[J].现代情报,,2009,11.
[4]吴文臻.浅谈计算机虚拟专用网络技术[J].科技向导,2010,29.
[5]唐灯平.如何搭建VPN访问企业内部网络[J].现代企业教育,2008,12.
[6]彭鹏.实战MCSE之远程访问[J].电脑知识与技术,2004,5.
引言
MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP虚拟专用网络,满足多种灵活的业务需求。采用此技术可以把现有的IP网络分解成逻辑上隔离的网络,提高网络安全性和可管理性;且基于MPLS VPN的QoS策略也为新兴业务提供了强有力保障。
1 MplsVpn的技术
MPLS是一种介于二层和三层之间的技术,它没有限定二层所必需使用的链路层协议,具有很好的网络适应性。MPLS包头包含20比特的标签,3个比特的EXP,1个比特的S,用于标识这个MPLS标签是否是最低层的标签,和8个比特的TTL-Time To Live。理论上标签可以多层嵌套。
如果2层协议具有标签域,标签封装在这些域中,反之,标签则封装在2层和IP层之间的一个薄层中。这样,标签可被任意的链路层所支持。MPLS可承载的报文通常是IP包,也可承载二层数据报文,可承载MPLS的二层协议可以是PPP、以太网、ATM和帧中继等。在MPLS中,一个标签标识了一个转发等价类。一个转发等价类是在网络中遵循同样的转发路径的报文的集合,这些报文的目的地址甚至可以不同。
2 MplsVpn的实现原理
MPLS是一种面向连接的技术,网络整体由LSR和LSE组成。LSR是MPLS的网络的核心交换机,它提供标签交换和分发功能。LER部属在MPLS的网络边缘,进入到MPLS网络的流量由LER分为不同的FEC,并为这些FEC请求相应的标签。它提供流量分类和标签的映射、移除功能。MPLS通过MPLS信令或手工配置的方法,建立MPLS标记交换连接。在数据转发过程中,在网络入口进行流分类,根据数据流所属的FEC选择相应的LSP,把需要通这条LSP的报文打上相应的标签,中间路由器在收到MPLS报文后直接根据MPLS报头的标签进行转发,大大加快了包文转发速率。在MPLS标记交换路径的出口,弹出MPLS包头,还回原来的IP包。由于FEC可以按照目的地址划分,这同传统的IP转发相同,也可以是基于源地址、目的地址、源端口、目的端口、协议类型等等信息的任意组合。而MPLS可把任何流关联到一个FEC,然后把一个FEC映射到一个LSP,这个LSP可以是为了这种FEC而特殊构造的,这使得服务提供商可以非常精确地控制网络中的每个流。这种空前的控制能力使网络能够提供更加有效和可预测的服务。
MPLS VPN有三种类型的路由器,P路由器、PE路由器和CE路由器。其中,P路由器是MPLS网络骨干路由器,也就是MPLS网络中的标签交换路由器(LSR),它根据分组的外层标签对VPN数据进行透明转发,P路由器只维护到PE路由器的路由信息而不维护VPN相关的路由信息; PE路由器是MPLS网络骨干边缘路由器,也就是MPLS网络中的标签边缘路由器 (LER),它将来自CE路由器或标签交换路径(LSP)的VPN数据处理后进行转发,同时负责和其他PE路由器交换路由信息;CE路由器是客户端路由器,为用户提供到PE路由器的连接。
MPLS VPN可以分为BGP扩展和LDP扩展。根据PE设备是否参与VPN路由又细分为二层VPN和三层VPN。同传统IP VPN不同,MPLS VPN是依靠转发表和数据包的标记来创建一个安全的VPN。其中以BGP扩展实现的三层VPN应用最为广泛。
3 Mpls/Vpn技术的应用方式和优势
MPLS VPN可分为企业内部虚拟网、企业扩展虚拟网、远程访问虚拟网。该技术特别适合改造企业网,它具有如下优势:
(1)以多种方式增强了网络的智能和安全性。
(2)简化了网络设计,以及所需的接口、用户认证等的设备和处理。
(3)降低了通信成本和主要设备成本。
(4)容易扩展。
(5)支持新兴应用,可以支持各种高级的应用和各种协。
综上所述,利用 MPLS VPN技术改造传统的企业网,为企业进一步发展提供了可靠的技术保障。
4 Mpls/BgpVpn在网络实现
在MPLS/BGP VPN的模型中,网络由MPLS的骨干网与用户的各个Site组成,所谓VPN就是对site集合的划分,一个VPN就对应一个由若干site组成的集合。但必须遵循如下规则:两个Site之间只有至少同时属于一个VPN定义的Site集合,才具有IP连通性。
在基于MP-BGP协议的MPLS VPN体系中,存在两个层面的路由,即域内路由和VPN路由。 所有的PE路由器及P路由器上要运行主干网的域内路由,生成的路由表将触发主干网中LSP的建立,通过CR-LDP或RSVP等信令协议建立LSP,产生的标签转发表用于VPN分组外层标签的交换。PE路由器之间运行MP-iBGP协议,该协议跨越主干的P路由器在PE之间分发VPN标签,形成VPN路由,MP-iBGP的一条VPN路由包含的信息有:IPv4地址、路由区分符(RD)、路由目标(RT)、VPN标签和下一跳PE地址。
MPLS VPN IP路由表及相关的VPN IP转发表被统称为VPN路由和转发实例(VRF)。通常PE路由器上每个用户的端口与一个特定的VRF相关联,从该端口输入的VPN分组将根据各自对应的VRF查找其VPN标签和下一跳的出口PE路由器地址。VRF隔离了不同的VPN。VPN的成员关系是通过路由所携带的route target属性来获得的,每个VRF配置了一些策略,规定一个VPN可以接收或向外哪些Site来的路由信息。 每个PE根据BGP扩展的信息进行路由计算,生成每个相关VPN的路由表。
RT来控制VRF的导入和导出策略,以构成各种复杂的VPN拓扑。一个VPN有可能不止使用一个RT,RT的具体使用与VPN的拓扑结构密切相关, 可以用一个或多个RT。当从PE导出VPN路由时,要用RT对VPN路由进行标记,在往VRF中导入路由时,可以使用多个RT,只要有一个VPN路由中附带的RT与导入路由中的任意RT相同,都将被导入到该VRF中。通过RT的导入和导出,MPLS可灵活的实现多种拓扑结构和路由层面的VPN访问控制。
在MPLS/BGP VPN中,属于同一VPN的两个site之间转发报文,使用两层标签来解决,在入口PE上为报文打上两层标签,第一层(外层)标签在骨干网内部进行交换,代表了从PE到对端PE的一条隧道,VPN报文打上这层标签,就可以沿着LSP到达对端PE,这时候就需要使用第二层(内层)标签,这层标签指示了报文应该到达哪个site,这样,根据内层标签,就可以找到转发的接口。
5 结束语
MPLS VPN已其高安全性、高可靠性及低成本等优势的到了各行业的广泛应用;发展前景较为乐观,经过MPLS VPN技术的不断完善和发展,为用户提供更加满意的服务和更加丰富的业务,成为VPN技术的主流。
2 VPN的特点
(1)安全保障
虽然实现VPN的技术和方式很多,但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。
(2)服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。所有网络应用均要求网络根据需要提供不同等级的服务质量。
(3)可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
(4)可管理性
在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。
3 VPN安全技术
目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
(1) 隧道技术
隧道技术是VPN的基本技术,类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。
(2)加解密技术
VPN采用何种加密技术依赖于VPN服务器的类型,因此可以分为两种情况。
对于PPTP服务器,将采用MPPE加密技术。MPPE可以支持40位密钥的标准加密方案和128位密钥的增强加密方案。
对于L2TP服务器,将使用IPSec机制对数据进行加密。IPSec是基于密码学的保护服务和安全协议的套件。
(3)密钥管理技术
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。
(4)使用者与设备身份认证技术
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。VPN的身份验证采用PPP的身份验证方法,下面介绍一下VPN进行身份验证的几种方法。
CHAP:CHAP通过使用MD5(一种工业标准的散列方案)来协商一种加密身份验证的安全形式。MS-CHAP:同CHAP相似,微软开发MS-CHAP是为了对远程Windows工作站进行身份验证,它在响应时使用质询-响应机制和单向加密。而且MS-CHAP不要求使用原文或可逆加密密码。 MS-CHAP v2:MS-CHAP v2是微软开发的第二版的质询握手身份验证协议,它提供了相互身份验证和更强大的初始数据密钥,而且发送和接收分别使用不同的密钥。
4 VPN发展现状
在国外,Internet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Internet上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。
(1)客观因素包括因特网带宽和服务质量QoS问题。
在过去无论因特网的远程接入还是专线接入,以及骨干传输的带宽都很小,QoS更是无法保障,造成企业用户宁愿花费大量的金钱去投资自己的专线网络或是宁愿花费巨额的长途话费来提供远程接入。现在随着ADSL、DWDM、MPLS等新技术的大规模应用和推广,上述问题将得到根本改善和解决。
(2)主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全。主观因素之二,也是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
可以想象,当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。在不远的将来,VPN技术将成为广域网建设的最佳解决方案。同时,VPN会加快企业网的建设步伐,使得集团公司不仅仅只是建设内部局域网,而且能够很快地把全国各地分公司的局域网连起来,从而真正发挥整个网络的作用。VPN对推动整个电子商务、电子贸易将起到不可低估的作用。
参考文献
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 14-0000-01
Analysis of Virtual Professional Network VPN Technology
Wang Ke
(Zhengzhou University,Information Network Key Laboratory 2009 Grade,Zhengzhou450001,China)
Abstract:The virtual professional network VPN tunneling technology,encryption technology,key management and authentication technology for a specific description,also referred to the VPN security issues for further follow-up research and application of the VPN to lay a theoretical basis.
Keywords:VPN;Tunnel;Encryption and decryption;Certification;Security
一、VPN技术介绍
VPN主要采用隧道技术、加解密技术、密钥管理技术和身份认证技术。
(一)隧道技术
1.隧道技术基础。隧道技术是VPN的关键技术,主要包括数据封装、传输和数据拆封三个部分。隧道技术是一种通过公共网络的基础设施,在专用网络或专用设备之间实现加密数据通信的技术。通信的内容包括各种通信协议的数据包,隧道协议将这些数据包重新封装在新的包中发送,新的包头提供了路由信息,从而使封装的数据能够通过公共网络传递,传递时所经过的逻辑路径称为隧道,当数据包到达通信终点后,将被拆封并转发到最终目的地。隧道技术就是指包括数据封装,传输和解包在内的全过程,如图1所示。
图1:隧道传输过程
2.隧道协议。隧道的客户机和服务器双方必须使用相同的隧道协议创建隧道。隧道协议是隧道技术的核心,基于不同的隧道协议所实现的VPN是不同的。典型的隧道协议有PPTP、L2TP和IPSec等协议。
(二)加解密技术
加解密技术主要就是处理好保密、认证和完整性这三个方面的问题。
1.保密。数据在网络传输的过程中,由于需要经过多个中间节点进行转发,因此很容易就被截获。为了保证数据的保密性,就需要对数据使用密文进行加密传输。密文即使被第三方截获,也无法解析其含义。
2.认证。接收方在收到数据后,为了验证数据确实是从发送放发来的,而不是第三方冒充的,就需要对发送方进行认证。认证需要使用一个凭据,即数字证书(Certificate),相当于个人的护照。Certificate由专门的证书管理机构CA(Certificate Authority)发放。
3.完整性。虽然数据在加密传输的过程中第三方无法截获内容,但是第三方还是可以对其实施破坏活动,譬如将数据截掉部分,接收者进行解密后便获得不了完整的信息。为了保证传送的数据完整性,对接收到的数据进行完整性校验是非常有必要的。
(三)密钥管理技术
密钥管理技术的主要任务是在公用数据网上安全地传递密钥而不被窃取。从密钥管理技术角度进行分类,可将其分为对称密钥管理和公开密钥管理(数字证书)两部分。
1.对称密钥管理技术。对称加密是基于共同保守秘密来实现的。采用对称加密技术的贸易双方必须要保证采用的是相同的密钥,要保证彼此密钥的交换是安全可靠的,同时还要设定防止密钥泄密和更改密钥的程序。
2.公开密钥管理(数字证书)技术。贸易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。数字证书通常包含有唯一标识证书所有者(即贸易方)的名称、唯一标识证书者的名称、证书所有者的公开密钥、证书者的数字签名、证书的有效期及证书的序列号等,证书由专门的证书管理机构CA发放。
(四)身份认证技术
VPN需要解决的首要问题是网络上的用户与设备都需要有确定的身份认证。不管其它安全设施有多严密,一旦身份认证将错误,必将导致整个VPN的失效。随着技术的发展,常规用户名+密码方式(PAP)已经不能提供足够的安全保障。有专门机构发放的数字证书,可以为设备提供更安全的认证。
二、VPN的安全性问题介绍
VPN的核心问题时安全问题。目前,VPN主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现安全保证的。但是,当一个企业的VPN需要扩展到远程访问时,那么长时间在线就容易受到黑客的攻击。公司安全防御系统中的弱点就是远程工作员工通过防火墙之外的个人计算机可以接触到公司的核心内容。从安全的观点来看,在家办公的个人,是黑客攻击的重点目标,因为为家用计算机在安全软件使用方面没有公司做的到位。一般情况下,员工使用家用计算机时,仅仅是跟随计算机通过一条授权的连接进入公司网络系统,侵入者可以通过一个被信任的用户进入网络。
安全的加密隧道和正确的连接,也无法保证家庭计算机的安全。黑客为了侵入员工的家用计算机,首先需要做的是探测IP地址,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),这时就要当心黑客的入侵。因此,必须在个人计算机上安装个人防火墙区有效的堵住远程访问VPN的安全漏洞,保护网络的安全。
三、总结
文章对虚拟专业网络VPN的隧道技术、加解密技术、密钥管理技术和身份认证技术进行了具体介绍,同时还提及了VPN的安全性问题,为后续进一步对VPN的研究和应用打下了理论基础。
参考文献:
[1]肖铭.VPN隧道封装性能分析与研究[J].计算机与数字工程,2003
