虚拟专用网技术

虚拟专用网技术

虚拟专用网(Virtual Private Network,VPN)是利用Internet等公共网络的基础设施,通过隧道技术,为用户提供的与专用网络具有相同通信功能的安全数据通道。“虚拟”是指用户无需建立各自专用的物理线路,而利用Internet等公共网络资源和设备建立一条逻辑上的专用数据通道,并实现与专用数据通道相同的通信功能。“专用网络”是指虚拟出来的网络并非任何连接在公共网络上的用户都能使用,只有经过授权的用户才可使用。

该通道内传输数据经过加密和认证,可保证传输内容的完整性和机密性。

IETF对基于IP网络的定义的VPN为:利用IP机制模拟的一个专用广域网。VPN可通过特殊加密通信协议为Internet上异地企业内网之间建立一条专用通信线路,而无需铺设光缆等物理线路,系统结构如图所示。
在这里插入图片描述

VPN的技术特点

  1. 安全性高。VPN使用通信协议、身份验证和数据加密三方面技术保证了通信的安全性。当客户机向VPN服务器发出请求时,该服务器响应请求并向客户机发出身份质询,然后客户机将加密的响应信息发送到VPN服务端,该服务器根据数据库检查该响应。

  2. 费用低廉。远程用户可用VPN通过Internet访问公司局域网,费用仅是原一部分,且企业可节省购买和维护通信设备的费用。

  3. 管理便利。构建VPN不仅只需很少的网络设备及物理线路,而且网络管理变得简单方便。不论分公司或远程访问用户,都只需要通过一个公用网络端口或Internet路径即可进入企业网络。关键是获得所需的带宽,网络管理的主要工作将由公用网承担。

  4. 灵活性强。可支持通过各种网络的任何类型数据流,支持多种类型的传输媒介,可以同时满足传输语音、图像和数据等的需求。

  5. 服务质量佳。为企业提供不同等级的服务质量保证。不同用户和业务对服务质量保证的要求差别较大,对于拥有众多分支机构的专线VPN,交互式内部企业网应用则要求网络能提供良好的稳定性。

VPN的实现技术

VPN是在Internet等公共网络基础上,综合利用隧道技术、加解密技术、密钥管理技术和身份认证技术实现的。
隧道技术
隧道技术是VPN的核心技术,为一种隐式传输数据的方法.主要利用已有的Internet等公共网络数据通信方式,在隧道(虚拟通道)一端将数据进行封装,然后通过已建立的隧道进行传输。在隧道另一端,进行解封装并将还原的原始数据交给端设备。在VPN连接中,可根据需要创建不同类型的VPN隧道,包括自愿隧道和强制隧道两种。
网络隧道协议可以建立在网络体系结构的第二层或第三层。

常用加解密技术
为了重要数据在公共网络传输的安全,VPN采用了加密机制。常用的信息加密体系主要包括非对称加密体系和对称加密体系两类。实际上一般是将二者混合使用,利用非对称加密技术进行密钥协商和交换,利用对称加密技术进行数据加密。
(1) 对称密钥加密
对称密钥加密也称共享密钥加密,是指加密和解密以相同密钥完成,数据的发送者和接收者拥有共同的密钥。发送者先将要传输的数据用密钥加密为密文,然后在公共信道上传输,接收者收到密文后用相样的密钥解密成明文。由于加密和解密的密钥相同,所以此加密算法安全性的关键在于密钥获得者是否授权。密钥一旦泄露,无论其算法与设计如何,密文仍可被轻易破解。此加密方法的优点是运算相对简单、速度快,适合于加密大量数据的情况。缺点是密钥的管理较为复杂。
在这里插入图片描述
(2) 非对称密钥加密
非对称密钥加密是指加密和解密采用不同的密钥完成,数据的发送者和接收者拥有不同的两个密钥,一个公钥一个私钥。其算法也称公钥加密。公钥可以在通信双方之间公开传递,或在公共网络上发布,但相关的私钥必须保密。利用公钥加密的数据只有使用私钥才可解密,而私钥加密的数据只有使用公钥才可认证。
注意:非对称算法采用复杂的算法处理,占用更多的处理器资源,运算速度较慢。非对称算法不适合加密大量数据,而是经常用于对关键数据的加密,如对称密钥在密钥分发时采用非对称算法。非对称加密算法和散列算法结合使用,可生成数字签名。

密钥管理技术
密钥的管理极为重要。密钥的分发采用手工配置和采用密钥交换协议动态分发两种方式。手工配置要求密钥更新不宜频繁,否则增加大量管理工作量,所以,它只适合简单网络。软件方式动态生成密钥可用于密钥交换协议,以保证密钥在公共网络上安全传输,适合于复杂网络,且密钥可快速更新,极大提高VPN应用安全。

身份认证技术
在VPN实际应用中,身份认证技术包括信息认证和用户身份认证。信息认证用于保证信息的完整性和通信双方的不可抵赖性,用户身份认证用于鉴别用户身份真实性。采用身份认证技术主要有PKI体系和非PKI体系。PKI体系主要用于信息认证,非PKI体系主要用于用户身份认证。PKI体系通过数字证书认证中心CA(Certificate Authority),采用数字签名和哈希函数保证信息的可靠性和完整性。如SSL VPN是利用PKI支持的SSL协议实现应用层VPN安全通信。非PKI体系一般采用“用户名+口令”的模式, VPN采用的非PKI体系认证方式有6种(略)。

VPN技术的实际应用

VPN技术实际应用中,对不同网络用户应提供不同解决方案。解决方案主要分为3种:远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。
远程访问虚拟网
通过一个与专用网相同策略的共享基础设施,可提供对企业内网或外网的远程访问服务,使用户随时以所需方式访问企业资源。如模拟、拨号、ISDN、数字用户线路(xDSL)、移动IP和电缆技术等,可安全地连接移动用户、远程工作者或分支机构。这种VPN适用于拥有移动用户或有远程办公需要的机构,以及需要提供与消费者安全访问服务的企业。远程验证拨号用户服务RADIUS服务器可对异地分支机构或出差外地的员工进行验证和授权,保证连接安全且降低电话费用。

企业内部虚拟网
利用Intranet VPN方式可在Internet上构建全球Intranet VPN,企业内部资源用户只需连入本地ISP的接入服务提供点POP(Point Of Presence)即可相互通信,而实现传统WAN组建技术均需要有专线。利用该VPN线路不仅可保证网络的互联性,而且,可利用隧道、加密等VPN特性保证在整个VPN上的信息安全传输。这种 VPN通过一个使用专用连接的共享基础设施,连接企业总部和分支机构,企业拥有与专用网络的相同政策,包括安全、服务质量可管理性和可靠性,如总公司与分公司构建的企业内部VPN。

企业扩展虚拟网
主要用于企业之间的互连及安全访问服务。可通过专用连接的共享基础设施,将客户、供应商、合作伙伴或相关群体连接到企业内部网。企业拥有与专用网络相同的安全、服务质量等政策。可简便地对外部网进行部署和管理,外部网的连接可使用与部署内部网和远端访问VPN相同的架构和协议进行部署,主要是接入许可不同。
对于企业一些国内外客户,涉及订单时常需要访问企业的ERP系统,查询其订单的处理进度等。客户是上帝,可以使用VPN技术实现企业扩展虚拟局域网,让客户也能够访问公司企业内部的ERP服务器。但应注意数据过滤及访问权限限制。

相关推荐
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页