林鹏
其实,虚拟专用网(VPN)技术并不是什么新鲜事物,早在1993年,欧洲虚拟专用网联盟(EVUA)成立,力图在全欧洲范围内推广VPN。Internet的迅猛发展以及应用越来越广泛的电子商务给VPN带来了新的市场生机,电子商务和移动办公的安全性需求,使得VPN开始遍布全世界。
如今,许多企业都在实施电子商务战略,e-Bank、e-Business、e-wallet等业务正方兴未艾。在一个电子商务应用环境中,计算机的资源能否充分地共享,通信网络是否足够开放,被视为一个IT系统是否具有发展前景的重要标志之一。然而,由于TCP/ip网络的安全保障是建立在“信任”的基础上,那些被认为最机密不过的信息,在这个开放的不设防的环境里传输和交换着,一旦信任关系遭到破坏,与之相关的安全性也就不复存在。
信息系统的开放性和信息的安全性一直是一对矛盾,计算机系统在不断追求开放的同时,如何保证合法用户对系统资源的合法访问,如何防止黑客的攻击,也成为必须解决的首要问题。VPN的出现正是为了解决两个私有网络的连接问题,这也是PPTP、L2TP等VPN的根本目的,因为这样就可以为行业或者企业提供高性能、低价位的Internet接入。针对目前Internet上存在的诸多信息安全隐患,以及各种安全措施越来越受到企业的重视,“方案评析”栏目在本期推出了VPN技术应用专题,通过对东软、联想、天融信、Cisco等各类虚拟通道技术的应用分析,与读者共同探讨完善企业信息安全架构的最有效方法。
在信息经济时代,越来越多的机构、企业都从Internet中获得了巨大的便利。然而与此同时,人们也必须面对Internet的开放所带来的对数据安全的挑战,如果Internet网上传输的数据得不到有效的保护,那么企业的大量重要数据将暴露在公众面前,当这些数据被不法分子所窃取并用于非法目的时,必然给企业和客户带来重大的损失。针对这种状况,从事计算机信息安全的研究机构和企业,提出了众多解决方案,其中一种最适用于计算机网络通信安全需求的解决方案,就是VPN技术。
利用公用网络构建VPN是一个新型的网络概念,它为服务提供商(ISP)和VPN用户都将带来不少益处。对于企业而言,利用Internet组建私有网,可以将大笔的专线费用缩减为少量的市话费用和Internet费用,据相关报道分析,仅局域网互联费用就可降低20%~40%,而远程接入费用更可减少60%~80%; 对于服务提供商来说,通过向企业提供VPN增值服务,可以与企业建立更加紧密的合作关系,充分利用现有网络资源,提高业务量。
什么是VPN?
虚拟私有网络(VPN,Virtual PRivate Network)是一种利用公共网络来构建的私人专用网络技术,用于构建VPN的公共网络包括Internet、帧中继、ATM等。“虚拟”这一概念是相对传统私有网络的构建方式而言的,对于广域网连接,传统的组网方式通过远程拨号连接来实现,而VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。通过VPN,企业可以以更低的成本连接远程办事机构、出差人员以及业务合作伙伴(典型的VPN架构如图1所示)。
关键业务网络系统的典型架构由机构设置决定,一般而言,一个典型的关键业务网络系统包含一个总部、若干分支机构、数量不等的合作伙伴及移动远程用户等。除远程用户外,其余各部分均为规模不等的局域网络,其中总部局域网是整个网络系统的核心,同时也是网络管理中心。各部分之间的联接方式多种多样,包括远程拨号、专线、Internet等,而互联方式则可分为三种模式:
① 个人拨号远程访问企业网络;
② 远程分支机构局域网通过专线或公网和总部局域网连接;
③ 合作伙伴(客户、供应商)局域网,通过专线或公网和总部局域网的非控制区连接。
企业内部资源使用者只需接入本地ISP的POP(Point Of Presence,接入服务提供点),即可与总部相互通信。利用传统的WAN组建技术,彼此之间要有专线相连才能够实现安全通信。虚拟网组成之后,远程用户只需拥有本地ISP的上网权限,就可以访问企业内部资源,这对于流动性大、分布广泛的企业来说很有意义,特别是当企业将VPN服务延伸到合作伙伴方时,便能极大地降低网络的复杂性和维护费用。
VPN怎样给信息加密?
VPN系统一般采用建立在网络协议堆栈上的应用层VPN技术,在系统的TDI层和协议堆栈之间增加安全扩展模块,实现密钥管理、协商、数据加密/解密的过滤驱动程序(数据流程如图2所示)。通过这种安全扩展方式,不必修改上层的应用程序,所有要通过网络收发的数据包都必须经过该安全驱动程序的过滤。VPN的信息安全措施主要包含下以几种:
● 基于PKI(公钥基础结构)的用户授权体系 PKI是一个包含数字证书、管理机构、证书管理、目录服务的安全系统。PKI技术采用标准x.509证书,将用户的身份和自己的公共密钥绑定在一起,通过PKI技术和数字证书技术,可以有效地判明用户的身份,同时降低用户在使用基于PKI体系的应用安全系统的复杂性。
● 身份验证和数据加密 用户通过VPN客户端访问VPN网关时,客户端首先对用户进行双因子身份验证,即用户同时拥有用户数字证书和该证书的使用口令。VPN客户端采用基于PKI技术的数字证书技术,完成VPN网关服务器和用户身份的双向验证。验证通过后,VPN网关服务器产生对称会话密钥,并分发给用户。在用户与VPN网关服务器的通信过程中,使用该会话密钥对信息进行加密传输。身份验证和保护会话密钥在传递过程中的安全,主要通过非对称加密算法完成,VPN系统使用1024位的RSA算法,具有高度的安全性。
● 数据完整性保护 完善的VPN系统不但要对用户的身份进行认证,同时还要对系统中传输的数据进行认证,确认传输过程中的消息已被全部发送并且没有失真。VPN系统对所有传输数据进行Hash摘要并对结果进行加密,以实现数字签名,有效地保证了数据在传输过程中的完整性,防止被他人篡改。
● 访问权限控制 企业需要利用VPN网络组织内部运营流程并与其客户及合作伙伴交换重要信息,这就要求企业VPN系统必须拥有严格的访问控制机制。VPN技术采用细粒度的访问权限列表模型(ACL),管理员可方便地为每个VPN用户分配不同的访问特权。ACL以用户身份特征为基础, 其管理与VPN系统的技术维护无关,企业可以将制定和管理ACL的工作,交由行政部门执行,既方便公司的管理,又可有效防止网络维护人员窃取公司机密。
VPN与专线的区别在哪?
与传统的电信专线网络相比,VPN虚拟专网具备以下优势:
● 廉价的网络接入 VPN虚拟专网利用免费的Internet资源将企业在全省乃至全国的各分支机构进行互联,各节点全部采用本地电话或本地专线接入方式,大大节省了长途拨号及长途专线的连接费用(VPN与专线访问的比较如下表所示)。
● 严格的用户认证 VPN系统全部采用CA认证体制(采用非对称密钥证书体系),即在企业信息中心VPN控制平台建立全省统一的认证授权系统,所有企业客户端都有自己的私有证书、用户名及密码,使接入用户与VPN虚拟专网、VPN网关进行双向身份鉴别,同时客户端还支持双因素身份认证。每次用户登录都将有严格的审计日志记录,以便于日后的审计与稽核,同时VPN系统增加了用户操作的数字签名,即数据交易的不可抵赖性,这种技术一般用于银行的金融业务交易。所以与普通专线相比,其强制认证措施确保了企业内网服务的访问与稽核安全。
● 高强度的数据保密 由于数据全部通过互联网进行传输,所以必须进行数据加密与数据完整性保护。VPN虚拟专网一般提供128位以上的对称加密措施,非对称密码算法使用1024位,并采用网络协议堆栈上的应用层VPN技术,全部采用一次一密体制,数据安全性极高。同时VPN虚拟专网采用md5数据摘要算法,用以保护数据传输过程的完整性。而普通电信专线不提供任何形式的加密措施,所以VPN技术虽然构建在Internet之上,但其高强度的加密措施使得数据传输的安全性要比普通电信专线高得多。(作者单位: 中国石油化工股份有限公司浙江石油分公司)
摘自中国计算机世界网