（计算机软件与理论专业论文）虚拟专用网vpn的技术研究及应用分析.pdf

ab s t r a c t v i r t u a l p r i v a t e n e t w o r k ( v p n ) i s o n e o f t h e h o tt e s t n e t w o r k t e c h n o l o g i e s a t p r e s e n t . w i t h t h e f a s t d e v e lo p m e n t o f i n t e rn e t a p p l i c a t i o n , i n t e r n e t s h o w s u p s o m e w e a k n e s s , s u c h a s t h e p r o b le m o f n e t w o r k s e c u r it y a n d q u a l it y o f s e r v i c e ( q o s ) . f o r t h e s e p r o b l e m s , e n t e r p r i s e c a n n o t p u t i m p o r t a n t c o m m u n i c a t io n o n i n t e r n e t . s o t h e s e e n t e r p r i s e s h a v e t o g iv e u p c h e a p a n d a b r o a d u s i n g i n t e r n e t , a n d c h o o s e p r iv a t e n e t w o r k , w h i c h i s e x p e n s i v e a n d n o t e x p a n d a b l e . u n d e r t h i s b a c k g r o u d , v p n c o m e s u p . v p n i n t e g r a t e s a u t h e n t i c a t i o n t e c h n o l o g y , e n c r y p t t e c h n o l o g y , t u n n e l i n g t e c h n o l o g y a n d k e y e x c h a n g i n g t e c h n o l o g y . v p n w i l l u s e p u b l i c n e t w o r k t o b u i l d s a f e c o n n e c t i o n . i n s t e a d o f p r iv a t e n e t w o r k , v p n w i l l b e u s e d t o c o n s t r u c t s a f e n e t w o r k b y g o v e m e n t a n d e n t e r p r i s e , b e c a u s e v p n i s s a f e r , c h e a p e r a n d m o r e e x p a n d a b l e t h a n p r i v a t e n e t w o r k . s o v p n i s a v e r y v a lu a b l e t e c h n o l o g y . t h e p a p e r s u r v e y s a l l k i n d s o f i m p o r t a n t t e c h n o l o g y in v p n . e s p e c i a l l y , l 2 t p ( l e v e l t w o t u n n e l i n g p r o t o c o l) a n d i p s e c ( i n t e r n e t p r o t o c o l s e c u r it y ) a r e i n t r o d u c e d i n d e t a i l f o r t h e ir i m p o r t a n t e ff e c t i n v p n . s o m e i n c o m p l e t in g a s p e c t s a r e d i s c u s s e d . t h is p a p e r g i v e s s o m e i n s t r u c t i v e a d v i c e o n h o w c o m b i n i n g v p n a n d i p q o s . a t t h e e n d o f t h e p a p e r , t h e c o n s t r u c t io n o f l i n u x - b a s e d v p n t e s t b e d is p r o v i d e d . s o m e t e s t s a b o u t v p n p e r f o r m a n c e a r e m a d e . a t l a s t , s o m e e x p e c t a t i o n i s p u t f o r w a r d t o t h e t e s t b e d . k e y w o r d s : v p n ; n e t w o r k s e c u r i t y ; i p s e c ; q o s 3 一、引言 v p n ( v ir t u a l p r iv a t e n e t w o r k ) 虚拟专用网，是指运用隧道技术、用户身 份认证、数据认证和加密技术构建在公共网络上的临时、安全的专用网络。这里所 指的公共网络有多种， 其中最主要的就是基于t c p a p 的i n t e r n e t . v p n技术是近年 来兴起的网络新技术。v p n技术一出现就引起了设备制造商、i s p ( i n t e r n e t s e r v ic e p r o v i d e r , i n t e r n e t 服务提供商)和企业用户的广泛关注，成为未来网络安全研究和 i n t e r n e t 应用的一个重要方面。 是什么原因使得虚拟专用网技术受到如此重视?我们将从网络技术的应用发展 历程来探讨其根源。1 9 8 7 年，美国国家科学基金会 n s f承担建立了骨干网络，此 网 络在世界范围内得到应用，被称为i n t e r n e t 。这是 i n t e r n e t 的正式诞生。此后随着 网络的关键应用技术的诞生，比如 1 9 8 9年 www 网诞生，i n t e rn e t 逐步得到商业 社会的接受。但是到了 1 9 9 5 年以后，由于t c p a p 协议栈在安全性方面固有的弱点 给 i n t e rn e t 带来的不安全性，商业领域的 i n t e rn e t 使用热潮开始减弱。绝大多数企 业不敢把他们的重要商务活动连到 i n t e r n e t 上进行。虽然通过对特定的电子商务的 简单加密，i n t e rn e t 的安全性在一定程度上得到了 加强。客户的网上电子交易，例 如存取款操作或商品零售能够安全地进行。但是许多企业所要求的具有很强保密性 的企业商务活动的安全条件还没有实现。企业为了保护自己，于是开发了相对独立 的网络设施，即专用网。 高性能、高速度、高安全性是专用网明显的优势。专用网支持多种形式的广域 网 w a n协议，比如帧中继、 a t m 异步传输模式和 t c p a p ，而 i n t e r n e t 仅仅支持 t c p a p协议。但是专用网的费用十分昂贵 。如果一个大型的企业要通过光纤网络 把其遍布全球的各个办公室连接起来，该企业就要为建立专用网付出上亿美金的投 资。专用网具有严格的专用性 ，不能轻易地实现扩展和升级 。专用网一旦建立起 来，要在专用网上引入新的地域、商业伙伴、提供商的连接，还需要巨大的工程量 和昂贵的投入。 i n t e rn e t 则与专用网正好相反。i n t e rn e t 是不安全的，但是 i n t e r n e t 无所不在， 可以灵活、轻易地实现扩展，引进新的连接点，并且使用费用非常低廉。 由 上所述，专用网 和 i n t e rn e t 各有所长，它们的长处都是用户所期望的。但是 长期以来用户不得不在两者之中选择其一。而v p n正是结合了专用网和i n t e r n e t 的 长处的新技术，所以它一出现立即就受到业界的广泛重视。虚拟专用网为企业重返 i n t e r n e t 信息高速公路铺设了一条道路。关键性的加密技术、认证以及隧道协议的 无缝整合的进步，使得在 i n t e r n e t 的基础上建立安全的虚拟专用网成为可能。其中 起决定性作用的标准，例如i p 安全性标准 ( i p s e c )的成熟发挥了关键作用。 v p n可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网 建立可信的安全连接 ，并保证数据的安全传输 。通过将数据流转移到低成本的 i p 网络上，一个企业的 v p n解决方案将大幅度地减少用户花费在 w a n建设上和远 程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网 站。v p n可用于不断增长的移动用户的全球 i n t e r n e t 接入，以实现安全连接:可用 于实现企业网站之间安全通信的虚拟专用线路;用于连接到商业伙伴和用户的安全 “ 外连网v p n 。 4 -一一一一一一-一一一 v p n 要想完全替代专用网就必须提供与专用网相同的安全性、性能、带宽和 服务质量 ( q o s . q u a l i t y o f s e r v i c e )保证。同时为了使 v p n得到广泛的使 用， 还必须使 v p n技术具有高度的扩展性和可管理性。目 前，由于 i p s 己 c 标准的 日益成熟，安全性己经不是业界担忧的主要问题。随着应用的深入，v p n 的性 能、带宽和服务质量保证，以及 v p n的网络安全管理正成为v p n领域中的研究热 点。本文将对 v p n的关键技术，包括隧道技术、安全性技术、带宽和服务质量保 证技术进行介绍、探讨，并对 v p n的i p s e c 实现在l i n u x 下进行测试。 5 二、网络安全基础 在 i n t e r n e t 上构建 v p n ，首先要保障的就是v p n的安全性 。众所周知 ， i n t e r n e t 建立在 t c p / i p协议之上。而 t c p / i p协议在制订之初就没有把安全问题考 虑在内，完全没有安全可言。要想让企业把敏感信息通过在 i n t e r n e t 上构建的 v p n 来传输，首先就要解决安全问题。下面我们将深入地理解网络安全的含义，并揭示 t c p / i p在安全上的缺陷，以便更好地理解 v p n是如何在不安全的 i n t e r n e t 上实现 安全性保障的。 2 . 1网络安全的含义及特征 网络安全从本质上讲就是网络上的信息安全。它涉及的领域非常广泛。从广义 上来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相 关技术和理论，都是网络安全所要研究的领域。下面是网络安全的一个通用定义: 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的 或者是恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络 服务不中断。 从用户 ( 个人、企业等)的角度来说，他们希望涉及个人隐私或商业利益的信 息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃 听、冒充、篡改、抵赖等手段对用户的利益和隐私造成损害和侵犯，同时也希望当 用户的信息保存在某个计算机系统上时，不受其它非法用户的非授权访问和破坏。 从网络运行和管理者的角度说，他们希望对本地网络信息的访问、读写等操作 受到保护和控制、避免出现后门、 病毒、非法存取、拒绝服务和网络资源非法占用 和非法控制等威胁、制止和防御网络黑客的攻击。 对于安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进 行过滤和防堵，避免其通过网络泄露，避免由于这类信息的泄密对社会产生危害， 对国家造成巨大的经济损失。 因此，网络安全在不同的环境和应用会得到不同的解释: (i)运行系统安全，即 保证信息处理和传输系统的安全。包括计算机系统 机房环境的保护，法律、政策的保护，计算机结构设计上的安全性考 虑，硬件系统的可靠安全运行，计算机操作系统和应用软件的安全 ， 数据库系统的安全，电磁信息泄露的防护等。它侧重于保证系统正常 的运行，避免因为系统的崩溃和损坏而对系统存储 、处理和传输的信 息造成破坏和损失 ，避免由于电磁泄露 ，产生信息泄露 ，干扰他人 ( 或受他人干扰)，本质上是保护系统的合法操作和正常运行; ( 2 )网络上系统信息的安全。包括用户口令鉴别，用户存取权限控制，数 据存取权限 ，安全审计 ，安全问题跟踪 ，计算机病毒防治 ，数据加 密; ( 3 )网络上信息传播的安全，即信息传播后果的安全。包括信息过滤，不 良 信息的过滤等。它侧重于防止和控制非法 、有害的信息进行传播后 的后果。避免公用通信网络上大量自由传输的信息失控 。本质上是维 护道德、法规或国家利益; ( 4 )网络上信息内容的安全，即我们讨论的狭义的 “ 信息安全”。它侧重 于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全 漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。本质上是保护 用户的利益和隐私。 由此可见，网络安全的本质是在信息的安全期内保证其在网络上流动时或者静 态存放时不被非授权用户非法访问，但授权用户却可以访问。显然，网络安全、信 息安全和系统安全的研究领域是相互交叉、紧密相连的。 网络安全的含义是通过各种计算机、网络、密码技术和信息安全技术，保护在 公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的 传播及内容具有控制能力。网络安全应具有以下四个方面的特征: . 保密性:信息不泄露给非授权的用户、实体或过程，或供其利用的特征。 . 完整性:数据未经授权不能进行改变的特性 ，即信息在存储或传输过程中 保持不被修改、不被破坏和丢失的特性。 . 可用性:可被授权实体访问并按需求使用的特性 ，即当需要时应能存取所 需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属 于对可用性的攻击。 . 可控性:对信息的传播及内容具有控制能力。 通过对网络安全的含义和特征进行分析后，我们明确了 v p n技术在安全方面 的目 标，就是要通过各种计算机、网络、密码技术和信息安全技术，保护在虚拟专 用网中传输、交换和存储的信息的机密性、完整性和真实性。 接下来我们将进一步研究 t c p / i p协议的不安全方面，以及我们可以对它进行 的改善。 2 .2 t c p / i p 协议及其固有的安全缺陷 i n t e r n e t / i n t r a n e t 是基于 t c p / i p协议族的计算机网络。尽管 t c p / i p 技术获得了 巨大成功，但也越来越暴露出它在安全上的不足之处，这是由于 t c p / i p协议在设 计初期基本没有考虑到安全性问题。t c p / i p 协议的安全缺陷主要表现在: ( i ) t c p / i p协议数据流采用明文传输。目 前 t c p / i p协议主要建立在以太网 上，以太网的一个基本特征是:当一个网络设备发送一个数据包，同网段上每个网 络 设 备 都 会 收 到 这 个 数 据 包， 然 后 检 查 其目 的 地 址 来 决 定 是 否 处 理 这 个 数 据 包( 否 就丢弃，是就接收)。如果以太网卡处于一种混杂工作模式下， 此网卡会接收并处 理所有的数据包 。因此数据信息很容易被在线窃听 、篡改和伪造 。特别是在使用 f t p 和t e l n e t 时， 用 户的 帐号、口 令是明 文 传输， 所以 攻 击者 可以 截 取含有 用户 帐 号、口 令的数据包， 进行攻击。 例如使用s n i f f e r 程序、 s n o o p 程序、网 络分析仪、 c i n c o n e t w o r k s 公司的n e t x r a y . a g g r o u p 公司的e t h e r p e e k 等都可以 截取用户k. 号和口令; ( 2 )源地址欺骗 ( s o u r c e a d d r e s s s p o o f i n g )或 i p欺骗 ( i p s p o o f in g )。 t c p / i p 协议是用 i p 地址来作为网络结点的唯一标识，但是结点的 i p 地址又是不固 定的，是一个公共数据，因此攻击者可以直接修改结点的 i p地址，冒充某个可信 任结点的i p 地址，进行攻击。因此 i ii 地址是不能被当作一种可信的认证方法: ( 3 ) 源路由 选择欺骗 ( s o u r c e r o u t i n g s p o o f i n g )。 t c p / i p 协 议中， 为测试目 的， i p数据包设置了 一个选项 i p s o u r c e r o u t i n g ， 该选项可以 直接指明 到达结 点的路由。攻击者可以利用这个选项进行欺骗，进行非法连接。攻击者可以冒充某 个可信任结点的 i p地址，构造一个通往某个服务器的直接路径和返回的路径，利 用可信用户作为通往服务器的路由中的最后一站，就可以向服务器发请求，对其进 行攻击。在 t c p i i p 协议的两个传输层协议t c p 和 u d p 中，由于 u d p 是面向非连 接的，因而没有初始化的连接建立过程，所以u d p 更容易被欺骗: ( 4 )路由信息协议攻击 ( r i p a t t a c k s )。r i p协议用来在局域网中发布动态 路由信息。它是为了在局域网中的结点提供一致路由选择和可达性信息而设计的。 但是结点对收到的信息是不检查它的真实性的 ( t c p / i p协议没有提供这个功 能)，因此攻击者可以在网上发布假的路由信息，利用i c mp 的重定向信息欺骗路 由器或主机，将正常的路由器定义为失效路由器，从而达到非法存取的目 的: ( 5 )鉴别攻击 ( a u t h e n t i c a t io n a tt a c k s )。t c p / i p协议只能以 i p地址进行鉴 别，而不能对结点上的用户进行有效的身份认证，因此服务器无法鉴别登陆用户的 身份有效性。目前主要依靠服务器软件平台提供的用户控制机制，比如 u n i x系统 采用用户名、口令。虽然口 令是密文存放在服务器上，但是由于口 令是静态的、明 文传输的，所以无法抵御重传、窃听，而且在 u n ix系统中常常将加密后的口 令文 件存放在一个普通用户就可以读的文件里， 攻击者也可以运行己 准备好的口 令破译 程序来破译口令，对系统进行攻击: ( 6 ) t c p 序列号欺骗 ( t c p s e q u e n c e n u m b e r s p o o f in g )。由 于t c p 序列号 可以预测，因此攻击者可以构造一个 t c p包序列，对网络中的某个可信结点进行 攻击; ( 7 ) t c p 序列号 淹没 攻击 ( t c p s y n f l o o d i n g s p o o f in g ) ， 简 称s y n 攻 击。 t c p是一个面向连接、可靠的传输层协议。通信双方必须通过一个三方握手的方 式建立一条连接。如果主机 a要建立一条和主机 b的t c p 连接，正常的t c p 连接 要使用三次握手，如图 2 - 1 所示:首先 a发送一个 s y n数据包 ( 一个设置了 s y n位的 t c p 数据包)给主机 b ;主机 b回答一个 s y n / a c k数据包 ( 一个设置 了s y n和a c k位的t c p 数据包)给主机a ，表示确认第一个s y n数据包并继续 进行握手;最后主机 a发送一个 a c k数据包给主机 b ，完成整个三次握手的过 程，通信双方正式建立一条连接。当主机 b接收到一个 s y n数据包时，它分配一 块内存给这个新的连接。如果连接数没有限制，那么主机 b为处理 t c p 连接将很 快用完它的内存资源。然而对一个给定的应用服务，比如 www 服务，并发的 t c p连接请求有一个限度，如果达到了这个限度，别的请求将会被拒绝。如果一 个客户采用地址欺骗的方式伪装成一个不可到达的主机时，那么正常的三次握手过 程将不能完成，目标主机一直得等到超时才恢复，这是 s y n攻击的原理。如图 2 - i 所示。攻击主机 a发送一定数量的 s y n请求 ( 一般小于 1 0 就足够了)到主机 b 。攻击者采用地址欺骗的方式把他的地址动态伪装成主机 a 的地址 ( 其实这个地 址根本不存在)，因为攻击主机 a根本不想让任何一个主机收到这个目 标 t c p 连 接发出的 s y n / a c k数据包，这样主机 b无法释放被占用的资源，主机 b将拒绝 接收别的正常请求，于是攻击成功。只有等到 s y n请求超时，主机 b才会恢复连 接。如果主机 a 可到达，如图 2 - 1 所示，那么当主机 a 收到主机 b发来的 s m a c k数据包时，它不知道它该做什么，就发一个 r s t数据包给主机 b ，主机 就复原连接，于是攻击失败。 a ih ( at - e t ) . .i b aba ， s y n ， s y n ， s y n s y n / a c k s y n / a c k r s t r s t丁 aa可a扩 bbndbbbb a 卜一 一a c k b a . s y n ， s y 攻 . s y n . syn_ s y n / a c k s y n / a c k 可aa对f 侨db 正常的t c p 连接建立过程成功的s y n 淹没攻击 失败的s y n 淹没攻击 图2 - 1 s y n淹没攻击 因为i n t e rne t 是基于t c p / i p 协议的，所以t c p / i p协议中存在的安全技术缺陷 导致了i n t e rn e t 的不安全性。要在不安全的i n t e rn e t 上构建安全的v p n，首先就得 克服这些缺陷。 2 . 3 t c p / i p 协议的分层安全特性 前面描述了 t c p / i p的安全缺陷。针对这些安全缺陷，我们就可以在不同的协 议层采取措施来提高安全性。在当今的 i n t e rn e t 中，存在着大量特制的协议，专门 用来保障网络各个层次的安全。决定到底在协议堆栈的什么地方应用安全措施时， 要依赖于应用( 程序) 对安全保密的要求，以 及用户自 己的一些需要。 但无论在堆栈 的什么地方采取安全措施，下面这些基本服务都是必须要提供的: . 密钥管理 . 机密性 . 不可抵赖 . 完整性/ 身份验证 . 授权 基于堆栈的某个层实施安全措施，可以有选择性地提供上述部分或全部服务。 在某些情况下，我们有必要在某一层提供部分安全服务，而在另一层提供其它服 务。 下面我们将讨论在堆栈各层提供安全保障的优点与缺点。 2 . 3 . 1应用层 应用级的安全措施必须在端主机卜实施。在应用层提供安全保障有下述几方面 的优点: . 由于是以用户为背景执行，所以更容易访问用户凭据，比如私人密钥等。 . 对用户想保护的数据具有完整的访问权。这便简化了提供一些特殊的服务 的任务，比如不可抵赖。 . 一个应用可自由扩展，不必依赖操作系统来提供这些服务。通常，应用程 序对于操作系统上实施的东西没什么控制权。 . 应用程序对数据有着充分的理解，可据此采取相应的安全措施。 应用层安全的缺点在于针对每个应用，都要单独设计一套安全机制。这意味着 对现有的应用来说，必须对其进行改进，才能提供安全保障。由于每个应用都必须 定义自己的安全机制，所以犯错误的机率大增，有可能为黑客打开更多的安全漏 洞。 在应用程序中实施安全机制时， 程序要和一个特殊的系统集成到一起，建立起 最终的安全机制。 此类系统的 例子包括 p g p , k e r b e r o s 以 及 s e c u r e s h e l l ( 安全外 壳 ) 。 这些系统均属应用级的协 议， 可提供密钥协商以 及其它安全服务。应用程序 通过改进，可调用这种系统，以使用它们的安全机制。一个典型的例子是 e - m a i l 客户端软件，它用 p g p来保障电子邮件的安全。在这种情况下，e - m a i l 客户端通 过扩展，增加了下面这些额外的功能: . 可在一个本地数据库里查找与某位特定用户对应的公共密钥。 . 可提供多种安全服务，比 如加密/ 解密、不可抵赖( 信件加上了自己的签 名， 其发件人不容 抵赖 ) 以 及对电 子邮 件发件人的 身 份进行验证等等。 对应用程序而言，应根据需要设计好自己的安全机制，并不可依赖较低的层来 提供这些服务。“ 不可抵赖”安全服务便是这样的一个例子。对低层服务来说，其 实很难提供 “ 不可抵赖”服务，因为它们没有权利访问数据。 2 .3 . 2传输层 与应用层安全相比，在传输层提供安全服务具有一些明显的好处，因为它不会 强制要求每个应用都在安全方面作出相应的改进。即使现有的应用本身没有提供安 全服务，也能自 然、 “ 无缝” 地获得安全服务。 然而，由 于要取得用户背景 ( 或称“ 用户场景” ) ， 所以 情况也变得复杂起来。 为提供由具体用户决定的服务，我们假定只有一名用户使用系统，而且这种假定目 前已成为一种标准的做法。与应用级的安全类似，传输层的安全只可在端系统( e n d s y s t e m ) 实现。 具体的传输层安全措施要取决于具体的协议。其中，称为 “ 传输层安全” ( t l s ) 的协议在t c p的顶部提供了如身份验证、 完整性检验以 及机密性保证这样的 安全服务。t l s需要为一个连接维持相应的场景，而且目 前并未在 u d p上实现， 因为 u d p并不维持任何场景。由于安全机制与特定的传输协议有关，所以像密钥 管理这样的安全服务可能在每种传输协议中都要重复。 根据目前的定义，传输层安全的另一个限制是应用程序仍需进行修改，才能请 求传输层提供安全服务。 2 . 3 . 3网络层 在这一层实现安全服务具有多方面的优点。首先，密钥协商的开销被大大地削 减了。这是由于多种传送协议和应用程序可共享由网络层提供的密钥管理架构。其 次，假如安全服务在较低层实现，那么需要改动的应用程序便要少得多。通过它， 我们不必集中在较高的层实现大量安全协议。假如安全协议在较高的层实现，那么 每个应用都必须设计自己的安全机制。这样做除极易产生安全漏洞以外，而且出现 犯错误的机率也会大增。另外，对于任何传送协议，都可为其 “ 无缝”地提供安全 保障。 在网络层提供安全服务的缺点是很难解决像数据的 “ 不可抵赖”之类的问题。 这样的问题最好还是在较高的层解决。若在网络层提供安全服务，很难在一部多用 户的机器上实现按用户进行的控制。然而，我们可在终端主机上提供相应的机制， 实现以用户为基础的安全保障。在路由器上，由于不存在用户 “ 场景”，所以这个 问题不会出现。 i p安全机制在网络层提供安全服务将是我们下面研究的重点。在网络层提供 安全服务的一个例子就是 i p s e c协议。i p s e c是目前唯一一种能为任何形式的 i n t e rn e t 通信提供安全保障的协议。此外，i p s e c 也允许提供逐个数据流或者逐个连 接的安全，所以能实现非常细致的安全控制。 2 .3 . 4数据链路层 假定两个主机或路由器之间存在一条专用通信链路，而且为避免有人 “ 窥 视”，所有通信都需加密，便可用硬件设备来进行数据加密。 这样做最大的好处在于速度。然而，该方案不易扩展，而且仅在专用链路上才 能很好地工作。另外，进行通信的两个实体必须在物理上连接到一起。 这种安全模型在自 动柜员 机( a t m ) 上得到了 广泛的 应用。 所有机器均通过专用 线路连接到中心办公室。假如a t m连接到一个i p 网络，而不是采用专用的安全链 路，那么数据链路层的安全并不足以保证通信的安全，必须向上移动一层，以提供 安全服务。 三、v p n的发展和概念 3 . 1从专用网到v p n的发展 3 . 1 . 1 专用网的应用 现代企业的发展日益集团化、国际化，企业集团总部与遍布各地的分公司通过 计算机网络连接起来。通常情况下，企业总部，各地分公司都构建本地的局域网， 按传统方式，这些局域网之间通过专线连接，形成企业的专用网，如图3 - 1 : 移动用户 连接 图3 - 1 传统方式的企业专网结构 为确保企业专网内部数据传输的安全性，一般都选用租用专线来进行固定连 接，对于远程移动用户，没有本地局域网的分公司、合作伙伴，则需拨号到总公司 来存取企业资源。利用专线构建专用网的优点是安全性能高，有带宽保证。但是它 的缺点是不论是租用电信部门的专线还是自己 搭建的专线其费用都非常昂贵，还需 要购买大量的专用网络设备，例如为了让外地员工、分公司、合作伙伴通过远程拨 号连接到总公司就需要构建专用拨号接入系统，专用拨号接入系统包括通信服务 器、调制解调器池。同时需要支付昂贵的远程拨号通话费。还需要大量的专业人员 来维护专用网。此外传统的专线专用网灵活性差，不易于进行扩展。 3 . 1 . 2 v p n与专用网的比 较 与传统的企业专网构建方式不同，v p n以公共网络 i n t e r n e t 为基础平台来构建 企业的虚拟专网，如图3 - 2 所示: 图3 - 2 v p n方式的企业虚拟专用网架构 显然，v p n方式无需租借费用昂贵的固定连接的专线，公司总部和各分公司 只 需与当 地的i n t e rn e t 服 务 商 ( i s p ) 连 接。 远 程移动 用户访问 公司 总 部资 源也无需拨 打长途电话，只需通过市话拨接当地的 i s p ，通过 i n t e rn e t 网建立一条通道与公司 总部连接。相对于传统的专线式网络连接，v p n架构具有以下优点: ( 1 ) 企业专网的构建成本和使用费用大幅降低 在专网构建方面，不需要租借专线而节约了线路投资，也不需像传统方式那样 设置大量的数据机或远程存取服务器而节约了设备投入。在使用方面，就远程存取 而言，传统方式使用者必须拨号回公司总部网络，对异地用户需拨长途电话，而 v p n让使用者只需拨打市内电话连接本地i s p 即可，通信费用大大降低。 ( 2 ) 网络架构弹性大， 扩展容易 v p n比专线式架构更有弹性，当网络需要扩充或变更网络架构时，v p n可以 很容易地实现。 ( 3 ) 管理维护方便 不论分公司或远程存取用户多少，均只需通过 i n t e m e t 进入企业网络，较少的 网络设备和线路使得网络的维护较容易。 总之，v p n可以弥补现有企业局域网的局限性，将网络连线范围低成本地予 以扩充，使异地分公司、移动工作者、远程用户、客户、合作伙伴都能连上企业内 部网。它不但可以降低服务成本，缩减长途通信费用，减少硬件投入，简化长期的 广域网的维护、运作，而且可以确保网络上数据传输的安全性。 3 .2 v p n的用途及其分类 虚拟专用网 ( v p n ) 被定义为通过一个公共网 络( i n t e rn e t ) 建立的一个临时的、安 全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，它是对企业内部网的 扩展，如图3 - 3 : 3 . 2 . 1 按v p n的应用平台分类 v p n的应用平台可分为3 类:软件平台、专用硬件平台及辅助硬件平台。 ( 1 )软件平台v p n 当对数据连接速率要求不高，对性能和安全性需求不强时，可以利用一些软件 公司 所提供的完全基于软件的 v p n产品来实现简单的 v p n功能。 如 c h e c k p o i n t s o ft w a r e 公司的v p n - i 产品。 ( 2 )专用硬件平台v p n 使用专用硬件平台的 v p n设备可以满足企业和个人用户对高数据安全及通信 性能的需求，尤其是从通信性能的角度来看，指定的硬件平台可以完成数据加密等 对 c p u处理能力需求很高的功能。提供这些平台的硬件厂商比较多，如 n o r t e l , c i s c o , 3 c o m等。 ( 3 )辅助硬件平台v p n 这类v p n的平台介于软件平台和指定硬件平台之间。辅助硬件平台的v p n主 要是指以现有网络设备为基础，再增添适当的v p n软件以实现 v p n的功能。 3 . 2 .2 按v p n的协议分类 v p n从协议方面来分类主要是指从构建 v p n的隧道协议来分类。v p n的隧道 协议可分为第二层隧道协议和第三层隧道协议。第二层隧道协议最为典型的有 p p t p( 点到点 隧道协议， p o in t t o p o i n t t u n n e l i n g p r o t o c o l )、 l 2 f( 第二层转发， l e v e l t w o f o r w a r d i n g )、 l 2 t p( 第二 层隧道协议， l e v e l t w o t u n n e l i n g p r o t o c o l ) 等。第三层隧道协议有 。 r e( 通用路由 封装， g e n e r ic r o u t e e n c a p s u l a t i o n )、 i p s e c ( i n t e r n e t 协议安全， i n t e rn e t p r o t o c o l s e c u r i t y ) 等。 第二层隧道和第三层隧道的本质区别在于用户的数据包是被封装在哪一层协议 的数据包中在隧道里传输的。第二层隧道协议和第三层隧道协议一般来说是分别使 用的，但是合理的应用两层协议将具有更好的安全性。例如:l 2 t p与 i p s e c协议 的配合使用，可以使l 2 t p 隧道更加安全。 3 . 2 .3 按v p n的部署模式分类 v p n可以通过部署模式来区分。部署模式从本质上描述了v p n的隧道是如何 建立和终止的。一般有3 种v p n部署模式。 ( 1 )端到端 ( e n d - t o - e n d )模式 该模式是典型的由自 建 v p n的客户所采用的模式。在该模式中隧道的发起点 和终止点都是用户的网络设备，对 i s p 是完全通明的。在端到端模式中，最常见的 隧道协议是i p s e c 和p p t p . ( 2 ) 供应商 企 业 ( p r o v id e , e n t e r p r i s e ) 模式 在该模式中，隧道通常在 v p n服务器或路由器中创建，在到达客户前端前关 闭。在该模式中，客户不需要购买专门的隧道软件，由 服务商和企业的设备来建立 通道并验证。然而，客户仍然可以通过加密数据实现端到端的全面的安全性。在该 模式中，最常见的隧道协议有l 2 t p , l 2 f 和 p p t p . ( 3 )内部供应商 ( i n t r a - p r o v id e r )模式 这是最受服务商欢迎的模式，因为在该模式中，服务商保持了对整个 v p n设 施的控制。在该模式中，隧道的建立和终止都是在服务商的网络设施中实现的。对 客户来说，该模式最大优点就是他们不需要做任何实现 v p n的工作。客户不需要 增加任何设备或软件投资，整个网络都由服务商来建立和维护。缺点是客户不能亲 自 掌控通信的安全保障。 3 . 2 .4 按v p n的服务类型分类 根据不同需要，不同商业环境对 v p n的要求和 v p n的服务类型的不同，可以 把v p n分为三种类型: . 在公司总部和它的分支机构之间通过公网建立的 v p n ，称为 i n t r a n e t v p n ( 内部网v p n)。 . 在公司总部和外地雇员之间通过拨号的方式建立的 v p n，称为 a c c e s s v p n ( 远程访问v p n)，又称为拨号 v p n( 即v p d n)。 . 在公司与商业伙伴、顾客、供应商、投资者之间建立的 v p n，称为 e x t r a n e t v p n ( 外连网v p n)。 其中通常又将i n t r a n e t v p n和e x t r a n e t v p n统称为专线v p n 。下面将详细介 绍这三种类型的v p n. ( i )内部网v p n 内部网是通过公共网络将一个组织的各分支机构的 l a n连接而成的网络。这 种类型的l a n到l a n的连接带来的风险最小，因为公司通常认为他们的分支机构 是可信的，这种方式连接而成的网络被称为 i n t r a n e t ，可把它作为公司网络的扩 展。 当一个数据传输通道的两个端点被认为是可信的时候，公司可以选择 “ 内部网 v p n ” 解决方案，安全性主要在于加强两个v p n服务器之间加密和认证手段上，如 图 3 - 4所示大量的数据经常需要通过 v p n在局域网之间传递。 通过把中心数据库 或其它计算资源连接起来的各个局域网可以看成是内部网的一部分。 阅 卜 . 口 . . . . 口 . . 加密 门 卜 . . . - . - - . 认证 . ， . 闷 卜 图3 - 4 内部网v p n 这里仅子公司中有一定访问权限的用户才能通过 “ 内部网 v p n”访问公司总 部的资源，所有端点之间的数据传输都要经过加密和身份鉴别。如果一个公司对分 公司或个人有不同的可信程度，那么公司可以考虑使用基于认证的 v p n方案来保 证信息的安全传输，而不是靠可信的通信子网。 这种类型的v p n主要任务是保护公司的i n t r a n e t 不被外部入侵，同时保证公司 的重要数据流经 i n t e r n e t 时的安全性。 ( 2 )远程访问v p n 人们现在开始意识到通过 i n t e rn e t 的远程拨号访问所带来的好处。用 i n t e rne t 作为远程访问的骨干网比 传统的方案更容易实现， 而且花钱更少。如果一个用户无 论是在家里还是在旅途之中，他想同公司的内部网建立一个安全连接，则可以用 “ 远程访问v p n ， 来实现，如图3 - 5 所示。典型的远程访问v p n是用户通过本地的 i n t e rn e t 服务提供商( i s p ) 登 录到 i n t e r n e t 上， 并 在所在的 办公室和公司内 部网之间 建立一条加密信道。 远程访问 v p n的客户端应尽量简单，因为普通雇员一般都缺乏专门训练。客 户应可以手工建立一条 v p n信道，即当客户每次想建立一个安全通信信道时，只 需安装 v p n软件。在服务器端，因为要监视大量用户，有时需要增加或删除用 户，这样可能造成混乱，并带来安全风险，因此服务器应集中并且管理要容易。 加密信道 11门ltl 公司总部 v p n服务 器f i r e w a l l v p n 的功能: 1 . 访问控制管理。2 . 用户身份认证 3 . 数据加密。 4 . 智能监视和审计记录 5 . 密钥和数字证书管理。 mm pinternet 亡 二 国 h o m e p c 图3 - 5远程访问v p n 公司往往制定一种 “ 透明的访问策略”，即使在远处的雇员也能象他们坐在公 司总部的办公室一样自由的访问公司的资源。因此首先要考虑的是所有端到端的数 据都要加密，并且只有特定的接收者才能解密。大多数 v p n除了加密以外还要考 虑加密密码的强度、认证方法。这种 v p n要对个人用户的身份进行认证，而不仅 认证 i p地址，这样公司就会知道哪个用户欲访问公司的网络。认证后决定是否允 1 7 -一. 一. ， 一一 . . . . . . . . . . . ， . 向 . 许用户对网络资源的访问。认证技术可以 包括用一次口令、k e r b e r o s 认证方案、令 牌卡、智能卡、或者是指纹。一旦一个用户同公司的 v p n服务器进行了认证，根 据他的访问权限表，他就有一定程度的访问权限。每个人的访问权限表由网络管理 员制定，并且要符合公司的安全策略。 有较高安全度的远程访问 v p n应能截取到特定主机的信息流，有加密、身份 验证、过滤等功能。 ( 3 )外连网v p n 外连网 v p n为公司合作伙伴、顾客、供应商和在远地的公司雇员提供安全 性，如图 3 - 6 。它