IP VPN技術特點與安全機制

2019-11-03 09:11:43

字體：大中小

來源：轉載

供稿：網友

□ 信息產業部電信規劃研究院翟海生一、對VPN的理解

　　早在1993年，歐洲虛擬專用網聯盟（EVUA）就成立了，力圖在全歐洲范圍內推廣VPN，但那時的VPN還主要是一個技術名詞，VPN服務的真正發展還是近一兩年的事。Internet是目前世界上最大和使用最廣泛的網絡，它所采用的ip技術包容性好，同時又是業界比較流行的通信機制；另外，Internet的迅猛發展為VPN提供了技術基礎，全球化的企業為VPN提供了市場。正是基于上述理由，業內人士認為基于IP的VPN非常具有發展前途。

　　VPN可分為傳統意義的VPN和IP VPN。所謂傳統意義上的VPN，即在DDN網或公用分組交換網或幀中繼網上組建VPN，并具有一個共同的特點，即利用DDN網或公用分組交換網或幀中繼網的部分網絡資源如傳輸線路、網絡模塊、網絡端口等劃分成一個分區, 并設置相對獨立的網絡管理機構，對分區內數據量及各種資源進行管理，分區內的各節點共享分區內的網絡資源，它們之間的數據處理和傳送相對獨立，就好像真正的專用網一樣。所謂IP VPN是依靠ISP和其它NSP（網絡服務提供商）在公用網絡中建立專用的數據通信網絡的技術。其中，IETF草案基于IP VPN的理解是“使用IP機制仿真出一個私有的廣域網”，即通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂“虛擬”，是指用戶不再需要擁有實際的長途數據線路，而是使用Internet公眾數據網絡的長途數據線路。所謂“專用網絡”，是指用戶可以為自己制定一個最符合自己需求的網絡。

　　盡管VPN有上述區分，但目前業界所討論的主要是基于IP的VPN，因此本文主要針對IP VPN從多層面、多角度進行分析探討。

二、IP VPN的分類

　　按照網絡連接方式的不同，一般把IP VPN分為以下三種類型。

1．遠程訪問虛擬專網（access VPN）

　　Access VPN與傳統的遠程訪問網絡相對應，它通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。如圖1所示。在Access VPN方式下遠端用戶不再像傳統的遠程網絡訪問那樣通過長途電話撥號到公司遠程接入端口，而是撥號接入到遠端用戶本地的ISP，采用VPN技術在公眾網上建立一個虛擬的通道。Access VPN能使用戶隨時隨地以其所需的方式訪問企業資源。Access VPN包括模擬撥號、ISDN、數字用戶線路(xDSL)、移動IP和電纜技術，能夠安全地連接移動用戶、遠程工作者或分支機構。

2．企業內部虛擬專網（Intranet VPN）

　　越來越多的企業需要在全國乃至世界范圍內建立各種辦事機構、分公司、研究所等，各個分公司之間傳統的網絡連接方式一般是租用專線。顯然，在分公司增多、業務開展越來越廣泛時，網絡結構趨于復雜，費用昂貴。利用VPN特性可以在Internet上組建世界范圍內的Intranet VPN，如圖2所示。利用Internet的線路保證網絡的互聯性，而利用隧道、加密等VPN特性可以保證信息在整個Intranet VPN上安全傳輸。Intranet VPN通過一個使用專用連接的共享基礎設施，連接企業總部、遠程辦事處和分支機構。企業擁有與專用網絡的相同政策，包括安全、服務質量(QoS)、可管理性和可靠性。

3．擴展的企業內部虛擬專網(Extranet VPN）

　　信息時代的到來使各個企業越來越重視各種信息的處理，希望可以提供給客戶最快捷方便的信息服務，通過各種方式了解客戶的需要，同時各個企業之間的合作關系也越來越多，信息交換日益頻繁。Internet為這樣的一種發展趨勢提供了良好的基礎，而如何利用Internet進行有效的信息管理，是企業發展中不可避免的一個關鍵問題。利用VPN技術可以組建安全的Extranet VPN，如圖3所示，既可以向客戶、合作伙伴提供有效的信息服務，又可以保證自身的內部網絡的安全。其在網絡組織方式上與Intranet VPN沒有本質的區別，但由于是不同公司的網絡相互通信，所以要更多的考慮設備的互連、地址的協調、安全策略的協商等問題。

三、IP VPN的特點

　　隨著商務活動的日益頻繁，各企業開始允許其生意伙伴、供應商訪問本企業的局域網，簡化信息交流的途徑，增加信息交換速度。這些合作和聯系是動態的，并依靠網絡來維持和加強，于是各企業發現，這樣的信息交流不但帶來了網絡的復雜性，還帶來了管理和安全性的問題，因為Internet是一個全球性和開放性的、基于TCP/IP 技術的、不可管理的國際互聯網絡，因此，基于Internet的商務活動就面臨非善意的信息威脅和安全隱患。還有一類用戶，隨著自身的的發展壯大與跨國化，企業的分支機構不僅越來越多，而且相互間的網絡基礎設施互不兼容也更為普遍。因此，用戶的信息技術部門在連接分支機構方面也感到日益棘手。

　　Access VPN、Intranet VPN和Extranet VPN為用戶提供了三種VPN組網方式，但在實際應用中，用戶所需要的VPN又應當具備哪些特點呢？一般而言，一個高效、成功的VPN應具備以下幾個主要特點。

1．具備完善的安全保障機制

　　雖然實現IP VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在非面向連接的公用IP網絡上建立一個邏輯的、點對點的連接，稱之為建立一個隧道，可以利用加密技術對經過隧道傳輸的數據進行加密，以保證數據僅被指定的發送者和接收者了解，從而保證了數據的私有性和安全性。在安全性方面，由于VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。Extranet VPN將企業網擴展到合作伙伴和客戶，對安全性提出了更高的要求。

2．具備用戶可接受的服務質量保證（QoS）

　　IP VPN應當為企業數據提供不同等級的服務質量保證，不同的用戶和業務對服務質量保證的要求差別較大。例如對于移動辦公用戶，提供廣泛的連接和覆蓋性是Access VPN保證服務的一個主要因素；而對于擁有眾多分支機構的Intranet VPN或基于多家合作伙伴的Extranet VPN而言，能夠提供良好的網絡穩定性是滿足交互式的企業網應用首要考慮的問題；另外，對于其它諸如視頻等具體應用則更對網絡提出了明確的要求，包括網絡時延及誤碼率等等。所有以上網絡應用均要求VPN網絡根據需要提供不同等級的服務質量。在網絡優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率較低，在流量高峰時引起網絡擁塞，產生網絡瓶頸，難于滿足實時性要求高的業務服務質量保證；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優先級分配帶寬資源，實現帶寬優化管理，使得各類數據能夠被合理地先后發送，并預防擁塞的發生。

3．具備良好的可擴充性與靈活性

　　IP VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

4．具備完善的可管理性

　　在IP VPN管理方面，要求企業將其網絡管理功能從局域網無縫地延伸到公用網，甚至是客戶和合作伙伴。盡管可以將一些次要的網絡管理任務交給服務提供商去完成，但企業自己仍需要完成許多網絡管理任務，所以，一個完善的VPN管理系統是必不可少的。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

四、IP VPN的安全機制

　　由于IP VPN是在不安全的Internet中進行通信，而通信的內容可能涉及到企業的機密數據，因此其安全性就顯得非常重要，必須采取一系列的安全機制來保證VPN的安全。IP VPN的安全機制通常由加密、認證及密鑰交換與管理組成。

1．加密技術簡介

　　在VPN中為了保證重要的數據在公共網上傳輸時不被他人竊取，采用了加密機制。在現代密碼學中，加密算法被分為對稱加密算法和非對稱加密算法。

　　對稱加密算法采用同一把密鑰進行加密和解密，優點是速度快，但密鑰的分發與交換不便于管理。而采用不對稱加密算法進行加密時，通訊各方使用兩個不同的密鑰，一個是只有發送方知道的專用密鑰d，另一個則是對應的公用密鑰e，任何人都可以獲得公用密鑰。專用密鑰和公用密鑰在加密算法上相互關聯，一個用于數據加密，另一個用于數據解密。不對稱加密還有一個重要用途即數字簽名。

2．認證技術簡介

　　認證技術可以區分被偽造、篡改過的數據，這對于網絡數據傳輸，特別是電子商務是極其重要的。認證協議一般都要采用一種稱為摘要的技術。摘要技術主要是采用HASH函數將一段長的報文通過函數變換，映射為一段短的報文即摘要。由于HASH函數的特性，使得要找到兩個不同的報文具有相同的摘要是困難的。該特性使得摘要技術在VPN中有兩個用途：

驗證數據的完整性

　　發送方將數據報文和報文摘要一同發送，接收方通過計算報文摘要與發來數據報文比較，相同則說明數據報文未經修改。由于在報文摘要的計算過程中一般是將一個雙方共享的秘密信息連接上實際報文一同參與摘要的計算，不知道秘密信息將很難偽造一個匹配的摘要，從而保證了接收方可以辨認出偽造或篡改過的報文。

用戶認證

　　該功能實際上是驗證數據的完整性功能的延伸。當一方希望驗證對方，但又不希望驗證秘密在網絡上傳送。這時一方可以發送一段隨機報文，要求對方將秘密信息連接上該報文作摘要后發回，接收方可以通過驗證摘要是否正確來確定對方是否擁有秘密信息，從而達到驗證對方的目的。

3．密鑰的交換與管理

　　VPN中無論是認證還是加密都需要秘密信息，因而密鑰的分發與管理顯得非常重要。密鑰的分發有兩種方法：一種是通過手工配置的方式，另一種是采用密鑰交換協議動態分發。手工配置的方法由于密鑰更新困難，只適合于簡單網絡的情況。密鑰交換協議采用軟件方式動態生成密鑰，適合于復雜網絡的情況且密鑰可快速更新，可以顯著提高VPN的安全性。

五、IP VPN市場

　　近兩年來，國際上IP VPN的業務與市場發展迅速。據Cahners In-Stat公司估算，在1999年，VPN的市場為26.7億美元；并預計到2003年，VPN的市場將增加到320億美元。另據Infornetics Research公司預言，在2001年全球VPN市場將達到120億美元；到2004年北美的VPN業務收入將增至88億美元。IP VPN的市場空間如此之大，究其原因主要源于以下一些因素。

1．全球經濟一體化

　　由于全球經濟的一體化，許多國際業務和地區間業務增長迅速，從事相應商務活動的公司大量增加，以及IP VPN在擴大全球性業務的同時又降低了長途通信費率，這些都推動了IP VPN市場的發展。根據Infonetics的研究報告，VPN業務的開展將為企業節省長途專線租用成本的20％～47％，節省遠程撥號費用的60％～80％。由于VPN能提供良好的性能價格比以及其自身標準的不斷完善，使得使用IP VPN更趨經濟、適用。

2．Internet已成為全社會的信息基礎設施

　　在國外，Internet已成為全社會的信息基礎設施，企業端應用也大都基于IP，在Internet上構筑應用系統已成為必然趨勢，因此基于IP的VPN業務獲得了極大的增長空間。

3．IP VPN為企業和服務提供商實現了雙贏

　　從IP VPN在全球的發展來看，它對有VPN需求的企業和Internet服務提供商來說，無疑都是一種相當不錯的選擇，同時為使用它的企業和提供它的運營商帶來了經濟效益。基于Internet的網絡使遠端的用戶能安全方便地訪問本企業的內部資源；企業可以使用VPN與他們的合作伙伴進行安全的通信；運營商因此可以靠提供帶寬和增值業務來獲利。

摘自《通信世界》

上一篇：組網新選擇：移動IP技術

下一篇：用IP優化光網絡