通信論壇( 52China Computer&Network計算機與網(wǎng)絡創(chuàng)新生活VPN安全管理技術張淑青1高海龍2(1保定市智能電腦有限公司河北保定071000)(2華北電力大學計算機科學與技術學院河北保定071000)[摘要]VPN技術具有較高的安全性并且實現(xiàn)較簡單,費用低廉。本文闡述了VPN中采用的隧道技術加解密技術,身份認證,使用者與設備身份認證技術等安全技術的實現(xiàn),著重介紹了VPN中應用的第2層隧道協(xié)議、第3層隧道協(xié)議及SSL等協(xié)議,分析了ssL VPN技術的主要優(yōu)點及其不足之處。簡單介紹了現(xiàn)行的SKIP與ISAKMP/OAKLEY密鑰管理技術和常用的身份認證技術。[關鍵詞]VPN安全管理 隧道協(xié)議 SSL保證數(shù)據(jù)的安全。1引言隧道技術在傳輸過程中，首先由客戶端給負載數(shù)據(jù)加上一個隧道數(shù)據(jù)傳送協(xié)議包頭，然后把封裝的數(shù)據(jù)通過互聯(lián)網(wǎng)Internet和電子商務的蓬勃發(fā)展，促使各企業(yè)的局域網(wǎng)絡發(fā)送,并由互聯(lián)網(wǎng)絡將數(shù)據(jù)路由到隧道的服務器端。隧道服日益向外界開放,從而也給網(wǎng)絡的管理和安全帶來很多問題。務器端收到數(shù)據(jù)包之后,去除隧道數(shù)據(jù)傳輸協(xié)議包頭,然后將Intemet 是基于TCP/IP技術的、不可管理的開放性國際互聯(lián)負載數(shù)據(jù)轉發(fā)到目標網(wǎng)絡。網(wǎng)絡,基于Intenet的商務活動面臨著惡意的信息威脅和安全隧道是由隧道協(xié)議形成的,分為第2層隧遒協(xié)議、第3層隱患。另外,企業(yè)分支機構相互間的網(wǎng)絡基礎設施互不兼容也隧道協(xié)議及Ssl協(xié)議等。更為普遍,難于實現(xiàn)分支機構的互聯(lián)。企業(yè)異地局域網(wǎng)之間租2.1第2層隧道技術用數(shù)字數(shù)據(jù)網(wǎng)(DDN)專線或幀中繼實現(xiàn)互聯(lián)將導致高昂的網(wǎng)第2層隧道技術是在數(shù)據(jù)鏈路層進行的，第2層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中,再把整個數(shù)據(jù)包裝入絡通信/維護費用。虛擬專用網(wǎng)(VPN)的出現(xiàn)則較好的解決了上述問題:通隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第2層協(xié)議過公用網(wǎng)來建立VPN,節(jié)省了大量的通信及維護費用;VPN進行傳輸。第2層隧道協(xié)議有PPTP、L2F、L2TP等。L2TP協(xié)可保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性;不需議是目前ETF的標準,由ietF融合PPTP與L2F而形成。第建立租用線路或幀中繼線路,連接方便靈活;虛擬專用網(wǎng)使用2層隧道協(xié)議具有簡單易行的優(yōu)點,但是他們的可擴展性都不好。戶可以利用ISP的設施和服務，同時又完全掌握著自己網(wǎng)絡也沒有提供內在的安全機制,不能滿足會話的保密性需求。的控制權,用戶只利用ISP提供的網(wǎng)絡資源,對于其它的安全點對點隧道協(xié)議(RFC2637 ,Point-to -Point TunnelingProtocol,PPTP)是- -種支持多協(xié)議虛擬專用網(wǎng)絡的網(wǎng)絡技術。設置、網(wǎng)絡管理變化可由自己管理。數(shù)據(jù)安全性是VPN的核心向題，也是用戶最關心的問通過該協(xié)議,遠程用戶能夠通過Microsoft Windows NT工作題。目前VPN主要采用4項技術來保證安全,這4項技術分站、Windows 95和Windows 98操作系統(tǒng)以及其它裝有點對別是隧道技術(Tuneling)、加解密技術(Encrypion & Decrp-點協(xié)議的系統(tǒng)安全訪向公司網(wǎng)絡,并能撥號連人本地ISP,通tion) 、密鑰管理技術(Key Managenent)、使用者與設備身份認過Internet安全鏈接到公司網(wǎng)絡。證技術(Authentication)。PPTP協(xié)議允許對P , IPX或NetBEUI數(shù)據(jù)流進行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡或公共互聯(lián)網(wǎng)絡發(fā)送。2隧道技術第2層轉發(fā)協(xié)議(RFC2342,Layer 2 Forwarding prool,隧道技術(Tunneling)是VPN的基本技術,類似于L2R用中國煤化工的安全隧道來將ISP點對點連接技術,它首先在公共網(wǎng)絡上建立一條數(shù)據(jù)通pop連!Y片C N M H G立了一個用戶與企業(yè)道(隧道),然后把封裝后的數(shù)據(jù)包通過這條隧道傳輸來客戶網(wǎng)絡間的虛擬點對點連接。定稿日期:2008-01-22《計算機與網(wǎng)絡》2008年第05期通信論壇計算機與網(wǎng)絡創(chuàng)新生活China Computer & Network(53)第2層隧道協(xié)議(RFC2661,Layer 2 Tuneling Protocol,密安全通道的加密協(xié)議， 它利用密鑰算法在互聯(lián)網(wǎng)上提供端L2TP)是用來整合多協(xié)議撥號服務至現(xiàn)有的因特網(wǎng)服務提供點身份認證與通信保密,為諸如網(wǎng)站、電子郵件、網(wǎng)上傳真等商點。PPP 定義了多協(xié)議跨越第2層點對點鏈接的一一個封裝等數(shù)據(jù)傳輸進行保密。它是隨電子商務與B/S結構發(fā)展起來機制。特別地,用戶通過使用眾多技術之一(如:撥號 POTS、的協(xié)議,在web應用上極具優(yōu)勢,是未來的主流。ISDN、ADSL等)獲得第2層連接到網(wǎng)絡訪問服務器(NAS),(1) SSL工作過程然后在此連接上運行PPP。在這樣的配置中,第2層終端點和SSL包含3個基本階段:對等協(xié)商密鑰算法支持;基于公:PPP會話終點處于相同的物理設備中(如:NAS)。鑰密碼的密鑰交換和基于證節(jié)的身份認證;基于對稱密鑰的L2TP協(xié)議允許對IP,IPX或NetBEUI數(shù)據(jù)流進行加數(shù)據(jù)傳輸保密。密,然后通過支持點對點數(shù)據(jù)報傳遞的任意網(wǎng)絡發(fā)送,如IP,SSs工作時首先由SsL的記錄層(Record layer)封裝 更高X.25,楨中繼或ATM。層的HTTP等協(xié)議。記錄層數(shù)據(jù)可以被隨意壓縮加密,與消第2層隧道協(xié)議(PPTP和L2TP)創(chuàng)建隧道的過程類似息驗證碼(MAC)打包在一起。 每個記錄層包都有一一個內容類于在雙方之間建.立會話,隧道的2個端點必須同意創(chuàng)建隧道型(content type)段用以記錄更上層用的協(xié)議。并協(xié)商隧道各種配置變量,如地址分配,加密或壓縮等參數(shù)。工作時客戶端要收發(fā)幾個握手信號:發(fā)送一個Clien-絕大多數(shù)情況下，通過隧道傳輸?shù)臄?shù)據(jù)都使用基于數(shù)據(jù)報的tHello消息,說明它支持的密碼算法列表、壓縮方法及最高協(xié)協(xié)議發(fā)送。采用隧道維護協(xié)議作為管理隧道的機制。議版本，也發(fā)送稍后將被使用的隨機字節(jié)。然后收到一個2.2第3層隧道技術ServeHello消息,包含服務器選撣的連接參數(shù),源自客戶端初第3層隧道技術是在網(wǎng)絡層進行的,第3層隧道協(xié)議是期所提供的CientHello當雙方知道了連接參數(shù),客戶端與服把各種網(wǎng)絡協(xié)議直接裝人隧道協(xié)議中,形成的數(shù)據(jù)包依靠第務器交換證書(依靠被選擇的公鑰系統(tǒng))。這些證書通?；?層協(xié)議進行傳輸。第3層隧道協(xié)議有gRE (RFC 2784,x.509,不過已有草案支持以OpenPGP為基礎的證書。服務器General Routing Encapsulaion)、IPSec等。IPS(IP Securiy)定能夠請求得到來自客戶端的證書，所以連接可以是相互的身義了一個系統(tǒng)來提供安全協(xié)議選擇.安全算法,確定服務所使份認證。用密鑰等服務,從而在IP層提供安全保障。(2) SSL VPN技術的主要優(yōu)點第3層隧道技術的實現(xiàn)通常假定所有配置問題已經通①無需安裝客戶端軟件。執(zhí)行基于SSL協(xié)議的遠程訪問過手工過程完成。這些協(xié)議不對隧道進行維護。而第2層隧道不需要在遠程客戶端設備上安裝軟件。只需通過標準的支持協(xié)議(PPTP和L2TP)則必須包括對隧道的創(chuàng)建,維護和終止。SSL的Web瀏覽器連接因特網(wǎng);IPSec協(xié)議位于網(wǎng)絡層，是目前應用最廣泛的VPN協(xié)②適用大多數(shù)設備?；赪eb訪問的開放體系可以運議,安全性高,但配置較復雜。行標準的瀏覽器訪問任何設備;IPSec是一種由letF設計的端到端的確?；贗P③可以穿越防火墻進行訪問。由于SSL以443通信端口通訊的數(shù)據(jù)安全性的機制。按照ETF的規(guī)定,使用封裝作為傳輸通道,它通常是作為Web Server對外的數(shù)據(jù)傳輸通安全負載與加密一道提供來源驗證，確保數(shù)據(jù)完整性。道,不需修改防火墻的配置,從而影響通信系統(tǒng)的安全性;不采用數(shù)據(jù)加密時,IPSec使用驗證包頭提供來源驗證確④維護工作量小,減少費用。對于那些簡單遠程訪問用保數(shù)據(jù)完整性。且只有發(fā)送方和接受方知道秘密密鑰,戶，基于SsL的VPN網(wǎng)絡可以非常經濟地提供遠程訪問服如果驗證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送務,而這也是SSL VPN最適用的場合。方,并且在傳輸過程中沒有受到破壞。.(3) SSL VPN的不足IPSec可以看成是位于TCP/IP協(xié)議棧的下層協(xié)議。該層通用性:只能有限地支持Windows應用或者其它非基于由每臺機器上的安全策略和發(fā)送、接受方協(xié)商的安全關聯(lián)進Web界面的系統(tǒng);安全性:SSL中驗證網(wǎng)絡服務器身份所使用行控制。IPSec隧道模式允許對IP負載數(shù)據(jù)進行加密,然后封的數(shù)字證節(jié)可能會被偷竊或復制;網(wǎng)絡性能:SSL會話中所需裝在IP包頭中通過企業(yè)IP網(wǎng)絡或公共IP互聯(lián)網(wǎng)絡如Inter-的任務繁重的密碼計算會影響網(wǎng)絡服務器的性能。net發(fā)送。中國煤化工2.3 SSL技術3其MYHCNMHG安全套接層(Secure Sockets Layer ,SL)及其新繼任者傳輸層安全(Transport Layer Security ,TLS)是在互聯(lián)網(wǎng)上提供保加解密技術是數(shù)據(jù)通信中一項較成熟的技術,VPN 可直.2008年第05期《計算機與網(wǎng)絡> :通信論壇(54)China Computer & Network計算機與網(wǎng)絡創(chuàng)新生活接利用現(xiàn)有技術。-種有效的解決方案,將逐漸取代采用專線構建企業(yè)專用網(wǎng)密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全絡 的傳統(tǒng)做法。地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用DifieHellman的演算法則,在網(wǎng)絡上傳輸密鑰;在ISAKMP中,雙方都有2把參考文獻密鑰,分別用于公用、私用。[1]謝希仁.計算機網(wǎng)絡(第四版)[M].北京:電子工業(yè)出版社，身份認證技術最常用的是使用者名稱與密碼或卡片式2003.認證等方式。[2]拓守恒.VPN安全-隧道技術研究).福建電腦,2007(1):30-31.4結束語[3]劉菌,陳常嘉VPN技術應用與實現(xiàn)淺談D].電子科技,2006(11): 77-80.VPN為借助公共網(wǎng)絡服務平臺搭建廣泛的通信網(wǎng)絡的[4]李世武,韓雅琴.VPN技術與實現(xiàn)策略研究0].計算機與網(wǎng)絡,2006(23):38-40.企業(yè)以廉價的價格享受更高的安全保證,通過各種安全技術的引人,可以保證通信的安全性,提供較高的網(wǎng)絡性能。VPN[5]何亞輝,肖路,陳鳳英.基于IPSec的VPN技術原理與應用兼?zhèn)淞斯娋W(wǎng)和專用網(wǎng)的許多優(yōu)點成為構建企業(yè)專用網(wǎng)絡的0].重慶工學院學報,2006(11):114 -117.(上接第51頁)在UML2.0中規(guī)定,配置圖的節(jié)點(Node)所代表的計算機資源,不僅是指硬件設備(Device) ,如處理器,讀卡器,移動[1] 文燁斌,姚國祥,許龍飛.UML2.0的新特性以及在選課系設備,通信設備等;而且可以是指包含在設備內的可執(zhí)行環(huán)境統(tǒng)中的應用D.佳木斯大學學報(自然科學版),2005(4):3-5.(Executing Environment)。執(zhí)行環(huán)境是其他軟件的宿主,如操[2] 馬浩海,劉實,蔣嚴冰.UML2.0擴展機制分析D].內蒙古大作系統(tǒng)J2EE容器、工作流引擎、數(shù)據(jù)庫等。學學報(自然科學版),2005 ,36(1):1-3.[3] WILL K C.Will UML 2.0 Be Agile or Awkward J.Commu7結束語nicationsof the ACM JanuaryD.2002,45(1):107-110.UMI2.0在不斷完善的同時,OMG的分析設計平臺小再傳捷報:易PC火爆浙江好易購組副主席Cris Kobryn卻認為UML正變得越來越肥胖，需要據(jù)悉,華碩易PC日前在電視購物等傳統(tǒng)渠道的銷售再減肥。其實UML用的范圍越來越廣,需要面對的問題就越來次創(chuàng)下了火爆的場景,在湖南衛(wèi)視的快樂購梅開二度，在1越復雜,同時還要滿足各個行業(yè),各種企業(yè)的需求,因此規(guī)模小時8分種的短短時間內，易PC再- -次創(chuàng)下了銷售 700臺越來越龐大也在所難免。但是如果新的規(guī)約變得越來越復雜的火爆戰(zhàn)績。不僅如此,易PC在2007年底在杭州好易購創(chuàng)和龐大,就會難以管理、理解和實施。值得注意的是UML2.0下了每6秒成交一臺的記錄后,于3月初再度登陸浙江杭州的外廓Profiles 允許增加和刪減UML的部分特性，可以調整好易購頻道,再一次創(chuàng)下火爆銷售360臺的佳績!出合適自己使用的UML。從某種程度.上說,易PC已經不再單單是一一個產品的型2003年9月，總部位于德國漢堡的Gendeware公司號名稱,而是簡約時尚超便攜的代名詞。易PC已然成為時巳經成功開發(fā)出支持UMI2.0規(guī)約的建模工具Poseidon尚休閑的風尚標志了，越來越多的年輕- -代加入到易PC . -for UML 2.0,目前最新的版本是6.0。這個新的建模工族,網(wǎng)上不僅出現(xiàn)了很多易PC的專門網(wǎng)站,還出現(xiàn)了很多和具集提供了和其他UML工具的交互能力，而且還支持易PC相關的新鮮名詞,比如,易粉、易飯、易PC周邊等等。易PC為何如此受歡迎?我們知道,對于已經相對成熟UML2.0規(guī)約的元素以及新增圖形，其企業(yè)版還是首個支持異地成員對同一模型共同開發(fā)的建模工具。IBM也的傳中國煤化工同質化效應使得PC市場1YH-次爆發(fā)性. .創(chuàng)新性的在2004年底推出了其新-代的軟件開發(fā)平臺Atlantic ,這突破。CNMH G在入了一段新鮮的血系統(tǒng)將會給予UMI2.0更多的支持。液和全新發(fā)展思路,它是對現(xiàn)有臺式機、筆記本電腦及掌上電腦的豐富和拓展,是真正的“第四類電腦"。《計算和與數(shù)據(jù)> 2008年第05期