VPN在中小型企事业单位中的应用研究.docVIP

VPN在中小型企事业单位中的应用研究 摘要：在目前的IT发展环境下，信息化是现代企事业单位的必然选择。随着应用的深入，信息安全尤为重要，中小型企事业单位结合自身特点对信息安全的需求也越来越迫切，VPN技术的引入不仅可以保证单位信息的安全，而且使得应用更加方便。重点就网络安全需求背景、VPN原理、VPN构建方法进行了分析和梳理，结合中小型企事业的特点提出了可供选择的VPN应用方案。 关键词：VPN；隧道；网络安全 中图分类号：TP309.2 文献标识码：A 文章编号：1009-3044（2014）07-1394-03 1 概述 在目前基于网络的应用环境下，网络安全问题越来越显得突出。随着法律、管理制度日益健全完善，使得制度保障明显改善，但网络与生俱来的缺陷和不足还需要技术来加以解决，如防火墙、电子证书、授权认证、加密等方法可以弥补一定的不足，但仍有一定的局限性。虚拟专用网（virtual private network：VPN）结合了因特网和专用网的优点，同时克服了二者的缺点，为一定的用户的网络安全问题的解决提供了一种可能。 2 VPN的原理及应用特点 2.1 VPN的原理 VPN，顾名思义，virtual private network，虚拟专用网。通过一个公用网络建立一个临时的、安全的连接，形成一条通过公用网络的安全的、稳定的隧道。能够提供给用户一种全新的连接方式，是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。在VPN中的两个节点之间不是端到端的专用物理链路，而是利用公共网络资源动态形成的一种通道。所谓虚拟是指用户不需要拥有成本高昂的数据专线，而是利用公网来实现，所谓专用网络是指用户可以自己定制符合自己应用需求的网络。 2.2 VPN的应用前提及组成部分 VPN在目前网络环境下实现是可能的，如果没有发达的公共网络就不可能有VPN的诞生与应用发展。在一个网络应用连接中一般包括三部分，即客户机、传输介质和服务器，VPN同样由三部分组成，但是VPN连接是以隧道做为传输通道的，一般网络应用是以实际的物理介质做为传输通道的。 2.3 VPN关键技术 由于基于VPN传输的是私有信息，使得数据安全是使用VPN时最为关心的问题。目前VPN使用中主要采用四种技术来加以保证数据安全，这四种技术主要是隧道技术、加密解密技术、密钥管理技术和身份认证技术等。 “隧道”是指在信源和信宿交换数据经过公用网传输部分的一种逻辑通道，在信源所在局域网和公网的接口处将数据做为负载封装成一种可以在公网上传输的数据格式，在信宿所在的局域网与公网接口处将数据进行解封装，取出负载数据。 因为VPN选用的公共网络，传输的数据是加密的，即使从中截取了数据，也不会对数据造成不安全。目前加密分为对称加密和非对称加密。其中对称加密是指加密方和解密方的密钥是相同的，具有加密速度快的优势，根据加密算法不同，分为DES、3DES、AES等。非对称加密方密钥与解密方密钥不同，用公钥加密，用私钥解密，加密速度慢，但相对安全，根据算法不同，典型的算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC等。 VPN系统的客户端采用基于PKI的数字证书技术，来完成VPN网关服务器和用户身份的双向验证。当用户通过VPN客户端访问VPN网关时，客户端首先验证用户的数字证书和相应的口令，即双因子验证，如果验证通过，VPN网关服务器则产生对称会话密钥，并分发给用户。同时采用访问控制列表模式（ACL），管理员可以方便为VPN用户分配相应权限，这种方式不仅便于管理，又可防止内部失密。 3 构建VPN的方法 3.1 VPN种类 3.2 VPN构建方法 1）基于IPSec的VPN IPSec（IP Security）是IP层提供通信安全而制定的一套协议族，包括安全协议和密钥协商部分，其中安全协议定义了对通信的安全保护机制，密钥协商部分定义了如何为安全协议协商保护参数以及对通信实体的身份鉴别。IPSec主要由认证头协议（AH）、封装安全荷载协议（ESP）和因特网密钥交换协议（IKE）组成。AH为IP数据包提供无连接的数据完整性、数据源身份认证及防重放攻击。ESP可以为IP数据包提供必威体育官网网址性、完整性、身份认证和防重放攻击保护等。IKE负责密钥协商，使得密钥管理与通信系统之间建立安全关联（SA），产生密钥材料并协商IPSec参数框架，将密钥协商结果保留在SA条目中，供AH和ESP通信使用。 对于IP数据包有两种工作模式：传输模式和隧道模式。采用AH分别对传输模式和隧道模式数据包封装过程如下：其中传输模式使用原有的IP报头，把AH头插在IP头的后面，其认证和保护开销小但对IP头部的可变字段保护缺乏。对于隧道模式把IP报文封装在新的IP数据包中作为新报文的荷载，然后对新报文使用传输格式的AH