网络安全VPN关键技术研究与运用
2017-08-11赵统一
赵统一
摘 要:本文对影响网络安全VPN关键技术的一些因素进行了分析,分析了网络安全VPN 关键技术工作原理,并对VPN 技术利弊进行了剖析,讨论了VPN 技术在实际工作中的运用。
关键词:网络安全 VPN 应用
1 影响VPN技术的安全性因素
(1)窃听攻击。一般情况下,绝大多数网络通信是利用公共网络资源进行信息交互存在不安全隐患,攻击者通过获取数据通信路径,就可以“窃听”或者“解读”数据流,引起通信信息外泄、危及敏感数据安全
(2)中间者攻击。中间者攻击主要对通信对象的通信过程以及通信数据进行监视、截取和控制,对数据交换进行重定向,使用网络低层协议的通信两端的主机是很难区分出不同的通信对象。
(3)流量数据分析攻击。“流量数据分析”攻击是通过检查IP 包中的网络流量,分析谁正在参与交互通信、使用何种服务、推测出信息交互者之间的关系等方式,通过检查包的未加密字段或未加保护包的属性进行攻击。
2 VPN 的安全关键技术
目前,VPN 主要采用四项技术来保证安全,这四项技术分别是隧道技术、加密技术、密钥管理技术和身份认证技术。
(1)隧道技术。网络隧道技术在不改变网络标准的条件下,利用公共网络来实现某些使用特别通信协议的网络或用户之间的连接和通信,是一种利用可路由协议(如IP 协议)在网络中传送其他协议数据包到目标网络的技术。目前,通常采用封装普通组播数据报的办法,将报头、校验和以及有效负载组成的组播数据报转换(封装)成源路由IP 数据报。源路由IP 数据报有不同的报头结构,并可以容纳完全的组播数据报,在封装时,最终目标和源路由器的IP 地址被插入到数据报的报头中。然后使用IP 协议可用的算法对数据报进行传输,并且通过路由器发送,直到到达最终的目标路由器。当数据包到达最终目标路由器时,它进行解包,源路由报头被删除,IP 地址由原来的组播IP 地址代替,然后将数据报提交给目标网络中的相应主机。
(2)加密技术。目前VPN 中均采用对称加密体制和公钥加密体制相结合的方法。对称加密体制的通信双方共享一个密钥,发送方使用该密钥将明文加密成密文,接受方使用相同的密钥将密文还原成明文。公钥加密体制,也称非对称加密体制。在通信过程中,发送方用接收方的公开密钥加密消息,并且可以用发送方的秘密密钥对信息加密,进行数字签名。接收方收到消息后,用自己的秘密密钥解密消息,并使用发送方的公开密钥解密数字签名,验证发送方身份。数据加密技术按照不同的形式有不同的分类方法,贯穿于整个信息存储、传输、鉴别和管理的全过程。
(3)密钥管理技术。密钥管理技术的主要任务是保障公用数据网上传递密钥的安全。1)对称密钥管理。数据发送方可以为每次交换的信息生成唯一一把对称密钥并用公开密钥对该密钥进行加密,然后再将加密后的密钥和用该密钥加密的信息一起发送给相应的数据接收方。2)公开密钥管理/数字证书。目前电了商务广泛采用数字证书技术,通信双方之间可以使用数字证书(公开密钥证书)来交换公开密钥,标识通信双方。
(4)身份认证技术。身份认证技术是网络安全中最直接、最前沿的一道防线,是鉴别合法用户与非法用户重要手段,用户在使用网络安全系统,首先必须向身份认证系统表明自己的身份,经过身份认证系统识别确认身份后,根据用户身份、权限级别决定能否访问某个资源或者进行某项操作,在允许并监督经过授权的操作同时防止非法操作,是防止黑客入侵和计算机病毒破坏的重要手段,在信息安全中占有非常重要的地位。目前,身份确认技术的发展越来越受到人们的重视,根据层次和先后出现的顺序,主要包括一般常用的静态口令、一次性口令、数字证书和生物特征技术等等。
3 VPN 技术的优点
(1)降低成本,VPN 利用了现有的Internet 组建虚拟专网,不需要使用重新敷设专用的线路就能实现数据安全的传输,实现了资源共享,降低了通信成本。
(2)易于扩展,采用VPN 只需在结点处架设VPN 设备,就可利用Internet 建立安全连接,这样在分部增多,内部网络结点趋于复杂,只需添加一台VPN 设备,改变相关配置,就可以实现新的内部网络安全连接。
(3)保证安全,VPN 技术利用可靠的加密认证技术,在内部网络建立隧道,增加了信息安全性,可以有效防止信息被泄露、篡改和复制。
4 VPN 技术的实际运用用
(1)VPN 技术在远程办公系统中的应用。网络时代,企业规模不断扩大,分支机构分布广泛,企业内部及合作伙伴之间的信息交互非常频繁。由于公网以非加密的明文进行传输,保密性和安全性很差,而防火墙、加密传输、入侵检测或基于专线连接的方式不仅成本高,而且多数是被动防御,难以适应现代企业的需求。虚拟专用网(VPN)以其公网连接、加密传输的优势,赢得了越来越多企业的青睐。企业总部一般是企业信息存放、处理的中心,内部主机数量多,数据流量大,安全性和实时性要求高;分支机构内部建有一定规模的局域网,同时通过当地ISP 接Internet 网,VPN 网关部署在机构内部网与Internet 网的接口处;移动办公人员访问内部网络时,不需使用VPN 网关设备,只需要移动用户的主机上安装启动VPN 安全包即可。
(2)VPN 在电子商务安全中的应用。随着互联网的发展,电子商务己经逐渐成为人们进行商务活动的新模式。越来越多的企业通过Internet 进行商务活动,但电子商务的安全问题是制约电子商务发展的主要瓶颈,如何建立一个安全、便捷的电子商务环境,对信息提供足够的保护,商家和用户都十分关心。VPN 能够利用Internet 或其他公共互联网络的基础设施为用户创建隧道,并提供与令用网络一样的安全和功能保障,采用VPN 技术组网,降低组网费用和通讯费用,增加灵活性,能为需要跨地域开展电子商务活动的企业提供安全畅通的网络,解决电子商务安全的基础网络安全问题。
(3)VPN 技术在金融行业的应用。解决方案金融系统已经建立了覆盖全国的网络,包括广泛的企业内部网、办公网和开放Web 站点。随着业务的合并、应用的整合,事实上所有这些网络就构成了LAN+WAN+Internet 的一个复杂的而又不可分割的有机体。这样一个有着多层次、广用户的业务应用,存在纵横交错的逻辑合并和物理连接的网络,不可避免地存在众多安全隐患。为了解决端到端的数据安全,许多VPN 方案被提出:比如IIPPTP,L2TP,L2F VPN 以及MPLS VPN。东软推出的NetEye VPN 采用了先进的工PSec 协议,NetEye VPN 提供了完善的产品线,精简的NetEye Firewall withVPN,为用户提供便捷的接入,灵活的安全策略控制。
5 结语
网络在无形中改变了各行各业的运作方式,信息运营也基本实现了业务的互联、资源的共享。与此同时,网络安全性也越来越得到广泛关注,VPN 技術提供了一种简洁有效、安全可靠的解决方案被广泛应用。
参考文献
[1]王永生. VPN技术在企业中的应用[J].大众科技. 2008(08).
[2]范青. 浅谈虚拟专用网(VPN)的技术研究与应用[J].科技信息(科学教研). 2007(33).
[3]金武功. 关于VPN技术和应用[J].电脑知识与技术(学术交流). 2007(17).