×××介紹
1.×××簡介
1.1 ×××的概念
×××(Virtual Private Network),即虛擬專用網或虛擬私用網,是指利用開放的公共網絡資源建立私有傳輸通路,將遠程的分支機構,商業夥伴,移動辦公人員等連接起來
,並且提供安全的端到端的數據通信的一種技術。它有兩層含義:第一,它是“虛擬的”,即用戶實際上並不存在一個獨立專用的網絡,既不需要建設或租用專線,也不需要裝備
專用的設備,而是將其建立在分佈廣泛的公共網絡上,就能組成一個屬於自己專用的網絡;第二,它是“專用的”,相對於“公用的”來說,它強調私有性和安全可靠性。而對於這
個問題,也是很值得探討的,在文獻中指出有兩方面值得注意,就是安全性和可用性。在這裏我們姑且不必着眼於個別字眼,而就按我們通常的理解來進行討論。
1.2 ×××的歷史
×××當然不是一開始就有的,我們簡單回顧一下它的發展階段。剛開始企業是自己建設專門線路或者更向前發展一下是租用專門線路進行遠程通信,無疑這樣所花費用巨大,而
且資源利用率很低,屬於獨佔性質的,只有實力雄厚的公司才能負擔的起;隨着Internet時代的到來,通過IP協議傳輸客戶應用,一系列協議不斷推出,其中包括IPSec,人們發現
基於IPSec的虛擬專用網絡,即IPSec-×××比租用專線要便宜很多;隨着Internet的進一步發展又引出一個問題:安全性和Web應用。在瀏覽器中內嵌SSL處理程序解決了這個問題,於
是SSL-×××誕生了;這時有人說:“瀏覽器不能處理所有的問題,許多複雜的事務處理需要一個資源豐富的客戶端。”這就使 IPSec佔了優勢,他們繼續使用IPSec-×××;確實,瀏覽
器並不能處理很多複雜的事務,一個完善的應用解決方案需要認證機制,而且一些不支持 Web的應用也不能採用SSL-×××;移動設備,CACHE,身份竊取等促使SSL必須具備新的特點
以使其能改進成爲一個足夠安全的解決辦法。所有的這些促進了×××技術的發展,使其更加安全可靠,簡便易用,而不僅僅追求於數據的獲取和傳輸。
1.3 ×××技術簡介
我們通常認爲×××具備以下幾個特點:安全保障,QoS,可擴充性和靈活性,可管理性。在爲保證數據的安全性方面,目前主要採用四項技術:隧道(Tunneling)技術,加解密
(Encryption & Decryption)技術,密鑰管理(Key Management)技術,使用者與設備認證(Authentication)技術。×××有三種解決方案,分別是Access ×××(接入×××),
Intranet ×××(內部×××),Extranet ×××(外部×××)。企業的內部人員移動或有遠程辦公需要,或者商家要提供B2C的安全訪問服務,就可以考慮使用Access ×××。要進行企業內
部各分支機構的互聯,使用Intranet ×××是很好的方案。如果是提供B2B之間的安全訪問服務,則可以考慮。Extranet ×××。而×××的設計一般包含以下原則:安全性、網絡優化、
×××管理等。
2.三種×××技術
2.1 IPSec ×××
IPSec協議是網絡層協議,是爲保障IP通信而提供的一系列協議族,主要針對數據在通過公共網絡時的數據完整性,安全性和合法性等問題設計的一整套隧道,加密和認證方案
。遠程用戶需安裝特定的客戶端軟件,相對來說比較複雜,對於非專業人員或不是很熟悉這個協議的人來說,有一定的難度。而且新增用戶比較困難,但是由於IPSec協議是在網絡
層上的,與上層協議無關,所以可以隨時添加和修改應用程序,對於應用層協議沒有特殊要求,所以它的應用領域非常之廣。它提供的是網絡邊緣到客戶端的安全保護,僅對從客
戶到×××網關之間的通道加密。
2.2 SSL ×××
SSL協議是套接層協議,是爲保障基於Web的通信的安全而提供的加密認證協議,提供的是應用程序的安全服務而不是網絡的安全服務。與 IPSec相比,SSL ×××不需要特殊的客
戶端軟件,僅一個Web瀏覽器即可,而且現在很多瀏覽器本身內嵌SSL處理功能,這就更加減少了複雜性。而且由於它是運行於應用層的,與底層協議無關,所以增加用戶很簡單,
但是應用程序擴展比較麻煩。其次,因爲並不是所有的應用都是基於Web的,這也是它的一個限制。它保證端到端的安全,從客戶端到服務器進行全程加密。
2.3 MPLS ×××
MPLS是一種在開放的通信網上利用標籤進行數據高速,高效傳輸的技術,它將第三層的包交換轉換成第二層的包交換,以標記替代傳統的IP路由,兼有第二層的分組轉發和第
三層的路由技術的優點,是一種“邊緣路由,核心交換”的技術。MPLS-×××可擴展性好,速度快,配置簡單,但是一旦出現故障,解決起來比較困難。基於MPLS的×××是無連接的,
無須定義隧道,這種特點使得MPLS尤其適用於動態隧道技術[3]。
3.×××的安全性需要加強
近幾年來×××的安全性得到了很大的加強,但依然存在一些安全隱患,下面我們就來簡單介紹一下。如果加密密鑰設的長一些,比如將加密算法 DES_SSL轉換成3DES_DES將明顯
改善×××的安全性,採用128 bit或者更多位密碼也會更好,然而,一些瀏覽器和設備提供者不提倡運用如此煩雜的密碼,這是處於整個系統考慮,不但要追求安全性而且要考慮效
率問題。
IPSec-×××在客戶端需要一臺臺式機或其他設備以便接入網絡。而提供給客戶更多的權限來檢查或監視×××的安全性也是可行和需要的,因爲有的缺陷是在客戶運行使用中發現
的。ISAKMP(Internet Security Association Key Management Protocol,Internet安全連接和密鑰管理協議)是用來在Internet環境下建立SA(Security Association,安全連
接)和密鑰。由於它支持包層面的加密,所以在IPSec ×××中廣泛應用。一旦你操作了ISAKMP包使得內容無效或不正常,就能夠衝擊另一端的客戶,從而導致一個否定服務事件發生
。這時你可以不採用這種易引起***的模式,轉而用一種包過濾技術,因爲在這種***模式中,在安全隧道建立起來之前的那個階段很少有包交換,而允許信息交換(NISCC
Reference:273756/NISCC/ISAKMP)。
除此之外,另一個威脅就是利用被認爲可信任的高速緩存通過窗口是可以繞過認證過程的,這種方法不是通過這個認證過程而是將數據散列開形成子序列利用標記進行傳輸。
當然,這樣可以提高系統的響應時間,但同時卻也給***者創造了機會,***者們同樣可以得到這種標記利用散列子序列進入×××網絡而不需要經過認證。阻止這種被認爲可信任的
高速緩存能夠解決這個問題。密碼儲存又引起另一個×××管理問題。密碼也是易被***者利用來***網絡了一種途徑。一旦***者取得了可信任的密碼就能來***連接或者是自由進
出系統做出破壞活動,從而可能引起很嚴重的後果。基於這個考慮,密碼的存儲管理似乎應被禁止。用於Microsoft ×××中的PPTP(Point-to-Point Tunneling Protocol,點到點
隧道協議)被發現在安全方面有許多脆弱性,PPTP中的MS-CHAP和 MPPE,它們的缺陷使得***者有很多可以利用的地方。例如發起字典***來對抗局域網管理者的認證信息是可能
的,這樣做的結果就是竊取到密碼。而且 PPTP服務器本身也是能夠被騙過的,會話密鑰能夠再次被使用。鑑於此,Microsoft公司也已經推出了很多補丁包來修復這個問題。
對於×××接入的安全性和功能性進行良好平衡的一個比較好的方法就是設置一種自適應的協議子集。當一個用戶撥入×××時,協議子集管理系統就檢查用戶的原IP地址是否是可
信任的。如果是在家裏或者是用一個3G卡撥入比在外面撥入所授予的權力要多一些。關於自適應協議子集的有趣的一點就是它們可能沒有被執行。瞭解如何接入和調整總是好事,
但是有趣的是我們會發現人們運行如此重要的一些基礎結構時卻對其潛在安全隱患考慮得不是那麼充分。
4.×××進一步研究
×××已經在各行各業得到廣泛應用,隨着×××的發展,人們不僅僅滿足於其現有的功能。而是對它的安全性以及QoS提出了更高的要求,於是開始探索更新的策略方法和各種算法
等來完善其性能。對於MPLS ×××我們考慮更多的是如何安排LSP的帶寬分配,這將大大影響×××的QoS,這就要求在滿足用戶需要的基礎上最大限度提高網絡資源的利用率。而現實問
題是往往一些鏈路過分利用而另一部分鏈路的利用卻不充分,這就牽扯到×××的TE(Traffic Engineer,流量工程)問題。軟管模型應這些要求誕生了,已有很多文章介紹軟管模型
,能夠幫助我們瞭解這一技術。而且還提出一些非常有效的算法加以解決這個問題。如文獻[5]中就詳細介紹了一種方案。而在文獻[6]中講述了在下一代IPv6中×××的動態和安全管
理。無論如何,隨着人們的探索,將出現越來越多而且更加有效的方法來充實×××。
5.結束語
×××爲LSP和用戶都帶來了好處,簡單點說,節省了大量的資金,組網快捷,而且安全性也比較好。所有的這一切從近年來×××的飛速發展中就可以看出來,人們爲什麼如此熱衷
於此,必有其過人的一面,但是同時我們看到現在×××還不是十全十美的,在它的安全性方面還存在隱患。但也要相信×××的明天會更好。