通信論壇( 52China Computer&Network計(jì)算機(jī)與網(wǎng)絡(luò)創(chuàng)新生活VPN安全管理技術(shù)張淑青1高海龍2(1保定市智能電腦有限公司河北保定071000)(2華北電力大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院河北保定071000)[摘要]VPN技術(shù)具有較高的安全性并且實(shí)現(xiàn)較簡單,費(fèi)用低廉。本文闡述了VPN中采用的隧道技術(shù)加解密技術(shù),身份認(rèn)證,使用者與設(shè)備身份認(rèn)證技術(shù)等安全技術(shù)的實(shí)現(xiàn),著重介紹了VPN中應(yīng)用的第2層隧道協(xié)議、第3層隧道協(xié)議及SSL等協(xié)議,分析了ssL VPN技術(shù)的主要優(yōu)點(diǎn)及其不足之處。簡單介紹了現(xiàn)行的SKIP與ISAKMP/OAKLEY密鑰管理技術(shù)和常用的身份認(rèn)證技術(shù)。[關(guān)鍵詞]VPN安全管理 隧道協(xié)議 SSL保證數(shù)據(jù)的安全。1引言隧道技術(shù)在傳輸過程中，首先由客戶端給負(fù)載數(shù)據(jù)加上一個(gè)隧道數(shù)據(jù)傳送協(xié)議包頭，然后把封裝的數(shù)據(jù)通過互聯(lián)網(wǎng)Internet和電子商務(wù)的蓬勃發(fā)展，促使各企業(yè)的局域網(wǎng)絡(luò)發(fā)送,并由互聯(lián)網(wǎng)絡(luò)將數(shù)據(jù)路由到隧道的服務(wù)器端。隧道服日益向外界開放,從而也給網(wǎng)絡(luò)的管理和安全帶來很多問題。務(wù)器端收到數(shù)據(jù)包之后,去除隧道數(shù)據(jù)傳輸協(xié)議包頭,然后將Intemet 是基于TCP/IP技術(shù)的、不可管理的開放性國際互聯(lián)負(fù)載數(shù)據(jù)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)。網(wǎng)絡(luò),基于Intenet的商務(wù)活動(dòng)面臨著惡意的信息威脅和安全隧道是由隧道協(xié)議形成的,分為第2層隧遒協(xié)議、第3層隱患。另外,企業(yè)分支機(jī)構(gòu)相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也隧道協(xié)議及Ssl協(xié)議等。更為普遍,難于實(shí)現(xiàn)分支機(jī)構(gòu)的互聯(lián)。企業(yè)異地局域網(wǎng)之間租2.1第2層隧道技術(shù)用數(shù)字?jǐn)?shù)據(jù)網(wǎng)(DDN)專線或幀中繼實(shí)現(xiàn)互聯(lián)將導(dǎo)致高昂的網(wǎng)第2層隧道技術(shù)是在數(shù)據(jù)鏈路層進(jìn)行的，第2層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中,再把整個(gè)數(shù)據(jù)包裝入絡(luò)通信/維護(hù)費(fèi)用。虛擬專用網(wǎng)(VPN)的出現(xiàn)則較好的解決了上述問題:通隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第2層協(xié)議過公用網(wǎng)來建立VPN,節(jié)省了大量的通信及維護(hù)費(fèi)用;VPN進(jìn)行傳輸。第2層隧道協(xié)議有PPTP、L2F、L2TP等。L2TP協(xié)可保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全和保密性;不需議是目前ETF的標(biāo)準(zhǔn),由ietF融合PPTP與L2F而形成。第建立租用線路或幀中繼線路,連接方便靈活;虛擬專用網(wǎng)使用2層隧道協(xié)議具有簡單易行的優(yōu)點(diǎn),但是他們的可擴(kuò)展性都不好。戶可以利用ISP的設(shè)施和服務(wù)，同時(shí)又完全掌握著自己網(wǎng)絡(luò)也沒有提供內(nèi)在的安全機(jī)制,不能滿足會(huì)話的保密性需求。的控制權(quán),用戶只利用ISP提供的網(wǎng)絡(luò)資源,對(duì)于其它的安全點(diǎn)對(duì)點(diǎn)隧道協(xié)議(RFC2637 ,Point-to -Point TunnelingProtocol,PPTP)是- -種支持多協(xié)議虛擬專用網(wǎng)絡(luò)的網(wǎng)絡(luò)技術(shù)。設(shè)置、網(wǎng)絡(luò)管理變化可由自己管理。數(shù)據(jù)安全性是VPN的核心向題，也是用戶最關(guān)心的問通過該協(xié)議,遠(yuǎn)程用戶能夠通過Microsoft Windows NT工作題。目前VPN主要采用4項(xiàng)技術(shù)來保證安全,這4項(xiàng)技術(shù)分站、Windows 95和Windows 98操作系統(tǒng)以及其它裝有點(diǎn)對(duì)別是隧道技術(shù)(Tuneling)、加解密技術(shù)(Encrypion & Decrp-點(diǎn)協(xié)議的系統(tǒng)安全訪向公司網(wǎng)絡(luò),并能撥號(hào)連人本地ISP,通tion) 、密鑰管理技術(shù)(Key Managenent)、使用者與設(shè)備身份認(rèn)過Internet安全鏈接到公司網(wǎng)絡(luò)。證技術(shù)(Authentication)。PPTP協(xié)議允許對(duì)P , IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送。2隧道技術(shù)第2層轉(zhuǎn)發(fā)協(xié)議(RFC2342,Layer 2 Forwarding prool,隧道技術(shù)(Tunneling)是VPN的基本技術(shù),類似于L2R用中國煤化工的安全隧道來將ISP點(diǎn)對(duì)點(diǎn)連接技術(shù),它首先在公共網(wǎng)絡(luò)上建立一條數(shù)據(jù)通pop連!Y片C N M H G立了一個(gè)用戶與企業(yè)道(隧道),然后把封裝后的數(shù)據(jù)包通過這條隧道傳輸來客戶網(wǎng)絡(luò)間的虛擬點(diǎn)對(duì)點(diǎn)連接。定稿日期:2008-01-22《計(jì)算機(jī)與網(wǎng)絡(luò)》2008年第05期通信論壇計(jì)算機(jī)與網(wǎng)絡(luò)創(chuàng)新生活China Computer & Network(53)第2層隧道協(xié)議(RFC2661,Layer 2 Tuneling Protocol,密安全通道的加密協(xié)議， 它利用密鑰算法在互聯(lián)網(wǎng)上提供端L2TP)是用來整合多協(xié)議撥號(hào)服務(wù)至現(xiàn)有的因特網(wǎng)服務(wù)提供點(diǎn)身份認(rèn)證與通信保密,為諸如網(wǎng)站、電子郵件、網(wǎng)上傳真等商點(diǎn)。PPP 定義了多協(xié)議跨越第2層點(diǎn)對(duì)點(diǎn)鏈接的一一個(gè)封裝等數(shù)據(jù)傳輸進(jìn)行保密。它是隨電子商務(wù)與B/S結(jié)構(gòu)發(fā)展起來機(jī)制。特別地,用戶通過使用眾多技術(shù)之一(如:撥號(hào) POTS、的協(xié)議,在web應(yīng)用上極具優(yōu)勢(shì),是未來的主流。ISDN、ADSL等)獲得第2層連接到網(wǎng)絡(luò)訪問服務(wù)器(NAS),(1) SSL工作過程然后在此連接上運(yùn)行PPP。在這樣的配置中,第2層終端點(diǎn)和SSL包含3個(gè)基本階段:對(duì)等協(xié)商密鑰算法支持;基于公:PPP會(huì)話終點(diǎn)處于相同的物理設(shè)備中(如:NAS)。鑰密碼的密鑰交換和基于證節(jié)的身份認(rèn)證;基于對(duì)稱密鑰的L2TP協(xié)議允許對(duì)IP,IPX或NetBEUI數(shù)據(jù)流進(jìn)行加數(shù)據(jù)傳輸保密。密,然后通過支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送,如IP,SSs工作時(shí)首先由SsL的記錄層(Record layer)封裝 更高X.25,楨中繼或ATM。層的HTTP等協(xié)議。記錄層數(shù)據(jù)可以被隨意壓縮加密,與消第2層隧道協(xié)議(PPTP和L2TP)創(chuàng)建隧道的過程類似息驗(yàn)證碼(MAC)打包在一起。 每個(gè)記錄層包都有一一個(gè)內(nèi)容類于在雙方之間建.立會(huì)話,隧道的2個(gè)端點(diǎn)必須同意創(chuàng)建隧道型(content type)段用以記錄更上層用的協(xié)議。并協(xié)商隧道各種配置變量,如地址分配,加密或壓縮等參數(shù)。工作時(shí)客戶端要收發(fā)幾個(gè)握手信號(hào):發(fā)送一個(gè)Clien-絕大多數(shù)情況下，通過隧道傳輸?shù)臄?shù)據(jù)都使用基于數(shù)據(jù)報(bào)的tHello消息,說明它支持的密碼算法列表、壓縮方法及最高協(xié)協(xié)議發(fā)送。采用隧道維護(hù)協(xié)議作為管理隧道的機(jī)制。議版本，也發(fā)送稍后將被使用的隨機(jī)字節(jié)。然后收到一個(gè)2.2第3層隧道技術(shù)ServeHello消息,包含服務(wù)器選撣的連接參數(shù),源自客戶端初第3層隧道技術(shù)是在網(wǎng)絡(luò)層進(jìn)行的,第3層隧道協(xié)議是期所提供的CientHello當(dāng)雙方知道了連接參數(shù),客戶端與服把各種網(wǎng)絡(luò)協(xié)議直接裝人隧道協(xié)議中,形成的數(shù)據(jù)包依靠第務(wù)器交換證書(依靠被選擇的公鑰系統(tǒng))。這些證書通?；?層協(xié)議進(jìn)行傳輸。第3層隧道協(xié)議有g(shù)RE (RFC 2784,x.509,不過已有草案支持以O(shè)penPGP為基礎(chǔ)的證書。服務(wù)器General Routing Encapsulaion)、IPSec等。IPS(IP Securiy)定能夠請(qǐng)求得到來自客戶端的證書，所以連接可以是相互的身義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇.安全算法,確定服務(wù)所使份認(rèn)證。用密鑰等服務(wù),從而在IP層提供安全保障。(2) SSL VPN技術(shù)的主要優(yōu)點(diǎn)第3層隧道技術(shù)的實(shí)現(xiàn)通常假定所有配置問題已經(jīng)通①無需安裝客戶端軟件。執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問過手工過程完成。這些協(xié)議不對(duì)隧道進(jìn)行維護(hù)。而第2層隧道不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件。只需通過標(biāo)準(zhǔn)的支持協(xié)議(PPTP和L2TP)則必須包括對(duì)隧道的創(chuàng)建,維護(hù)和終止。SSL的Web瀏覽器連接因特網(wǎng);IPSec協(xié)議位于網(wǎng)絡(luò)層，是目前應(yīng)用最廣泛的VPN協(xié)②適用大多數(shù)設(shè)備?；赪eb訪問的開放體系可以運(yùn)議,安全性高,但配置較復(fù)雜。行標(biāo)準(zhǔn)的瀏覽器訪問任何設(shè)備;IPSec是一種由letF設(shè)計(jì)的端到端的確?；贗P③可以穿越防火墻進(jìn)行訪問。由于SSL以443通信端口通訊的數(shù)據(jù)安全性的機(jī)制。按照ETF的規(guī)定,使用封裝作為傳輸通道,它通常是作為Web Server對(duì)外的數(shù)據(jù)傳輸通安全負(fù)載與加密一道提供來源驗(yàn)證，確保數(shù)據(jù)完整性。道,不需修改防火墻的配置,從而影響通信系統(tǒng)的安全性;不采用數(shù)據(jù)加密時(shí),IPSec使用驗(yàn)證包頭提供來源驗(yàn)證確④維護(hù)工作量小,減少費(fèi)用。對(duì)于那些簡單遠(yuǎn)程訪問用保數(shù)據(jù)完整性。且只有發(fā)送方和接受方知道秘密密鑰,戶，基于SsL的VPN網(wǎng)絡(luò)可以非常經(jīng)濟(jì)地提供遠(yuǎn)程訪問服如果驗(yàn)證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送務(wù),而這也是SSL VPN最適用的場(chǎng)合。方,并且在傳輸過程中沒有受到破壞。.(3) SSL VPN的不足IPSec可以看成是位于TCP/IP協(xié)議棧的下層協(xié)議。該層通用性:只能有限地支持Windows應(yīng)用或者其它非基于由每臺(tái)機(jī)器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)進(jìn)Web界面的系統(tǒng);安全性:SSL中驗(yàn)證網(wǎng)絡(luò)服務(wù)器身份所使用行控制。IPSec隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密,然后封的數(shù)字證節(jié)可能會(huì)被偷竊或復(fù)制;網(wǎng)絡(luò)性能:SSL會(huì)話中所需裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Inter-的任務(wù)繁重的密碼計(jì)算會(huì)影響網(wǎng)絡(luò)服務(wù)器的性能。net發(fā)送。中國煤化工2.3 SSL技術(shù)3其MYHCNMHG安全套接層(Secure Sockets Layer ,SL)及其新繼任者傳輸層安全(Transport Layer Security ,TLS)是在互聯(lián)網(wǎng)上提供保加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù),VPN 可直.2008年第05期《計(jì)算機(jī)與網(wǎng)絡(luò)> :通信論壇(54)China Computer & Network計(jì)算機(jī)與網(wǎng)絡(luò)創(chuàng)新生活接利用現(xiàn)有技術(shù)。-種有效的解決方案,將逐漸取代采用專線構(gòu)建企業(yè)專用網(wǎng)密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全絡(luò) 的傳統(tǒng)做法。地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用DifieHellman的演算法則,在網(wǎng)絡(luò)上傳輸密鑰;在ISAKMP中,雙方都有2把參考文獻(xiàn)密鑰,分別用于公用、私用。[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第四版)[M].北京:電子工業(yè)出版社，身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式2003.認(rèn)證等方式。[2]拓守恒.VPN安全-隧道技術(shù)研究).福建電腦,2007(1):30-31.4結(jié)束語[3]劉菌,陳常嘉VPN技術(shù)應(yīng)用與實(shí)現(xiàn)淺談D].電子科技,2006(11): 77-80.VPN為借助公共網(wǎng)絡(luò)服務(wù)平臺(tái)搭建廣泛的通信網(wǎng)絡(luò)的[4]李世武,韓雅琴.VPN技術(shù)與實(shí)現(xiàn)策略研究0].計(jì)算機(jī)與網(wǎng)絡(luò),2006(23):38-40.企業(yè)以廉價(jià)的價(jià)格享受更高的安全保證,通過各種安全技術(shù)的引人,可以保證通信的安全性,提供較高的網(wǎng)絡(luò)性能。VPN[5]何亞輝,肖路,陳鳳英.基于IPSec的VPN技術(shù)原理與應(yīng)用兼?zhèn)淞斯娋W(wǎng)和專用網(wǎng)的許多優(yōu)點(diǎn)成為構(gòu)建企業(yè)專用網(wǎng)絡(luò)的0].重慶工學(xué)院學(xué)報(bào),2006(11):114 -117.(上接第51頁)在UML2.0中規(guī)定,配置圖的節(jié)點(diǎn)(Node)所代表的計(jì)算機(jī)資源,不僅是指硬件設(shè)備(Device) ,如處理器,讀卡器,移動(dòng)[1] 文燁斌,姚國祥,許龍飛.UML2.0的新特性以及在選課系設(shè)備,通信設(shè)備等;而且可以是指包含在設(shè)備內(nèi)的可執(zhí)行環(huán)境統(tǒng)中的應(yīng)用D.佳木斯大學(xué)學(xué)報(bào)(自然科學(xué)版),2005(4):3-5.(Executing Environment)。執(zhí)行環(huán)境是其他軟件的宿主,如操[2] 馬浩海,劉實(shí),蔣嚴(yán)冰.UML2.0擴(kuò)展機(jī)制分析D].內(nèi)蒙古大作系統(tǒng)J2EE容器、工作流引擎、數(shù)據(jù)庫等。學(xué)學(xué)報(bào)(自然科學(xué)版),2005 ,36(1):1-3.[3] WILL K C.Will UML 2.0 Be Agile or Awkward J.Commu7結(jié)束語nicationsof the ACM JanuaryD.2002,45(1):107-110.UMI2.0在不斷完善的同時(shí),OMG的分析設(shè)計(jì)平臺(tái)小再傳捷報(bào):易PC火爆浙江好易購組副主席Cris Kobryn卻認(rèn)為UML正變得越來越肥胖，需要據(jù)悉,華碩易PC日前在電視購物等傳統(tǒng)渠道的銷售再減肥。其實(shí)UML用的范圍越來越廣,需要面對(duì)的問題就越來次創(chuàng)下了火爆的場(chǎng)景,在湖南衛(wèi)視的快樂購梅開二度，在1越復(fù)雜,同時(shí)還要滿足各個(gè)行業(yè),各種企業(yè)的需求,因此規(guī)模小時(shí)8分種的短短時(shí)間內(nèi)，易PC再- -次創(chuàng)下了銷售 700臺(tái)越來越龐大也在所難免。但是如果新的規(guī)約變得越來越復(fù)雜的火爆戰(zhàn)績。不僅如此,易PC在2007年底在杭州好易購創(chuàng)和龐大,就會(huì)難以管理、理解和實(shí)施。值得注意的是UML2.0下了每6秒成交一臺(tái)的記錄后,于3月初再度登陸浙江杭州的外廓Profiles 允許增加和刪減UML的部分特性，可以調(diào)整好易購頻道,再一次創(chuàng)下火爆銷售360臺(tái)的佳績!出合適自己使用的UML。從某種程度.上說,易PC已經(jīng)不再單單是一一個(gè)產(chǎn)品的型2003年9月，總部位于德國漢堡的Gendeware公司號(hào)名稱,而是簡約時(shí)尚超便攜的代名詞。易PC已然成為時(shí)巳經(jīng)成功開發(fā)出支持UMI2.0規(guī)約的建模工具Poseidon尚休閑的風(fēng)尚標(biāo)志了，越來越多的年輕- -代加入到易PC . -for UML 2.0,目前最新的版本是6.0。這個(gè)新的建模工族,網(wǎng)上不僅出現(xiàn)了很多易PC的專門網(wǎng)站,還出現(xiàn)了很多和具集提供了和其他UML工具的交互能力，而且還支持易PC相關(guān)的新鮮名詞,比如,易粉、易飯、易PC周邊等等。易PC為何如此受歡迎?我們知道,對(duì)于已經(jīng)相對(duì)成熟UML2.0規(guī)約的元素以及新增圖形，其企業(yè)版還是首個(gè)支持異地成員對(duì)同一模型共同開發(fā)的建模工具。IBM也的傳中國煤化工同質(zhì)化效應(yīng)使得PC市場(chǎng)1YH-次爆發(fā)性. .創(chuàng)新性的在2004年底推出了其新-代的軟件開發(fā)平臺(tái)Atlantic ,這突破。CNMH G在入了一段新鮮的血系統(tǒng)將會(huì)給予UMI2.0更多的支持。液和全新發(fā)展思路,它是對(duì)現(xiàn)有臺(tái)式機(jī)、筆記本電腦及掌上電腦的豐富和拓展,是真正的“第四類電腦"?！队?jì)算和與數(shù)據(jù)> 2008年第05期