虚拟专用网(VPN)是利用Internet等公用物理网络,通过逻辑连接构建的专用网络,如同在广域网络中建立微信群的虚拟专用线路[常称 隧道 (虚拟信道)],各种用户的数据信息可以通过VPN进行传输,既安全可靠又快捷方便。
教学视频
课程视频2.2
虚拟专用网(Virtual Private Network,VPN) 是借助Internet等公共网络的基础设施,利用隧道技术向用户提供的同物理网络具有相同功能的专用网络。其中,“ 虚拟 ”是指用户不需要铺设专用的物理线路,而是利用Internet等公共网络资源和设备建立一条逻辑连接的专用数据通道,并实现与专用数据通道相同的通信功能。“ 专用网 ”是指此虚拟网络只有经过授权的用户才可使用。该信道内传输的数据经过加密和认证,可保证传输数据的机密性和完整性。Internet工程任务组IETF对 基于IP网络的VPN的定义 为:利用IP机制模拟的一个专用网络。
VPN可通过特殊加密通信协议为Internet上的异地企事业机构在内网之间建立一条专用通信线路,而无须铺设物理线路。 VPN系统结构 如图2-3所示。
图2-3 VPN系统结构
VPN具有以下技术特点:
1)安全性高。VPN使用通信协议、身份验证和数据加密等技术保证其网络通信传输的安全性。客户机先向VPN服务器发出请求,服务器响应请求并要求客户机输入身份认证信息,之后客户机发送认证信息,服务器通过数据库检查认证该用户的远程访问权限,对通过认证的用户服务器会进行接收并连接,身份验证过程中所使用的公有密钥都需要加密。
2)费用低、应用广。远程用户或机构都可以利用VPN通过Internet访问网络,这比传统网络访问方式的费用少很多,可节省购买、管理和维护通信设备的费用且应用广泛。
3)管理便利。构建VPN只需很少的专用的网络设备及线路,且网络管理非常简便。对于远程访问的企事业机构或用户,只需要通过公用网络端口或Internet即可进入机构网络,网络管理如同使用微信群,其主要工作由公用网负责。
4)灵活性强。VPN支持通过各种网络的任何类型的数据流,支持多种类型的传输媒介,并可以同时传输图像、语音和其他数据等需求。
5)服务质量好。可满足机构不同等级的服务质量(QoS)需求。不同用户和业务对QoS要求差别较大,如对于移动用户,提供广泛连接和覆盖性是保证VPN服务的一个主要因素;对于拥有众多分支机构的专线VPN,交互式内网应用要求网络具有良好的稳定性;而视频传输等应用对网络提出了更具体的要求,如网络时延及误码率等。这些网络应用都要求按其需要提供不同等级的服务质量。
VPN可提供更好的安全服务
VPN是在Internet公共网络基础上,通过综合利用隧道技术、密码加密技术和身份认证技术实现的。
1.隧道技术
隧道技术是VPN的核心技术 ,是一种隐式传输数据的方法。主要利用已有的Internet等公共网络数据通信方式,在虚拟信道(隧道)一端将数据封装,然后通过已建立的隧道进行传输。在隧道另一端,进行解封装并将还原的原始数据交给终端。在VPN连接中,可根据需要创建不同类型的VPN隧道,包括自愿隧道和强制隧道。
网络隧道主要建立过程
2.常用的加密技术
VPN采用加密方式保护数据的网络传输安全。 常用加密体系 主要包括对称密钥加密体系和非对称密钥加密体系。
(1)对称密钥加密
对称密钥加密 是指加密和解密都使用相同密钥的加密方式。发送方先将要传输的数据(文件)用密钥加密为密文,然后通过公共信道传输,接收方收到密文后用同样的密钥解密成明文,密钥的授权与管理成为安全性的关键。其加密方式的 优点 是算法相对简单、加密速度快,适合加密大量数据; 缺点 是密钥的管理复杂难度大。
(2)非对称密钥加密
非对称密钥加密 是指加密和解密采用不同密钥的加密方式,数据的发送方和接收方拥有两个不同密钥,分别称为公钥和私钥。公钥可以在通信双方之间公开传递,或在公共网络上发布,但相关的私钥必须保密。利用公钥加密的数据需要用私钥解密,而利用私钥加密的数据需要用公钥认证。
非对称密钥加密优缺点
3.密钥管理技术
密钥管理极为重要 ,有两种方式:手工配置和密钥交换协议动态分发。前者适合简单网络且要求密钥更新不宜频繁,否则会增加大量管理工作量。后者采用软件方式动态生成密钥,适合复杂网络且密钥可快速更新,以保证密钥在公共网络上安全传输,极大地提高了VPN的应用安全。
4.身份认证技术
在VPN的实际应用中,身份认证技术包括信息认证和用户身份认证。信息认证用于检验用户信息的完整性和通信双方的不可抵赖性,用户身份认证用于鉴别用户身份的真实性。二者分别采用公钥基础设施PKI体系和非PKI体系。PKI体系通过数字证书认证中心,采用数字签名和散列函数保证信息的可靠性和完整性。如SSL VPN是利用PKI支持的SSL协议实现应用层VPN安全通信。非PKI体系一般采用“用户名+口令”的模式。
VPN采用的非PKI认证方式
在 VPN技术的实际应用 中,对不同网络用户应采用不同的解决方案。这些 解决方案主要分为3种 :远程访问虚拟网(Access VPN)、企事业内部虚拟网(Intranet VPN)和企事业扩展虚拟网(Extranet VPN)。
VPN的广泛应用和优点
1.远程访问虚拟网
通过一个与专用网络具有相同策略的共享基础设施,可以提供方便企事业内网或外网的远程访问服务,使用户随时以所需要的方式访问企事业的各种信息资源,如模拟、宽带、数字用户线路(xDSL)、移动IP和电缆技术等,可以安全地连接移动用户、远程员工或分支机构。此种VPN适用于拥有移动用户或有远程办公需要的机构,以及需要提供与客户安全访问服务的企事业机构。远程验证用户服务(Remote Authentication Dial In User Service,RADIUS)服务器可以对异地的分支机构或出差到外地的员工进行认证和授权,保证连接及网络资源的安全且可以节省办公及电话费用等。
2.企事业内部虚拟网
利用Intranet VPN技术可以在Internet上构建全球的Intranet VPN,企事业机构内部资源用户只需连入本地ISP的接入服务提供点(Point of Presence,PoP)即可相互通信和资源共享等,而实现传统WAN组建技术都需要有专线限制。利用该VPN技术不仅可以保证网络的互联性,而且可以利用隧道技术和加密等VPN特性保证在整个VPN上的信息安全传输和应用。这种VPN通过一个专用连接的共享基础设施,连接企事业机构和分支部门,企事业拥有与专用网络相同的政策和机制,包括网络安全、服务质量可管理性和可靠性,如总公司与分公司构建的企业内部VPN。
3.企事业扩展虚拟网
企事业扩展虚拟网主要用于企事业之间的互联及网络安全访问服务,可通过专用连接的共享基础设施,将客户、供应商、合作伙伴或相关群体连接到企事业内网。企事业拥有与专用网络相同的安全、服务质量等政策,可简便地对外网进行部署和管理,外网的连接可使用与部署内网和远端访问VPN相同的架构和协议进行部署,主要是接入许可不同。
对于企业机构的一些国内外客户,涉及订单等业务时常需要访问企业的ERP系统查询其订单的处理进度等。客户可以使用VPN技术实现企业扩展虚拟局域网,让客户也能够访问公司内部的ERP服务器,但应注意数据过滤及访问权限的限制。
讨论思考
1)什么是虚拟专用网(VPN)?
2)VPN的技术特点和实现技术有哪些?
3)VPN技术的实际应用具体有哪些?
本部分小结及答案