加入收藏 | 设为首页
 
   您现在的位置:北京通讯网 >>虚拟专用网(VPN)常用资料
虚拟专用网VPN结构简析
 
 

由于网络大致包括网络硬件、网络操作系统和网络应用程

序这几个部分组成,因此网络安全的问题也只要考虑这几个方面不被人破坏和信息不被

人窃取就可以了。在应用 程序的背后,还隐藏着大量的数据作为对前者的支持,而这些数据的安全性问题也应被

考虑在内。同时,还有最重要的一点,即无论是网络本身还是操作系统与应用程序,它

们最终都是要由人来操作和使用的,所以还有一个重要的安全问题就是用户的安全性。

根据国际著名的网络安全研究公司Hurwitz Group的结论,在考虑网络安全问题的过程中

,有五个方面的问题:网络的安全问题,操作系统的安全问题,用户的安全问题,应用

程序的安全问题,以及数据的安全问题。

● 网络层的安全性(Network Integrity)

网络层的安全性问题即对网络的控制,即对进入网络的用户的地址进行检查和控制。每

一个用户都会通过一个独立的IP地址对网络进行访问,这一IP地址能够大致表明用户的

来源所在地和来源系统。目标网站通过对来源IP进行分析,便能够初步判断来自这一IP

的数据是否安全。

防火墙产品和VPN———虚拟专用网就是用于解决网络层安全性问题的。防火墙的主要目

的在于判断来源IP,阻止危险或未经授权的IP的访问和交换数据。 VPN主要解决的是数

据传输的安全问题,其目的在于内部的敏感关键数据能够安全地借助公共网络进行频繁

地交换。后面将对VPN作具体的介绍。

●操作系统的安全性(System Integrity)

  在系统安全性问题中,主要防止:一、病毒的威胁;二、黑客的破坏和侵入。

●用户的安全性(User Integrity)

  对于用户的安全性问题,考虑的是用户的合法性。认证和密码就是用于这个问题的

通常根据不同的安全等级对用户进行分组管理。不同等级的用户只能访问与其等级相对

应的系统资源和数据。然后采用强有力的身份认证,并确保密码难以被他人猜测到。

●应用程序的安全性(Application Integrity)

  即只有合法的用户才能够对特定的数据进行合法的操作。包括应用程序对数据的合

法权限和应用程序对用户的合法权限。  

●数据的安全性(Application Confidentiality)

  既用加密的方法保护机密数据。在数据的保存过程中,机密的数据即使处于安全的

空间,也要对其进行加密处理,以保证万一数据失窃,他人也读不懂其中的内容。这是

一种比较被动的安全手段,但往往能够收到最好的效果。

上述的五层安全体系并非孤立分散,它们是互相影响,互有关连的。尤其是本课程所学

习的加密和认证技术,在各个层次都有所应用,是网络安全的基础之一。下面就应用了

许多这些技术的网络层的安全技术VNP—虚拟专用网络做具体的讨论。

虚拟专用网络 --- VPN

以前,要想实现两个远地网络的互联,主要是采用专线连接方式。这种方式虽然安全性

高,也有一定的效率,成本太高。随着Internet的兴起,产生了利用Internet网络模拟

安全性较好的局域网的技术—虚拟专用网技术。这种技术具有成本低的优势,还克服了

Internet 不安全的弱点。其实,简单来说就是在数据传送过程中加上了加密和认证的网

络安全技术。

在VPN网络中,位于Internet两端的网络在Internet上传输信息时,其信息都是经过RSA

非对称加密算法的Private/Public Key加密处理的,它的密钥(Key)则是通过Diffie-

Hellman算法计算得出。如,假设A、B在Internet网络的两端,在A端得到一个随机数

,由VPN通过Diffie-Hellman算法算出一组密钥值,将这组密钥值存储在硬盘上,并发送

随机数到B端,B端收到后,向A端确认,如果验证无误则在B端再由此产生一组密钥值,

并将这组值送回A端,注册到Novell的目录服务中。这样,双方在传递信息时便会依据约

定的密钥随机数产生的密钥来加密数据。 

确切来说,虚拟专用网络(Virtual Private Network,VPN)是利用不可靠的公用互联网络

作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络

相类似的安全性能,从而实现对重要信息的安全传输。

根据技术应用环境的特点,VPN大致包括三种典型的应用环境,即Intranet VPN, Remo

te Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子

网和用户管理认证功能;Remote Access VPN侧重远程用户接入访问过程中对信息资源的

保护;而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。这三种方式中

Extranet VPN应用的功能最完善,而其他两种均可在它的基础上生成,这里主要是针对

Extranet VPN来谈。

  VPN技术的优点主要有:

  (1) 信息的安全性。虚拟专用网络采用安全隧道(Secure Tunnel)技术安全的端到端

的连接服务,确保信息资源的安全。

  (2) 方便的扩充性。用户可以利用虚拟专用网络技术方便地重构企业专用网络(Pri

vate Network),实现异地业务人员的远程接入。

  (3) 方便的管理。VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来

统一实现,从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面

的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理。

(4) 显著的成本效益。利用现有互联网络发达的网络构架组建企业内部专用网络,从而

节省了大量的投资成本及后续的运营维护成本。

 

 
关于我们 | 联系我们 | 友情链接 | 工作机会
北京通讯网由北京中科汉威信息技术有限公司提供技术与服务支持  电话:010-51669677
地址:北京市海淀区中关村南大街12号,邮编:100081,位置示意图
中华人民共和国电信与信息服务业经营许可证 京ICP证030325号