榮東明 周 全 何 遠

[摘要]隨著企業(yè)信息化的發(fā)展,移動辦公對遠程接入提出了新的挑戰(zhàn)。從遠程接入的發(fā)展,VPN原理和特點等幾個方面進行論述,并對遠程接入在實際應用中的注意事項做說明。

[關鍵詞]移動辦公遠程接入無線VPN

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1110079-01

隨著企業(yè)信息化發(fā)展和3G時代的到來,人員的流動性加大,傳統(tǒng)的辦公方式已經(jīng)滿足不了新的的需求,移動辦公,soho辦公(Small Office Home Officer)逐漸將成為新的的辦公方式。相比傳統(tǒng)的辦公方式,移動辦公和soho辦公帶來了更靈活的工作時間以及辦公地點。因此遠程登錄,遠程訪問開始成為現(xiàn)代工作生活的一種必要的需求。

一、遠程接入的發(fā)展

普通電話撥號技術是歷史最久的遠程接入技術?；痉绞绞莾蓚€計算機之間分別安裝一種稱為調制解調器(Modem)的網(wǎng)絡連接設備,然后通過電話撥號的形式建立計算機間遠程接入。

普通電話的網(wǎng)絡連接速度并不能滿足企業(yè)網(wǎng)絡帶寬的要求,市場的發(fā)展需要一種能夠承載多媒體業(yè)務的網(wǎng)絡。于是,就出現(xiàn)了綜合業(yè)務數(shù)字網(wǎng)ISDN(Integrated Service Digital Network)。

ADSL技術的發(fā)展使寬帶進入了千家萬戶,互聯(lián)網(wǎng)得到很快的發(fā)展,帶寬從撥號時代幾K發(fā)展到現(xiàn)在的幾M,對光纖接入的用戶都達到了100M級。通過互聯(lián)網(wǎng)的資源,連接企業(yè)的內部網(wǎng)絡便成了人們的理想,于是VPN(Vi

rtual Private Network)虛擬專用網(wǎng)絡便誕生了。

基于有線資源的接入技術受到線路資源的限制,VPN用戶只能在接入點使用。3G時代的到來,給遠程接入帶來了新的發(fā)展。通過3G終端使用VPN接入到企業(yè)的內部網(wǎng)絡,用戶的接入時間與接入空間得到有效的擴展,移動VPN將會成為未來一段時間遠程接入的新趨勢。

普適計算(Pervasive Computing)也稱無處不在計算(Ubiquitous Computing),它集移動通信技術、計算技術、小型計算設備制造技術、小型計算設備上的操作系統(tǒng)及軟件技術等多種關鍵技術于一體,通過將普適計算設備嵌入到人們生活的各種環(huán)境中,使通信服務以及其它基于信息網(wǎng)絡的各種“以人為中心”的計算和信息訪問服務在任何時候、任何地點都成為可能,它將會把遠程接入推向新的時代。

二、VPN及無線VPN的原理

電話撥號大家比較熟悉,普適計算還在發(fā)展過程中,VPN近年來得到業(yè)界廣泛的應用,移動VPN逐漸成為新的趨勢。因此我們主要來談談VPN與移動VPN的原理。

(一)VPN原理

虛擬專用網(wǎng)VPN(Virtual Private Network)指的是依靠ISP(Inter

Net服務提供商)和其他NSP(網(wǎng)絡服務提供商),在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術。在虛擬專用網(wǎng)中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路,而是利用某種公眾網(wǎng)的資源動態(tài)組成的。虛擬專用網(wǎng)絡可以實現(xiàn)不同網(wǎng)絡的組件和資源之間的相互連接,能夠利用Internet或其它公共互聯(lián)網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道,并提供與專用網(wǎng)絡一樣的安全和功能保障。

本質上VPN是使用一種類似于節(jié)點間,通過建立點到點關系的連接的方式來進行加密通信。按照標準的OSI(Open System Interconnection,開放式系統(tǒng)互聯(lián)參考模型)分層協(xié)議來運作,加密數(shù)據(jù)包通過添加IP包頭逐層向下傳輸一直到實際物理鏈路,然后根據(jù)IP頭中的目的地址發(fā)送給目的端主機,VPN網(wǎng)關收到包以后,解密數(shù)據(jù)包并逐層向上,直到剩下的是原來的數(shù)據(jù)包為止。整個過程對于后臺的應用程序來說是完全透明的。

VPN的安全加密算法主要有L2TP、IPSEC、SSL等,各有優(yōu)缺點,適用于不同的應用環(huán)境。L2TP本質上是一種隧道傳輸協(xié)議,它使用兩種類型的消息:控制消息和數(shù)據(jù)隧道消息?？刂葡⒇撠焺?chuàng)建、維護及終止L2TP隧道,而數(shù)據(jù)隧道消息則負責用戶數(shù)據(jù)的真正傳輸。L2TP支持標準的安全特性CHAP和PAP,可以進行用戶身份認證。在安全性考慮上,L2TP僅定義了控制消息的加密傳輸方式,對傳輸中的數(shù)據(jù)并不加密。IPSec VPN簡單來說就是采用IPSec協(xié)議來實現(xiàn)遠程登錄的一種VPN技術,IPSec是IETF(Internet Engineer Task Force)制定的安全標準,IPSec協(xié)議是一個范圍廣泛、開放的虛擬專用網(wǎng)安全協(xié)議,它提供所有在網(wǎng)絡層上的數(shù)據(jù)保護,提供透明的安全通信。IPSec是基于網(wǎng)絡層的,不能穿越通常的NAT、防火墻。SSL VPN簡單來說就是采用SSL協(xié)議來實現(xiàn)遠程登錄的一種新型VPN技術。SSL(S

ecurity Socket Layer)協(xié)議是網(wǎng)景公司提出的基于WEB應用的安全協(xié)議,它包括:服務器認證、客戶認證、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性,SSL是基于傳輸層的。SSL協(xié)議被內置于IE等瀏覽器中,使用SSL協(xié)議進行認證和數(shù)據(jù)加密的SSL VPN就可以免于安裝客戶端,簡化了客戶端的操作。所以通常情況SSL VPN使用的較多。

(二)移動VPN原理

VPN應用于無線領域便成了移動VPN,通過無線路由器等接入的其實質還是固定網(wǎng)絡的VPN,移動VPN主要指通過GPRS,WCDMA等遠程接入方式,其與普通VPN原理一樣。但由于無線網(wǎng)絡的安全性較低,所以在安全性方面需要加入新的內容。移動VPN對移動終端的要求取決于移動VPN所采用的技術和實現(xiàn)方式。根據(jù)VPN中隧道的發(fā)起位置來劃分,VPN可以分為兩種:網(wǎng)絡發(fā)起的VPN和終端發(fā)起的VPN。

網(wǎng)絡發(fā)起的VPN是指VPN隧道的發(fā)起點是網(wǎng)絡設備,在移動網(wǎng)絡中,指由GGSN發(fā)起VPN隧道至企業(yè)網(wǎng)關。它可以是GRE、MPLS、IPSec、L2TP等技術之一,或是這些技術的組合。網(wǎng)絡發(fā)起的VPN一般對終端無特殊要求。

終端發(fā)起的VPN是指隧道的起點是終端,由終端主動發(fā)起一條隧道至企業(yè)網(wǎng)關。終端發(fā)起的VPN一般采用IPSec或L2TP技術,這要求終端支持IPSec協(xié)議或L2TP協(xié)議。目前大多數(shù)終端均不支持IPSec協(xié)議和L2TP協(xié)議,如要實現(xiàn)這種VPN方式,可通過數(shù)據(jù)卡方式實現(xiàn)。同時,在這種情況下,VPN和移動運營商沒有直接關系,移動網(wǎng)絡只對VPN起承載作用。這種VPN常用于保障端到端的數(shù)據(jù)安全的業(yè)務場景。

移動VPN在無線接入子網(wǎng)可以設置自主認證體系,以便對經(jīng)過HLR認證的客戶在撥號聯(lián)接時進行機號、用戶名、撥號口令的核查并進行日志記錄,杜絕非法用戶的進入。合法的用戶在使用前必須采用登錄訪問方式,以確保即使發(fā)生未發(fā)覺的遺失,由于撿拾者無法知道登錄信息,所以也無法使用系統(tǒng)。

三、VPN具有以下主要特點

安全保障:由于VPN直接構建在公用網(wǎng)上,實現(xiàn)簡單、方便、靈活,但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶對網(wǎng)絡資源或私有信息的訪問。

服務質量保證(QoS):VPN網(wǎng)為企業(yè)數(shù)據(jù)提供不同等級的服務質量保證,如對移動辦公用戶,提供廣泛的連接和覆蓋性是保證VPN服務的一個主要因素;而對于擁有眾多分支機構的專線VPN網(wǎng)絡,交互式的內部企業(yè)網(wǎng)應用則要求網(wǎng)絡能提供良好的穩(wěn)定性。QoS通過流量預測與流量控制策略,可以按照優(yōu)先級分配帶寬資源,實現(xiàn)帶寬管理,使得各類數(shù)據(jù)能夠被合理地先后發(fā)送,并預防阻塞的發(fā)生。

可擴充性和靈活性:VPN能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流,方便增加新的節(jié)點,支持多種類型的傳輸媒介,可以滿足同時傳輸語音、圖像和數(shù)據(jù)等新應用對高質量傳輸以及帶寬增加的需求?？晒芾硇?VPN要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng),甚至客戶和合作伙伴,要求減小網(wǎng)絡風險,具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上,VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理以及QoS管理等內容。

四、遠程接入時應注意的措施

1.使用VPN業(yè)務的終端應強制采取一些安全政策和設置,以便進一步提高VPN連接的安全性。

2.一開始VPN連接,就通過非常嚴格的政策來關閉并行網(wǎng)絡連接。避免屏幕錄制等木馬竊取用戶信息而對VPN造成威脅。

3.拒絕用戶在上網(wǎng)期間把數(shù)據(jù)保存到本地,迫使他們把數(shù)據(jù)保存到網(wǎng)絡上。即使筆記本電腦被偷或手持終端丟失也不成問題,因為上面根本沒有什么信息。

五、結語

通過虛擬專用網(wǎng)VPN可以幫助遠程用戶、分公司、合作伙伴及經(jīng)銷商等建立內部的可信安全連接,保證數(shù)據(jù)的安全傳輸,這樣既可以得到最新的信息,擴大信息量,又能保證溝通的及時性。

移動數(shù)據(jù)業(yè)務是3G網(wǎng)絡有別于2G的重要業(yè)務。移動數(shù)據(jù)VPN則是針對企業(yè)用戶提供良好應用的非常重要的業(yè)務基礎?；谝苿訑?shù)據(jù)VPN,可為企業(yè)用戶提供安全、便捷的企業(yè)資源訪問、Web/WAP信息發(fā)布、E-mail服務、行業(yè)特色服務等。所以通信企業(yè)在搞好自身移動辦公的同時,如何在企業(yè)信息化浪潮中推廣好移動VPN業(yè)務是3G時代通信企業(yè)要考慮好的問題。

參考文獻:

[1]安全VPN保護無線游民,http://www2.ccw.com.cn/weekly/tech/htm

2009/20090215_588386.shtml.

[2]虛擬專用網(wǎng)VPN,http://safe.zol.com.cn/119/1195850.html.

[3]移動數(shù)據(jù)VPN技術及業(yè)務研究,http://www.eefocus.com/article/07-02/061002306979.html.

[4]IP VPN技術特點與安全機制,http://www.gz183.com.cn/Info/99/info

12125_1.htm.

作者簡介:

榮東明(1970-),通信工程師,研究方向:網(wǎng)絡安全;周全(1971-),通信工程師,研究方向:網(wǎng)絡安全;何遠(1977-),在讀碩士研究生,研究方向:網(wǎng)絡安全。