论文部分内容阅读
摘 要 随着信息社会的发展,人们希望在一种安全可靠的环境下进行数据通信,而基于VPN技术的虚拟应用网络可以很好的满足用户的需求。本文首先分析了VPN网络中的安全机制,进而详细的研究了VPN系统中所使用的四种数据安全防护技术。
关键词 VPN;安全机制;安全防护技术
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2013)051-069-01
信息系统中的虚拟应用网络是在虚拟专用网络技术的基础上发展而来的,因此具有虚拟专用网络的基本特性和问题。所谓虚拟应用网络同虚拟专用网络类似,是一种通信环境。在该环境中的多种操作都按照一定的规则进行,以更好的保证各操作在一种安全可控的环境下进行。信息系统最常用的信息传递平台为基于IP层的隧道式VPN平台,在该平台中不同用户在交互的过程中建立一个虚拟的专用通信隧道,用户信息的传递在该信道内进行,因而更具安全性、完整性以及保密性。
但是VPN通信网络在用户身份认证方面仍旧存在不足,主要体现在无法对应用层的用户进行身份认证。此外,VPN技术与其他网络层技术在网络兼容性方面还不够友好。
1 VPN中的安全机制
VPN采用开放度高,安全性能较低的以太网进行通信,若通信信息中涉及到的信息比較隐秘或者重要,则很容易被窃听或者盗用,因此对VPN网络进行安全性能研究具有非常重要的现实意义。对VPN网络的安全性能研究重点是如何建立更为安全的数据传输通道,将不同用户之间的数据通信进行隔离和保护。但是该安全通道的构建需要以下面五点条件为前提。
1)通道内的数据必须保证其真实性,不能出现伪装IP发送信息的情况。
2)接收端的数据必须与发送端数据一致,不能受到第三方的非法篡改。
3)通道必须具有高的机密性,以避免其他用户对通信隧道进行监听,非法获得传输数据。
4)VPN通信应该提供动态秘钥交换功能,这种功能可以保证不同通道之间不会产生干扰和交叉。
5)提供必须的安全防护和访问控制。
VPN系统使用复杂的加密算法对数据信息加密,以提高信息的安全性能。具体实现方式为,VPN设备按照既定的信息传输规则对接收到的数据进行判断,若数据需要加密处理则对数据加密签名,并从新添加数据表头,然后进行封装在虚拟专用通道内传输;若数据不需要加密,则直接让数据通过。在接收端,加密的数据只有对签名进行验证无误后才可以获得真实报文。
2 VPN中的安全技术研究
在VPN系统中所采用的安全技术主要有四项,分别为隧道技术、加密技术、密钥管理及交换技术、认证技术。
2.1 隧道技术
数据的封装、传输以及拆封过程被称为隧道,是一种点对点的连接技术。该技术将所需传输的信息进行加密封装,只有VPN端口或网关的IP地址是公开的,然后在公网上建立一条专用的数据通道,使信息在该通道内进行传输。这种技术解决了专网与公网之间的网络兼容度问题。
隧道通信有第二层和第三层隧道协议。其中,第二层协议的协议基础为数据链层的PPP协议,故其对多协议的支持方面性能良好,数据封装时可以先将诸如IP协议,IPX协议、AppleTalk协议等封装到PPP的帧中,然后再将封装好的数据帧封装到隧道协议中。而第三层隧道协议是如IPSee、GRE等网络层的传输协议。该隧道协议直接将各种网络协议封装到隧道协议中进行传输。相较于第二层隧道协议而言,第三层隧道协议允许用户同时使用以太网和VPN网络进行多点传输,因此在可扩充性方面更具优势。
2.2 加密技术
加密技术主要用于保证数据在隧道传输中不会被非法获取或者拦截。VPN中的加密技术主要分为两部分:密钥加密和认证证书加密。在对数据进行加密处理后,接收端必须具有解密密钥才能够阅读正确的数据信息,若直接解封包裹则只能获得乱码。若加密技术采用112位的3DES技术,则目前可认为数据是绝对保密,无法被破解的。
当前的加密技术按照密钥类型可以分为对称加密和非对称加密两种。其中对称加密算法使用同一把密钥进行加密,配合使用较长的密钥长度如56位DES或者112位3DES等可以实现快速高强度加密。而非对称加密算法生成一对密钥。其中公钥是公开的,密钥是用户自己掌握的,若配合密钥管理与交换技术,也可以很好的实现数据的保密。
2.3 密钥管理与交换技术
密钥管理的主要目的在于保证密钥在传递过程中不被非法窃取。其中SKIP协议是基于Diffie-Hellman演算法法则而建立的一种管理协议;IKE属于一种混合协议,它在以太网ISAKMP协议和密钥交换协议OAKLEY的基础上经过自定义生成一种独有的密钥管理标准,故其定义更为灵活。但是IKE密钥管理技术也存在一定的缺陷,如可支持协议较少等。
密钥交换主要进行数据验证。对于单一密钥的加密技术而言,由于其在网络内的每两个用户之间都要建立一个密钥,因此在密钥管理方面变得非常复杂,若因网络规模扩大或响应通信安全需求进行密钥变更则更加力不从心。而对于使用公钥和私钥进行加密的密钥管理中则该情况会得到大幅度改善。因为公钥是公开的,用户只需要管理自身的私钥即可。通信时,将功盖的公钥与用户的私钥按照一定的方式生成新的密钥即可完成信息的加密与解密。
3 总结
随着信息技术的飞速发展,人们希望可以在简单、安全、方便的环境下实现数据通信,而基于VPN技术的虚拟应用网络结合了VPN技术的性能优点,可以很好的满足用户的使用需求,是一种具有广泛应用前景的信息交换网络。
参考文献
[1]潘建国,陈海强.基于VPN技术的网络应用[J].计算机应用研究,2001,18(1).
[2]陈兴蜀,沈昌祥.虚拟应用网络的安全技术研究[J].计算机集成制造系统,2004,10(11).
[3]汪海航,谭成翔,孙为清,赵轶群.VPN技术的研究与应用现状及发展趋势[J].计算机工程与应用,2001,37(23).
[4]江红,余青松,顾君忠.VPN安全技术的研究与分析[J].计算机工程,2002,28(4).
关键词 VPN;安全机制;安全防护技术
中图分类号:TP3 文献标识码:A 文章编号:1671—7597(2013)051-069-01
信息系统中的虚拟应用网络是在虚拟专用网络技术的基础上发展而来的,因此具有虚拟专用网络的基本特性和问题。所谓虚拟应用网络同虚拟专用网络类似,是一种通信环境。在该环境中的多种操作都按照一定的规则进行,以更好的保证各操作在一种安全可控的环境下进行。信息系统最常用的信息传递平台为基于IP层的隧道式VPN平台,在该平台中不同用户在交互的过程中建立一个虚拟的专用通信隧道,用户信息的传递在该信道内进行,因而更具安全性、完整性以及保密性。
但是VPN通信网络在用户身份认证方面仍旧存在不足,主要体现在无法对应用层的用户进行身份认证。此外,VPN技术与其他网络层技术在网络兼容性方面还不够友好。
1 VPN中的安全机制
VPN采用开放度高,安全性能较低的以太网进行通信,若通信信息中涉及到的信息比較隐秘或者重要,则很容易被窃听或者盗用,因此对VPN网络进行安全性能研究具有非常重要的现实意义。对VPN网络的安全性能研究重点是如何建立更为安全的数据传输通道,将不同用户之间的数据通信进行隔离和保护。但是该安全通道的构建需要以下面五点条件为前提。
1)通道内的数据必须保证其真实性,不能出现伪装IP发送信息的情况。
2)接收端的数据必须与发送端数据一致,不能受到第三方的非法篡改。
3)通道必须具有高的机密性,以避免其他用户对通信隧道进行监听,非法获得传输数据。
4)VPN通信应该提供动态秘钥交换功能,这种功能可以保证不同通道之间不会产生干扰和交叉。
5)提供必须的安全防护和访问控制。
VPN系统使用复杂的加密算法对数据信息加密,以提高信息的安全性能。具体实现方式为,VPN设备按照既定的信息传输规则对接收到的数据进行判断,若数据需要加密处理则对数据加密签名,并从新添加数据表头,然后进行封装在虚拟专用通道内传输;若数据不需要加密,则直接让数据通过。在接收端,加密的数据只有对签名进行验证无误后才可以获得真实报文。
2 VPN中的安全技术研究
在VPN系统中所采用的安全技术主要有四项,分别为隧道技术、加密技术、密钥管理及交换技术、认证技术。
2.1 隧道技术
数据的封装、传输以及拆封过程被称为隧道,是一种点对点的连接技术。该技术将所需传输的信息进行加密封装,只有VPN端口或网关的IP地址是公开的,然后在公网上建立一条专用的数据通道,使信息在该通道内进行传输。这种技术解决了专网与公网之间的网络兼容度问题。
隧道通信有第二层和第三层隧道协议。其中,第二层协议的协议基础为数据链层的PPP协议,故其对多协议的支持方面性能良好,数据封装时可以先将诸如IP协议,IPX协议、AppleTalk协议等封装到PPP的帧中,然后再将封装好的数据帧封装到隧道协议中。而第三层隧道协议是如IPSee、GRE等网络层的传输协议。该隧道协议直接将各种网络协议封装到隧道协议中进行传输。相较于第二层隧道协议而言,第三层隧道协议允许用户同时使用以太网和VPN网络进行多点传输,因此在可扩充性方面更具优势。
2.2 加密技术
加密技术主要用于保证数据在隧道传输中不会被非法获取或者拦截。VPN中的加密技术主要分为两部分:密钥加密和认证证书加密。在对数据进行加密处理后,接收端必须具有解密密钥才能够阅读正确的数据信息,若直接解封包裹则只能获得乱码。若加密技术采用112位的3DES技术,则目前可认为数据是绝对保密,无法被破解的。
当前的加密技术按照密钥类型可以分为对称加密和非对称加密两种。其中对称加密算法使用同一把密钥进行加密,配合使用较长的密钥长度如56位DES或者112位3DES等可以实现快速高强度加密。而非对称加密算法生成一对密钥。其中公钥是公开的,密钥是用户自己掌握的,若配合密钥管理与交换技术,也可以很好的实现数据的保密。
2.3 密钥管理与交换技术
密钥管理的主要目的在于保证密钥在传递过程中不被非法窃取。其中SKIP协议是基于Diffie-Hellman演算法法则而建立的一种管理协议;IKE属于一种混合协议,它在以太网ISAKMP协议和密钥交换协议OAKLEY的基础上经过自定义生成一种独有的密钥管理标准,故其定义更为灵活。但是IKE密钥管理技术也存在一定的缺陷,如可支持协议较少等。
密钥交换主要进行数据验证。对于单一密钥的加密技术而言,由于其在网络内的每两个用户之间都要建立一个密钥,因此在密钥管理方面变得非常复杂,若因网络规模扩大或响应通信安全需求进行密钥变更则更加力不从心。而对于使用公钥和私钥进行加密的密钥管理中则该情况会得到大幅度改善。因为公钥是公开的,用户只需要管理自身的私钥即可。通信时,将功盖的公钥与用户的私钥按照一定的方式生成新的密钥即可完成信息的加密与解密。
3 总结
随着信息技术的飞速发展,人们希望可以在简单、安全、方便的环境下实现数据通信,而基于VPN技术的虚拟应用网络结合了VPN技术的性能优点,可以很好的满足用户的使用需求,是一种具有广泛应用前景的信息交换网络。
参考文献
[1]潘建国,陈海强.基于VPN技术的网络应用[J].计算机应用研究,2001,18(1).
[2]陈兴蜀,沈昌祥.虚拟应用网络的安全技术研究[J].计算机集成制造系统,2004,10(11).
[3]汪海航,谭成翔,孙为清,赵轶群.VPN技术的研究与应用现状及发展趋势[J].计算机工程与应用,2001,37(23).
[4]江红,余青松,顾君忠.VPN安全技术的研究与分析[J].计算机工程,2002,28(4).