□ 信息產(chǎn)業(yè)部電信規(guī)劃研究院 翟海生
一、對(duì)VPN的理解
早在1993年,歐洲虛擬專(zhuān)用網(wǎng)聯(lián)盟(EVUA)就成立了,力圖在全歐洲范圍內(nèi)推廣VPN,但那時(shí)的VPN還主要是一個(gè)技術(shù)名詞,VPN服務(wù)的真正發(fā)展還是近一兩年的事。Internet是目前世界上最大和使用最廣泛的網(wǎng)絡(luò),它所采用的IP技術(shù)包容性好,同時(shí)又是業(yè)界比較流行的通信機(jī)制;另外,Internet的迅猛發(fā)展為VPN提供了技術(shù)基礎(chǔ),全球化的企業(yè)為VPN提供了市場(chǎng)。正是基于上述理由,業(yè)內(nèi)人士認(rèn)為基于IP的VPN非常具有發(fā)展前途。
VPN可分為傳統(tǒng)意義的VPN和IP VPN。所謂傳統(tǒng)意義上的VPN,即在DDN網(wǎng)或公用分組交換網(wǎng)或幀中繼網(wǎng)上組建VPN,并具有一個(gè)共同的特點(diǎn),即利用DDN網(wǎng)或公用分組交換網(wǎng)或幀中繼網(wǎng)的部分網(wǎng)絡(luò)資源如傳輸線(xiàn)路、網(wǎng)絡(luò)模塊、網(wǎng)絡(luò)端口等劃分成一個(gè)分區(qū), 并設(shè)置相對(duì)獨(dú)立的網(wǎng)絡(luò)管理機(jī)構(gòu),對(duì)分區(qū)內(nèi)數(shù)據(jù)量及各種資源進(jìn)行管理,分區(qū)內(nèi)的各節(jié)點(diǎn)共享分區(qū)內(nèi)的網(wǎng)絡(luò)資源,它們之間的數(shù)據(jù)處理和傳送相對(duì)獨(dú)立,就好像真正的專(zhuān)用網(wǎng)一樣。所謂IP VPN是依靠ISP和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)在公用網(wǎng)絡(luò)中建立專(zhuān)用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。其中,IETF草案基于IP VPN的理解是“使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)”,即通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專(zhuān)線(xiàn)技術(shù)。所謂“虛擬”,是指用戶(hù)不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線(xiàn)路,而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線(xiàn)路。所謂“專(zhuān)用網(wǎng)絡(luò)”,是指用戶(hù)可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。
盡管VPN有上述區(qū)分,但目前業(yè)界所討論的主要是基于IP的VPN,因此本文主要針對(duì)IP VPN從多層面、多角度進(jìn)行分析探討。
二、IP VPN的分類(lèi)
按照網(wǎng)絡(luò)連接方式的不同,一般把IP VPN分為以下三種類(lèi)型。
1.遠(yuǎn)程訪(fǎng)問(wèn)虛擬專(zhuān)網(wǎng)(Access VPN)
Access VPN與傳統(tǒng)的遠(yuǎn)程訪(fǎng)問(wèn)網(wǎng)絡(luò)相對(duì)應(yīng),它通過(guò)一個(gè)擁有與專(zhuān)用網(wǎng)絡(luò)相同策略的共享基礎(chǔ)設(shè)施,提供對(duì)企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪(fǎng)問(wèn)。如圖1所示。在Access VPN方式下遠(yuǎn)端用戶(hù)不再像傳統(tǒng)的遠(yuǎn)程網(wǎng)絡(luò)訪(fǎng)問(wèn)那樣通過(guò)長(zhǎng)途電話(huà)撥號(hào)到公司遠(yuǎn)程接入端口,而是撥號(hào)接入到遠(yuǎn)端用戶(hù)本地的ISP,采用VPN技術(shù)在公眾網(wǎng)上建立一個(gè)虛擬的通道。Access VPN能使用戶(hù)隨時(shí)隨地以其所需的方式訪(fǎng)問(wèn)企業(yè)資源。Access VPN包括模擬撥號(hào)、ISDN、數(shù)字用戶(hù)線(xiàn)路(xDSL)、移動(dòng)IP和電纜技術(shù),能夠安全地連接移動(dòng)用戶(hù)、遠(yuǎn)程工作者或分支機(jī)構(gòu)。
2.企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)(Intranet VPN)
越來(lái)越多的企業(yè)需要在全國(guó)乃至世界范圍內(nèi)建立各種辦事機(jī)構(gòu)、分公司、研究所等,各個(gè)分公司之間傳統(tǒng)的網(wǎng)絡(luò)連接方式一般是租用專(zhuān)線(xiàn)。顯然,在分公司增多、業(yè)務(wù)開(kāi)展越來(lái)越廣泛時(shí),網(wǎng)絡(luò)結(jié)構(gòu)趨于復(fù)雜,費(fèi)用昂貴。利用VPN特性可以在Internet上組建世界范圍內(nèi)的Intranet VPN,如圖2所示。利用Internet的線(xiàn)路保證網(wǎng)絡(luò)的互聯(lián)性,而利用隧道、加密等VPN特性可以保證信息在整個(gè)Intranet VPN上安全傳輸。Intranet VPN通過(guò)一個(gè)使用專(zhuān)用連接的共享基礎(chǔ)設(shè)施,連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。企業(yè)擁有與專(zhuān)用網(wǎng)絡(luò)的相同政策,包括安全、服務(wù)質(zhì)量(QoS)、可管理性和可靠性。
3.?dāng)U展的企業(yè)內(nèi)部虛擬專(zhuān)網(wǎng)(Extranet VPN)
信息時(shí)代的到來(lái)使各個(gè)企業(yè)越來(lái)越重視各種信息的處理,希望可以提供給客戶(hù)最快捷方便的信息服務(wù),通過(guò)各種方式了解客戶(hù)的需要,同時(shí)各個(gè)企業(yè)之間的合作關(guān)系也越來(lái)越多,信息交換日益頻繁。Internet為這樣的一種發(fā)展趨勢(shì)提供了良好的基礎(chǔ),而如何利用Internet進(jìn)行有效的信息管理,是企業(yè)發(fā)展中不可避免的一個(gè)關(guān)鍵問(wèn)題。利用VPN技術(shù)可以組建安全的Extranet VPN,如圖3所示,既可以向客戶(hù)、合作伙伴提供有效的信息服務(wù),又可以保證自身的內(nèi)部網(wǎng)絡(luò)的安全。其在網(wǎng)絡(luò)組織方式上與Intranet VPN沒(méi)有本質(zhì)的區(qū)別,但由于是不同公司的網(wǎng)絡(luò)相互通信,所以要更多的考慮設(shè)備的互連、地址的協(xié)調(diào)、安全策略的協(xié)商等問(wèn)題。
三、IP VPN的特點(diǎn)
隨著商務(wù)活動(dòng)的日益頻繁,各企業(yè)開(kāi)始允許其生意伙伴、供應(yīng)商訪(fǎng)問(wèn)本企業(yè)的局域網(wǎng),簡(jiǎn)化信息交流的途徑,增加信息交換速度。這些合作和聯(lián)系是動(dòng)態(tài)的,并依靠網(wǎng)絡(luò)來(lái)維持和加強(qiáng),于是各企業(yè)發(fā)現(xiàn),這樣的信息交流不但帶來(lái)了網(wǎng)絡(luò)的復(fù)雜性,還帶來(lái)了管理和安全性的問(wèn)題,因?yàn)镮nternet是一個(gè)全球性和開(kāi)放性的、基于TCP/IP 技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò),因此,基于Internet的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患。 還有一類(lèi)用戶(hù),隨著自身的的發(fā)展壯大與跨國(guó)化,企業(yè)的分支機(jī)構(gòu)不僅越來(lái)越多,而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此,用戶(hù)的信息技術(shù)部門(mén)在連接分支機(jī)構(gòu)方面也感到日益棘手。
Access VPN、Intranet VPN和Extranet VPN為用戶(hù)提供了三種VPN組網(wǎng)方式,但在實(shí)際應(yīng)用中,用戶(hù)所需要的VPN又應(yīng)當(dāng)具備哪些特點(diǎn)呢?一般而言,一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)主要特點(diǎn)。
1.具備完善的安全保障機(jī)制
雖然實(shí)現(xiàn)IP VPN的技術(shù)和方式很多,但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專(zhuān)用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接,稱(chēng)之為建立一個(gè)隧道,可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密,以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解,從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面,由于VPN直接構(gòu)建在公用網(wǎng)上,實(shí)現(xiàn)簡(jiǎn)單、方便、靈活,但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改,并且要防止非法用戶(hù)對(duì)網(wǎng)絡(luò)資源或私有信息的訪(fǎng)問(wèn)。Extranet VPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶(hù),對(duì)安全性提出了更高的要求。
2.具備用戶(hù)可接受的服務(wù)質(zhì)量保證(QoS)
IP VPN應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證,不同的用戶(hù)和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。例如對(duì)于移動(dòng)辦公用戶(hù),提供廣泛的連接和覆蓋性是Access VPN保證服務(wù)的一個(gè)主要因素;而對(duì)于擁有眾多分支機(jī)構(gòu)的Intranet VPN或基于多家合作伙伴的Extranet VPN而言,能夠提供良好的網(wǎng)絡(luò)穩(wěn)定性是滿(mǎn)足交互式的企業(yè)網(wǎng)應(yīng)用首要考慮的問(wèn)題;另外,對(duì)于其它諸如視頻等具體應(yīng)用則更對(duì)網(wǎng)絡(luò)提出了明確的要求,包括網(wǎng)絡(luò)時(shí)延及誤碼率等等。所有以上網(wǎng)絡(luò)應(yīng)用均要求VPN網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面,構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源,為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率較低,在流量高峰時(shí)引起網(wǎng)絡(luò)擁塞,產(chǎn)生網(wǎng)絡(luò)瓶頸,難于滿(mǎn)足實(shí)時(shí)性要求高的業(yè)務(wù)服務(wù)質(zhì)量保證;而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略,可以按照優(yōu)先級(jí)分配帶寬資源,實(shí)現(xiàn)帶寬優(yōu)化管理,使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送,并預(yù)防擁塞的發(fā)生。
3.具備良好的可擴(kuò)充性與靈活性
IP VPN必須能夠支持通過(guò)Intranet和Extranet的任何類(lèi)型的數(shù)據(jù)流,方便增加新的節(jié)點(diǎn),支持多種類(lèi)型的傳輸媒介,可以滿(mǎn)足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
4.具備完善的可管理性
在IP VPN管理方面,要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng),甚至是客戶(hù)和合作伙伴。盡管可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成,但企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù),所以,一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為:減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上,VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪(fǎng)問(wèn)控制列表管理、QoS管理等內(nèi)容。
四、IP VPN的安全機(jī)制
由于IP VPN是在不安全的Internet中進(jìn)行通信,而通信的內(nèi)容可能涉及到企業(yè)的機(jī)密數(shù)據(jù),因此其安全性就顯得非常重要,必須采取一系列的安全機(jī)制來(lái)保證VPN的安全。IP VPN的安全機(jī)制通常由加密、認(rèn)證及密鑰交換與管理組成。
1.加密技術(shù)簡(jiǎn)介
在VPN中為了保證重要的數(shù)據(jù)在公共網(wǎng)上傳輸時(shí)不被他人竊取,采用了加密機(jī)制。在現(xiàn)代密碼學(xué)中,加密算法被分為對(duì)稱(chēng)加密算法和非對(duì)稱(chēng)加密算法。
對(duì)稱(chēng)加密算法采用同一把密鑰進(jìn)行加密和解密,優(yōu)點(diǎn)是速度快,但密鑰的分發(fā)與交換不便于管理。而采用不對(duì)稱(chēng)加密算法進(jìn)行加密時(shí),通訊各方使用兩個(gè)不同的密鑰,一個(gè)是只有發(fā)送方知道的專(zhuān)用密鑰d,另一個(gè)則是對(duì)應(yīng)的公用密鑰e,任何人都可以獲得公用密鑰。專(zhuān)用密鑰和公用密鑰在加密算法上相互關(guān)聯(lián),一個(gè)用于數(shù)據(jù)加密,另一個(gè)用于數(shù)據(jù)解密。不對(duì)稱(chēng)加密還有一個(gè)重要用途即數(shù)字簽名。
2.認(rèn)證技術(shù)簡(jiǎn)介
認(rèn)證技術(shù)可以區(qū)分被偽造、篡改過(guò)的數(shù)據(jù),這對(duì)于網(wǎng)絡(luò)數(shù)據(jù)傳輸,特別是電子商務(wù)是極其重要的。認(rèn)證協(xié)議一般都要采用一種稱(chēng)為摘要的技術(shù)。摘要技術(shù)主要是采用HASH函數(shù)將一段長(zhǎng)的報(bào)文通過(guò)函數(shù)變換,映射為一段短的報(bào)文即摘要。由于HASH函數(shù)的特性,使得要找到兩個(gè)不同的報(bào)文具有相同的摘要是困難的。該特性使得摘要技術(shù)在VPN中有兩個(gè)用途:
驗(yàn)證數(shù)據(jù)的完整性
發(fā)送方將數(shù)據(jù)報(bào)文和報(bào)文摘要一同發(fā)送,接收方通過(guò)計(jì)算報(bào)文摘要與發(fā)來(lái)數(shù)據(jù)報(bào)文比較,相同則說(shuō)明數(shù)據(jù)報(bào)文未經(jīng)修改。由于在報(bào)文摘要的計(jì)算過(guò)程中一般是將一個(gè)雙方共享的秘密信息連接上實(shí)際報(bào)文一同參與摘要的計(jì)算,不知道秘密信息將很難偽造一個(gè)匹配的摘要,從而保證了接收方可以辨認(rèn)出偽造或篡改過(guò)的報(bào)文。
用戶(hù)認(rèn)證
該功能實(shí)際上是驗(yàn)證數(shù)據(jù)的完整性功能的延伸。當(dāng)一方希望驗(yàn)證對(duì)方,但又不希望驗(yàn)證秘密在網(wǎng)絡(luò)上傳送。這時(shí)一方可以發(fā)送一段隨機(jī)報(bào)文,要求對(duì)方將秘密信息連接上該報(bào)文作摘要后發(fā)回,接收方可以通過(guò)驗(yàn)證摘要是否正確來(lái)確定對(duì)方是否擁有秘密信息,從而達(dá)到驗(yàn)證對(duì)方的目的。
3.密鑰的交換與管理
VPN中無(wú)論是認(rèn)證還是加密都需要秘密信息,因而密鑰的分發(fā)與管理顯得非常重要。密鑰的分發(fā)有兩種方法:一種是通過(guò)手工配置的方式,另一種是采用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)。手工配置的方法由于密鑰更新困難,只適合于簡(jiǎn)單網(wǎng)絡(luò)的情況。密鑰交換協(xié)議采用軟件方式動(dòng)態(tài)生成密鑰,適合于復(fù)雜網(wǎng)絡(luò)的情況且密鑰可快速更新,可以顯著提高VPN的安全性。
五、IP VPN市場(chǎng)
近兩年來(lái),國(guó)際上IP VPN的業(yè)務(wù)與市場(chǎng)發(fā)展迅速。據(jù)Cahners In-Stat公司估算,在1999年,VPN的市場(chǎng)為26.7億美元;并預(yù)計(jì)到2003年,VPN的市場(chǎng)將增加到320億美元。另?yè)?jù)Infornetics Research公司預(yù)言,在2001年全球VPN市場(chǎng)將達(dá)到120億美元;到2004年北美的VPN業(yè)務(wù)收入將增至88億美元。IP VPN的市場(chǎng)空間如此之大,究其原因主要源于以下一些因素。
1.全球經(jīng)濟(jì)一體化
由于全球經(jīng)濟(jì)的一體化,許多國(guó)際業(yè)務(wù)和地區(qū)間業(yè)務(wù)增長(zhǎng)迅速,從事相應(yīng)商務(wù)活動(dòng)的公司大量增加,以及IP VPN在擴(kuò)大全球性業(yè)務(wù)的同時(shí)又降低了長(zhǎng)途通信費(fèi)率,這些都推動(dòng)了IP VPN市場(chǎng)的發(fā)展。根據(jù)Infonetics的研究報(bào)告,VPN業(yè)務(wù)的開(kāi)展將為企業(yè)節(jié)省長(zhǎng)途專(zhuān)線(xiàn)租用成本的20%~47%,節(jié)省遠(yuǎn)程撥號(hào)費(fèi)用的60%~80%。由于VPN能提供良好的性能價(jià)格比以及其自身標(biāo)準(zhǔn)的不斷完善,使得使用IP VPN更趨經(jīng)濟(jì)、適用。
2.Internet已成為全社會(huì)的信息基礎(chǔ)設(shè)施
在國(guó)外,Internet已成為全社會(huì)的信息基礎(chǔ)設(shè)施,企業(yè)端應(yīng)用也大都基于IP,在Internet上構(gòu)筑應(yīng)用系統(tǒng)已成為必然趨勢(shì),因此基于IP的VPN業(yè)務(wù)獲得了極大的增長(zhǎng)空間。
3.IP VPN為企業(yè)和服務(wù)提供商實(shí)現(xiàn)了雙贏
從IP VPN在全球的發(fā)展來(lái)看,它對(duì)有VPN需求的企業(yè)和Internet服務(wù)提供商來(lái)說(shuō),無(wú)疑都是一種相當(dāng)不錯(cuò)的選擇,同時(shí)為使用它的企業(yè)和提供它的運(yùn)營(yíng)商帶來(lái)了經(jīng)濟(jì)效益;贗nternet的網(wǎng)絡(luò)使遠(yuǎn)端的用戶(hù)能安全方便地訪(fǎng)問(wèn)本企業(yè)的內(nèi)部資源;企業(yè)可以使用VPN與他們的合作伙伴進(jìn)行安全的通信;運(yùn)營(yíng)商因此可以靠提供帶寬和增值業(yè)務(wù)來(lái)獲利。
摘自《通信世界》